Ransomware Spora stanovuje výši výpalného dle typu zašifrovaných souborů

Od začátku roku uplynulo sotva pár dní a už zde máme první poměrně sofistikovaný ransomware nazvaný Spora, který by se dal označit za novou generaci ransomware.

Spora ransomware je šířen emailem jako příloha ve formátu PDF, ale ve skutečnosti se jedná o HTA aplikaci s vbscriptem.

Po spuštění HTA aplikace vytvoří v adresáři %TEMP% obfuskovaný javascript close.js. Ten po spuštění vytvoří dva soubory, a to poškozený wordovský dokument, který nejde otevřít a slouží jenom jako jakási kouřová clona a spustitelný soubor napsaný v jazyce C, který obsahuje 1024 bitů dlouhý veřejný RSA klíč útočníka zašifrovaný pomocí AES 256 bitů dlouhého klíče.

Po spuštění se tento veřejný klíč (A_PUB_KEY) dešifruje a vygeneruje se zcela nový RSA pár klíčů (V_PUB_KEY a V_PRV_KEY) a rovněž i nový AES 256bitový klíč (V_AES). V_PRIV_KEY je zašifrován pomocí V_AES a V_AES je pak zašifrován pomocí A_PUB_KEY, výsledky tohoto šifrování jsou uloženy do souboru .KEY. V_AES je poté uvolněn z paměti.

Poté ransomware Spora začne šifrovat jednotlivé soubory jedinečným, pro každý soubor za tímto účelem vygenerovaným, AES 256 bit klíčem (U_AES), který následně zašifruje pomocí V_PUB_KEY a připojí ho k zašifrovanému souboru a U_AES poté rovněž uvolní z paměti.

Aby se oběť mohla dostat ke svým datům, potřebuje získat V_PRIV_KEY, kterým by mohla dešifrovat U_AES, jenže V_PRIV_KEY je zašifrován V_AES, a ten je zase zašifrován A_PUB_KEY. A k V_AES se oběť nedostane dříve, dokud nezaplatí výpalné v Bitcoinech.

Po zašifrování Spora zobrazí profesionálně vypadající uživatelské rozhraní s možností chatu, které obsahuje několik i variant plateb, jejichž výše se dále odvíjí od skóringu klienta, který je založen na typu souborů, které byly zašifrovány. Spora rozlišuje 6 kategorií souborů: dokumenty office, PDF soubory, technické výkresy, databáze, obrázky a archivy.

Spora funguje bez C&C serveru, a až po zaplacení a nahrání A_PUB_KEY(V_AES) na server by mělo proběhnout jeho dešifrování pomocí A_PRIV_KEY. Na první pohled se zdá, že Spora implementovala kryptografii správně a nebudete tak možné data dešifrovat jinak. Více informací najdete zde.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Ransomware Spora stanovuje výši výpalného dle typu zašifrovaných souborů” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: