Вымогатель Spora очень сложен и предлагает купить иммунитет от заражения

Первыми появление вымогателя Spora заметили пользователи форумов Bleeping Computer и «Лаборатории Касперского». Опираясь на жалобы пользователей, исследователи Emsisoft, MalwareHunterTeam и журналисты Bleeping Computer изучили малварь и пришли к выводу, что шифровальщик весьма необычен.

В настоящее время Spora распространяется посредством почтового спама: вредоносные письма содержат вложенные архивы ZIP, внутри которых находятся файлы HTA (HTML Application). Причем HTA используется в качестве добавочного расширения, то есть расширения файлов выглядят как PDF.HTA или DOC.HTA. Так как на компьютерах большинства пользователей отображение расширений отключено, потенциальные жертвы увидят только первую часть, решив, что перед ними обычный документ.

Если пользователь запускает HTA-файл, в директорию %Temp% извлекается Javascript-файл close.js, который создает исполняемый файл со случайным именем (в тестах исследователей — 81063163ded.exe)  и запускает его. Это и есть основная часть малвари, которая немедленно начинает шифрование данных. Чтобы отвлечь внимание жертвы, Spora также извлекает и открывает файл DOCX. Так как данный файл намеренно поврежден, он отобразит ошибку. Для пользователя все будет выглядеть так, будто документ из письма, который он попытался открыть, был поврежден при передаче или загрузке.

В отличие от большинства современных шифровальщиков, Spora работает в оффлайне и не создает никакого сетевого трафика, а также весьма избирательно подходит к шифрованию файлов. Малварь интересуют только следующие расширения: .xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup.  Кроме того, шифровальщик не изменяет расширения файлов, что тоже достаточно необычно. Чтобы не повредить ОС слишком сильно и не помешать работе компьютера, Spora не трогает папки games, Program files (x86), Program files и Windows.

Согласно данным специалиста Emsisoft Фабиана Восара (Fabian Wosar), Spora шифрует файлы надежным и сложным способом, и никаких слабых мест эксперту обнаружить не удалось. Восар опубликовал развернутый пост, посвященный работе системы шифрования Spora. По сути, вымогатель генерирует мастер-ключ .KEY, а также создает ключ шифрования для блокирования данных жертвы.

«Генерируется RSA-ключ, генерируется AES-ключ, RSA-ключ шифруется с помощью AES-ключа, сам AES-ключ шифруется с использованием публичного ключа, встроенного в код исполняемого файла, а затем оба ключа сохраняются в .KEY-файл», — рассказывает про .KEY-файл Восар.

Процесс шифрования информации жертвы выглядит немногим проще, вот как его описывает Восар:

«Генерируется ключ AES, который шифруется сгенерированным ключом RSA, затем файлы жертвы шифруются с использованием AES-ключа и все это сохраняется в файл. Для расшифровки данных нужно послать им .KEY-файл. Тогда они смогут использовать приватный ключ и дешифровать AES-ключ, который использовался для шифрования RSA-ключа для вашей системы, а затем расшифровать и его. Скорее всего, потом они вставляют RSA-ключ в декриптер и отсылают декпритер вам. Дешифровщик использует RSA-ключ, чтобы расшифровать AES-ключи в файлах и сами файлы с их помощью».

Публичный RSA-ключ, жестко закодированный в Spora:

-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6COfj49E0yjEopSpP5kbeCRQp
WdpWvx5XJj5zThtBa7svs/RvX4ZPGyOG0DtbGNbLswOYKuRcRnWfW5897B8xWgD2
AMQd4KGIeTHjsbkcSt1DUye/Qsu0jn4ZB7yKTEzKWeSyon5XmYwoFsh34ueErnNL
LZQcL88hoRHo0TVqAwIDAQAB
-----END PUBLIC KEY-----

Кроме того, завершив шифрование, вымогатель также выполняет CLI-команду, которая удаляет теневые копии, отключает Windows Startup Repair и вносит изменения в BootStatusPolicy:

process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures"

Как только процесс шифрования окончен, Spora добавит .KEY-файл и сообщение с требованием выкупа на рабочий стол пользователя и в другие папки. Сообщение содержит не только подробные инструкции, но и уникальный ID жертвы в формате CCCXX-XXXXX-XXXXX-XXXXX-XXXXX или CCXXX-XXXXX-XXXXX-XXXXX-XXXXX, где CCC и CC – это код страны, а X – буквы и цифры.

Исследователи не могли не отметить, что сайт злоумышленников, на который шифровальщик отправляет жертву, выглядит крайне профессионально и необычно. Хотя вымогатель отсылает пострадавших по адресу Spora.bz – это не более чем Tor-гейтвей, и операторы малвари используют не менее десятка разных URL. Более того, сайт заботится о посетителях и использует SSL-сертификат Comodo.

На настоящем сайте в даркнете пользователю нужно будет не только ввести свой ID, но и провести «синхронизацию»: для этого понадобится загрузить на сайт .KEY-файл.

После авторизации (посредством ID) и синхронизации, пользователю станут доступны различные опции, каждая из которых комплектуется развернутым всплывающим описанием. Операторы малвари предлагают своим жертвам не только обычную расшифровку данных, на сайте можно найти следующие опции:

  • расшифровка всех файлов (79$);
  • купить иммунитет против будущих инфекций Spora ($50);
  • удалить все связанные со Spora файлы после оплаты выкупа ($20);
  • восстановить файл ($30);
  • восстановить два файла бесплатно.

Исследователи пишут, что основываясь на данных .KEY-файла сайт шифровальщика отображает разные цены для разных пользователей. Все зависит от того, как много данных было на машине жертвы и насколько критичной была зашифрованная информация. Так, если простого пользователя попросят заплатить $79, то компании полная расшифровка данных обойдется в $280.

Согласно данным MalwareHunterTeam, большинство пострадавших от Spora пользователей, воспользовавшихся сервисом идентификации малвари ID-Ransomware, были из России. Более того, сообщение с требованием выкупа и вредоносные письма, распространяющие шифровальщика, тоже написаны на русском языке. Не трудно сделать вывод, что основной целью Spora на текущий момент являются российские пользователи.

Исследователи сравнивают Spora с такими профессионально написанными шифровальщиками, как Locky и Cerber. По мнению экспертов, над Spora работала группа людей, которая ранее уже занималась вымогательским ПО. Эти люди хорошо понимают, что делают.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (35)

  • Каким образом js создаёт файл, да ещё и запускает его?

    • WSH, наверное. А вот с созданием файла действительно интересно, либо он крохотный и лежит в коде например, как BASE64-массив, либо качает можт.

    • JS представляет собой своеобразный архив с тремя файлами: шифровальщик, hta сообщения и битый (или не битый) doc

    • В обфусцированный js файл вшит exe-шник, который при запуске и шифрует файлы.

  • Напоминает последние версии Bat.Scatter. Не удивлюсь, если авторы те же.

  • Честно говоря, не совсем понятно, зачем нужна дополнительная обертка RSA ключом. Почему бы просто не сгенерировать AES ключ, зашифровать его на СВОЁМ вшитом открытом ключе RSA и поместить зашифрованные данные в .KEY. Для расшифрования также попросить .KEY, расшифровать ключ AES и отправить декриптор со вшитым ключом AES.

  • Доброго времени всем! Будьте аккуратны, к несчастью мы столкнулись с этой проблемой, перевели деньги, однако есть проблема с расшифровкой файлов, часть файлов не расшифровывается (к примеру файловая база 1с). Общение со злоумышленниками не дало результата..

  • Всем привет! столкнулись с этой проблемой. Вирус интересен тем, что не меняет название файлов и люди замечают проблему только после того как не открылся файл, да и притом не сразу понимают проблему. Вирус сложный и интересный по своему, шифровальщик. По опыту сталкивался с разными шифровальщиками на протяжении последних нескольких лет, такая беда впервые (( Самое интересное что на момент заражения (утро 8 часов обновленный доктор веб его не обнаруживал, обнаружил только к концу дня). Одно порадовало - личный кабинет, сделано прям как в лучших традициях интернет-магазинов. Даже (!) поддержка есть, причем отвечают достаточно оперативно. Есть сервис по проверке привязки ключей, загружаешь файл - скачиваешь дешифрованный. Только еще прикол в том, что если есть сеть, то распространяется через сетевые папки и шифрует компьютеры дальше. В нашем случае купили ключи получили моментально закрытые и дешифратор. Обычный дешифратор, запускаешь и всё дешифрует, только проблема с сетевыми папками, но (!) всё в том же волшебном чате, оказали поддержку, дали даже утилиту для сетевых папок. Печально конечно ибо денег стоило, но без вариантов как и с большинством новых шифровальщиков. А так все как у всех, оплата через биткоин. Но не кидают, по крайней мере нас. Так что горестно что встряли, парни молодцы что не кинули, негодяи что такую печаль создали (хотя тут тоже можно похвалить и сказать что молодцы, сидят в тайланде наверное и отдыхают). За данное сообщение обещали отдать 10% за отзыв.

