Una amenaza sofisticada con un interesante modelo de negocio: Más archivos encriptados = Mayor “rescate” solicitado.

 

Spora se propaga a través de unidades USB como Gamarue y Dinihou aka Jenxcus, mientras que también encripta archivos. La sofisticación de esta amenaza podría convertirla fácilmente en el nuevo Locky.

Si volvemos en el tiempo vemos cómo las unidades de almacenamiento externo eran medio de fácil propagación de Malware. Conocido como el virus de acceso directo, éste engaña al usuario final haciéndolo ejecutar archivos de accesos directos que reemplazaban todos los archivos del dispositivo y ejecutaban el virus en lugar de abrir sus archivos originales.

 

Correos con archivos adjunto HTA, el medio de propagación común. 

Como la mayoría de Ransomware actual, Spora se propaga comúnmente a través de correo electrónico de spam. Estos correos incluyen un archivo adjunto con extensión .HTA. Habitualmente usa el formato de doble extensión para tratar de hacer creer al usuario que está abriendo otro tipo de archivo: Ejm: “*_pdf.hta”.

 El archivo HTA, creará un archivo JScript en la ruta %TEMP%\close.js y lo ejecuta. El archivo JScript creará dos archivos adicionales  %TEMP%\doc_6d518e.docx y %TEMP%\81063163ded.exe. El archivo de extensión .DOCX se ejecuta y focaliza la ventana, pero aparecerá un mensaje de error indicando que el archivo está corrupto. A su vez es ejecutado el archivo .EXE que es el encargado de realizar el cifrado de la información. 

Se presume que el archivo word es solamente una distracción para el usuario simulando hacer ver al archivo .HTA ejecutado como un archivo que no es posible de abrir.

 G_DATA_spora_word_document_78172w1280h523.png

Imágen tomada de: blog.gdatasofware.com

Comportamiento de gusano similar a Dinihou y Gamarue.

 

Mientras que ZCryptor ya se había considerado una combinación de ransomware y gusano debido a su uso de autorun.inf, Spora va algunos pasos más allá usando las mismas técnicas que Gamarue y Dinihou. La funcionalidad de autorun.inf se había eliminado en Windows 7 y se corrigió en Windows XP y Windows Vista hace más de siete años, por lo que es una técnica ineficaz para que los gusanos se propagen a través de unidades extraíbles. El truco es: Gamarue, Dinihou y ahora también Spora que utilizan accesos directos de Windows (archivos .LNK) en su lugar. 

Spora agrega el atributo oculto a los archivos y carpetas en el escritorio, en la raíz de las unidades extraíbles y la unidad del sistema. Estos archivos y carpetas ocultos no son visibles con las opciones de carpeta estándar. 

Spora entonces pone los accesos directos de Windows con el mismo nombre y el icono como los archivos originales y las carpetas como un reemplazo visible. Esos archivos .LNK abre el archivo original para evitar plantear cualquier sospecha y ejecutar al mismo tiempo el malware. Un ejemplo: la carpeta C:\Windows se oculta y se creará un archivo llamado C:\ Windows.lnk; Se ve exactamente como la carpeta original si se establecen las opciones de carpeta estándar en Windows. 

El gusano es copiado a sí mismo junto a los archivos .LNK, el nombre siempre cambiará ya que es generado basado en el cálculo de la sumatoria del CRC32 del VolumeSerialNumber. Por ejemplo podría llamarse: a277a133-ecde-c0f5-1591-ab36e22428bb.exe

 G_DATA_spora_shortcuts_system_drive_78169w754h582.png

Imágen tomada de: blog.gdatasoftware.com 

El gusano elimina la clave de registro HKCR\lnkfile\isShortcut con el efecto de que la flecha doblada ubicada en la parte inferior izquierda de los iconos de archivos o carpetas, característicos de los accesos directos, no sea mostrada. Lo que le indicaría al usuario que algo no está bien. 

Así que con el simple hecho de navegar a través de las “carpetas” o intentar abrir archivos como “imágenes” o “documentos” el equipo será infectado. Dado esto, no solamente es propagado a unidades de almacenamiento externo si no que encriptará archivos o carpetas nuevas. Lo que hará inutilizable el equipo hasta que este sea desinfectado.

 

Método de encriptación

 

Un aspecto de Spora que lo diferencia de muchos otros Troyanos ransomware es que puede trabajar en modo “Offline” (sin conexión a internet), Spora no genera tráfico a sus servidores de Comando y Control. Spora tampoco apunta a una gran variedad de archivos (a diferencia de algunos troyanos que pueden cifrar hasta mil diferentes tipos de archivos). Spora limita su ataque a los siguientes archivos: 

.backup, .7z, .rar, .zip, .tiff, .jpeg, .jpg, .accdb, .sqlite, .dbf, .1cd, .mdb, .cd, .cdr, .dwg, .psd, .pdf, .odt, .rtf, .docx, .xlsx, .doc, .xls 

También a diferencia de otros troyanos ransomware, Sporta no modificará los nombres de los archivos o su extensión. 

El método de cifrado de Spora es bastante sofisticado, dando como resultado un archivo .KEY y una clave de cifrado necesaria para el descifrado de los archivos afectados. Para descifrar los archivos afectados, se pide a las víctimas del ataque que envíen el archivo .KEY generado a las personas responsables del ataque.

 G_DATA_spora_website_78171w1105h647.png

 Imagen tomada de: blog.gdatasoftware.com

Estadísticas acerca de los archivos encriptados

 

Spora cuenta el número de archivos encriptados y los agrupa en 6 diferentes categorías según tipo de extensión. 

Con estas estadísticas puede generar el archivo .KEY solicitado para desencriptar la información del usuario. 

Gracias a que el .KEY ha sido generado basado en las estadísticas de los archivos infectados, al subirlo en la página de rescate, el valor a pagar será calculado basado en esas estadísticas. 

Por ejemplo, si han sido encriptados (Valores estimados y aproximados) cerca de 2000 archivos de office (documentos), 1500 PDF, 1200 imágenes y 90 archivos comprimidos. El pago a realizar será aproximadamente de entre 79 USD a 110 USD.

 

Comportamiento adicional

 

Spora no puede pasar a través del control de acceso de usuarios (UAC). Esto significa que al intentar ejecutar el troyano-gusano será solicitado al usuario por permisos de elevación. 

Si es ejecutado el malware, éste borrará las instantáneas de volumen (VSS por sus siglas en inglés: Volume Shadow Copies) y la recuperación de errores en el inicio de Windows.

 

Recomendaciones

 

Esto nos permite evidenciar cómo evoluciona la industria de Ransomware que a día de hoy es prácticamente una organización criminal y los diferentes medios de cómo quiere llegar (propagarse) a más usuarios. 

Por favor tenga en cuenta los siguientes consejos de seguridad: 

  1. Una solución antivirus robusta y actualizada en TODOS los equipos de su red.

  2. Sistemas de seguridad perimetral para la red y su sistema de correo electrónico.

  3. Nunca abra un archivo adjunto que no ha solicitado incluso si proviene de un usuario de confianza y mucho más si es un contacto desconocido.

  4. Perfiles de usuario de windows de tipo administrador solo y únicamente cuando sea necesario.

  5. Sistema de compartición de archivos en red bien estructurado. (Evitar el uso de compartir a “Todos”).

  6. Respaldo constante de la información más importante para su organización.

  7. Implemente fuertes políticas de control de dispositivos de almecanemiento extraíble

Si desea obtener mayor información de cómo funciona exactamente el método de encriptación, puede revisar el artículo original publicado en el blog de G Data Software Antivirus. 

https://blog.gdatasoftware.com/2017/01/29442-spora-worm-and-ransomware

Recuerde que si ha recibido un correo electrónico que le parece sospechoso puede reenviarlo a virus@virus.com.co para obtener la opinión de un experto o puede verificar en virus.com.co si no ha sido publicado previamente.