Ransomware Spora se chová jako červ a začíná se šířit celosvětově

Objevila se nová varianta ransomware Spora, která se chová i jako červ a na koncovém zařízení šíří se prostřednictvím .lnk zástupců ve Windows.

Rovněž výši výpalného nestanovuje jen podle typu souborů, ale i počtu souborů, které se jí podařilo zašifrovat.

Vektorem útoku již není jen e-mail s přílohou, ale i web. Na některých webových stránkách lze narazit na iframe s RIG-v exploit kitem, který zneužívá zranitelnosti ve Flashi. Na této heat mapě je vidět, jak se ransomware Spora rozšířil za posledních 7 dnů.

Spora maže záznam HKCR\lnkfile\isShortcut v registrech, který určuje, zda se bude u zástupců zobrazovat v levém dolním rohu malá šipka indikující, že se jedná o zástupce.

Poté ransomware Spora nastavuje atribut hidden na soubory a adresáře na ploše, a dále pak v kořeni systémového disku a případně i vyjímatelných disků. Místo nich pak vytváří zástupce, které však díky výše popsanému zásahu do registru na první pohled jako zástupci nevypadají.

Zástupce, který má následující podobu: /c explorer.exe „<originalfile>“ & type „<worm>“ > „%%tmp%%\<worm>“ & start „<originalfile>“ „%%tmp%%\<worm>“ však neotvírá jen adresář nebo soubor, na který odkazuje, nýbrž spouští i samotný ransomware.

Ten se jako skrytý soubor nachází na disku a jeho název je spočten jako kontrolní součet CRC32 ze sériového čísla daného disku (VolumeSerialNumber). Prostým procházením souborovým systémem a klikáním na příslušné adresáře a soubory se pak tento ransomware spouští a šifruje i nově vytvořené soubory na připojených discích.

Ransomware Spora se mimo jiné snaží i smazat stínové kopie, což se projeví zobrazením dialogového okna User Account Control, kde uživatel musí tuto akci potvrdit. Když ji nepotvrdí, tak ke smazání stínových kopií nedojde. Více informací zde.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Ransomware Spora se chová jako červ a začíná se šířit celosvětově” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: