Novi Spora ransomware - dokaz da je sajber kriminal postao ozbiljan biznis

Odlikuje se vrhunskom enkripcijom, sposobnošću da radi offline i najsofisticiranijim sajtom za plaćanje otkupnine.

Novi Spora ransomware - dokaz da je sajber kriminal postao ozbiljan biznis

Spora ransomware je ransomware iz kuhinje ruskih hakera. Odlikuje se vrhunskom enkripcijom, sposobnošću da radi offline i najsofisticiranijim sajtom za plaćanje otkupnine koji je do sada viđen u svetu ransomwarea. Trenutno je aktivan samo u Rusiji.

Distribucija Spora ransomwarea

Spora se distribuira preko email spam kampanja u kojima se šalju lažne fakture. Email sadrži i atačmente u formi ZIP fajlova koji sadrže HTA fajlove.

Spora spam email Spora spam email, Slika: BleepingComputer

Ovi HTA fajlovi (HTML aplikacija) imaju dvostruku ekstenziju - PDF.HTA ili DOC.HTA. Na Windows računarima na kojima je ekstenzija fajla sakrivena, korisnici vide samo prvu ekstenziju (PDF ili DOC) i mogu nasesti da otvore fajl. Pokretanje jednog od ova 2 fajla pokreće proces Spora ransomwarea.

Kada korisnik pokrene HTA fajl, ekstrahuje se Javascript fajl Temp folder, a onda se u istom folderu ekstrahuje i pokreće dodatni .exe fajl sa nasumičnim imenom. Taj .exe fajl je glavni enkriptor koji kreće sa kriptovanjem fajlova u računaru.

HTA fajl HTA fajl, Slika: BleepingComputer

HTA fajl dodatno ekstrahuje i pokreće DOCX fajl. Ovaj fajl je oštećen i prikazivaće grešku. I druge familije malvera koriste isti trik – žele da prevare korisnika da pomisli da je fajl oštećen prilikom primanja email poruke ili prilikom preuzimanja kako ne bi posumnjao na prevaru.

Za razliku od drugih ransomware familija, Spora radi offline i ne generiše mrežni saobraćaj ka online serverima. Takođe, Spora ne targetira veliki broj fajlova, već samo one sa sledećim ekstenzijama: .xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup

U procesu enkripcije mete su lokalni fajlovi i deljeni diskovi, a ime fajlova ostaje nepromenjeno. Kako ne bi oštetila računare do te mere da podizanje sistema više nije moguće, Spora ne kriptuje fajlove u određenim folderima. U pitanju su folderi koji imaju sledeće u svom imenu:

  • games
  • program files (x86)
  • program files
  • windows

Spora ima vrhunsku enkripciju

Trenutno izgleda da Spora nema enkripcijskih slabosti. Proces enkripcije deluje vrlo složeno. U tom komplikovanom procesu enkripcije Spora kreira .KEY fajl i enkripcijski ključ kojim zaključava fajlove. Kreiranje .KEY fajla izgleda ovako: Generišu se RSA ključ i AES ključ, zatim se pomoću AES ključa kriptuje RSA ključ, zatim se pomoću javnog ključa ubačenog u .exe fajl kriptuje AES ključ, a na kraju se oba kriptovana ključa sačuvaju u .KEY fajl. Za enkripciju fajlova korisnika, proces je jednostavniji i brži: Generiše se AES ključ, kriptuje se AES ključ pomoću generisanog RSA ključa, kriptuje se fajl pomoću AES ključa i sve se to sačuva u fajlu. Za dekripciju je potrebno poslati napadačima svoj .KEY fajl.

Na kraju procesa enkripcije, Spora pokreće sledeću CLI komandu koja, između ostalog, briše shadow volume kopije, onemogućava Windows Startup Repair i menja BootStatusPolicy.

Kada se proces enkripcije završi, Spora dodaje poruku o otkupnini i .KEY fajl na korisnikov desktop i u ostale foldere.

Spora poruka o otkupnini Spora poruka o otkupnini, Slika: BleepingComputer

Poruka sadrži jednostavne instrukcije i ID infekcije koji je jedinstven za svaku žrtvu. Ovaj ID se koristi i za ime poruke o otkupnini.

Profesionalni servis za dekripciju

Sporin portal za dekripciju je javno dostupan na adresi Spora.bz. Ovaj domen je u stvari TOR gateway za skriveni TOR sajt koji se ne reklamira javno. Postoji najmanje 10 URL-a koji se koriste za usluge dekripcije. Kada korisnik dođe na sajt, mora da unese ID infekcije iz poruke o otkupnini.

Spora login strana Spora servis login strana, Slika: BleepingComputer

Spora servis za dekripciju Spora servis za dekripciju, Slika: BleepingComputer

Ovakav servis za dekripciju nije do sad viđen na nekom ransomware sajtu. Najpre, korisnik mora da „sinhronizuje“ svoj računar sa portalom za dekripciju tako što uploaduje .KEY fajl.

Sinhronizovanje računara i portala

„Sinhronizovanje“ računara i portala, Slika: BleepingComputer

Sinhronizovanjem .KEY fajla šalju se jedinstvene informacije o enkripciji datog račinara na sajt za plaćanje i povezuje se sa jedinstvenim ID-jem. Sada žrtva može da koristi ostale opcije koje su na raspolaganu na sajtu. Na sajtu su sve opcije uredno sređene, a pojavljuju se i predlozi za pomoć u korišćenju. Sve podseća na neki dobro organizovani sajt za online kupovinu.

Cenovnik usluga Spora ransomwarea

Cenovnik raspoloživih usluga, Slika: BleepingComputer

Cenovnik usluga je sledeći:

  • Dekriptovanje fajlova - $79
  • Imunitet od budućih Spora infekcija - $50
  • Uklanjanje svih fajlova povezanih sa Spora ransomwareom nakon plaćanja otkupnine - $20
  • Vraćanje fajlova - $30
  • Vraćanje 2 fajla - besplatno

Sajt Spore je obezbeđen SSL sertifikatom (HTTPS), koji je izdao Comodo.

SSL sertifikat na Spora sajtu

Portal koji nudi usluge dekripcije je obezbeđen Comodo SSL sertifikatom, Slika: BleepingComputer

Plaćanje se vrši samo u Bitcoin kripto-valuti tako što korisnik dodaje Bitcoine na svoj Spora nalog i odatle vrši plaćanje izabrane usluge.

Treba napomenuti da prikazane cene usluga nisu fiksne već zavise od količine i vrste kriptovanih podataka. Kada žrtva uploaduje .KEY fajl i izvrši sinhronizaciju, prikaže mu se cena otkupnine na osnovu određenih parametara. Do sada je zabeleženo da se ona kreće od $79-$280.

Na portalu postoji i usluga za chat preko koga žrtva može poslati do 5 poruka. Žrtva nakon uplate otkupnine dobija dekriptor kojim otključava fajlove.

Trenutno je Spora aktivna samo u Rusiji, ali moguće je širenje i na druge lokacije i stoga treba ostati oprezan.

Izvor: BleepingComputer