    • Отличная реклама авторам шифровальщика.
      Так скоро кибервымогательство станет вполне легальным бизнесом. 😂😂😂😂

  • Привет всем бедолагам подхватившие вирус spora! Вирь попал к нам через почтовый сервер и минуя все антивирусы и прочую защиту стал шифровать данные сначала на локальном ПК, потом полез по сети в поисках доступных для записи папок, конечно тут сработал человеческий фактор! После шифровки вылезло сообщение о том что файлы зашифрованы и ключ, с которым можной войти в персональный кабинет.
    В персональном кабинете после синхронизации все доступно расписано, что куда, кому и сколько нужно отдать что бы вернуть свое добро! Ниже скрин кабинета после покупки ПО.

    В кабинете есть чат, чат живой но всего доступно 10 сообщений! В чате пишут такие же бедолаги, им отвечает админ. Кстати просить скидку бесполезно. Сколько не просили все бестолку. В итоге пришлось покупать полное восстановление, которое нам обошлось в 280$ . В итоге пока шла транзакция курс поменялся и получилось что денег прилетело больше на 10$ . После пополнения баланса доступна покупа "полное восстановление" После покупки с баланса списывается 280$ и теперь можем скачать дешифратор. Скачиваем , в архиве был ключ и exe-файл. Для безопасности сложили все файлы из сети на отдельный комп и там запустили программу. Открылась командная строка и побежали строчки. Программа отработала около 2 часов все информация была восстановлена.

  • Мой сказ о SPORE. Все случилось как всегда в самый «подходящий» момент 27.01.2017, послеобеденную дремоту админа нарушил звонок бухгалтера – файл что то не открывается… Пятница…Не сразу разобрались что случилось, файлы все есть но что то не так, даты у всех одинаковые, 1:30 от заражения. Допрос бухгалтера все прояснил, открыла некий архив , с каким то вложением. Ну далее как обычно локализация, осознание, чтение форумов, в том числе и этой ветки, понимание. Решаем, произвести оплату. И так имеем зашифрованы: рабочие столы, документы и общие сетевые ресурсы. Хорошо сделанная инструкция и присутствие поддержки, не отпугивают. Обмен денег на биткоины с небольшим запасиком. 28.01.2017 в 12:00 по Москве связываемся с обменником с самым выгодным курсом, перевод со сберкакарты, через 15-20 минут в личном кабинете скачиваем ключ и дешифратор. Проверяем- работает, ну и запускам процесс. Через 2 часа все готово. Документы как зашифровали, так и расшифровали. Настраиваем резервирование, выдыхаем. Конец истории. Мораль – делайте бацкапы! На компах ДрВеб корпоративный – купленный, стал видеть SPORE только 30.01.2017.

  • ВСЕМ! ВСЕМ! ВСЕМ! Я не БОТ, а реальный человек ID: 58681FFA538BE6, который так же пострадал от шифровальщика Spora. Ребята хочу сказать, что они действительно существуют и действительно по чесноку выполняют свои обязательства, тем кто с ними связывался и оплачивал расшифровку, никакого КИДНЯКА НЕТ!!! Вот моя история: - Я как и многие здесь схватил этого червяка16.01.2017г. даже не знаю, как это произошло. Но не в этом суть. Пробовал разные, защиты, ходил к знакомым компьюторщикам, но все разводили руками и говорили мне Чувак ты попал. Ничего не помогало. Я сам музыкант и у меня все мои рукописи, рабочий материал и фотоматериал для нового альбома и сайта зашифровались. ТРАГЕДИЯ ПОЛНАЯ! Что делать не знал, просто ступор.. Денег к сожалению тоже нет, они появятся ближе к лету, а сейчас вообще жоппппа занимал деньги на памперсы ребенку. Решил им написать и просто поговорить, ведь они тоже люди. Написал им письмо в ЧАТ, можете его посмотреть, оно там под цифрой 5, такое, очень длинное. Они посмотрели и сняли с меня все ограничения и дедлайн до появления у меня возможности им оплатить. Но оплатить я смогу, не раньше чем летом, и я вновь им решил написать, не надеясь, на то, что поможет, но маленькая надежда была. Я попросил их в ЕДИНИЧНОМ случаи снять с меня шифровальщик и восстановить все мои утерянные файлы. Они мне пообещали. Честно говоря, не очень верил, НО ОНИ СНЯЛИ И ПОЛНОСТЬЮ ВОССТАНОВИЛИ все файлы. РЕБЯТА за базар отвечают. Это я вам рассказываю, к тому, что они действительно выполняют свои обязательства. В ЧАТе многие писали, что они оплатили и им все восстановили - это не лохотрон - это правда так и есть. Кому нужна ВАША информация, платите и не переживайте, ВСЕ ВЕРНУТ! Не оскорбляйте, не материтесь и не опускайтесь ниже плинтуса, ведь здесь наверняка есть девушки, и к сожалению дети. Ведите себя достойно, не смотря не на что, оставайтесь людьми. Всем УДАЧИ! НЕ ПЕРЕЖИВАЙТЕ ОПЛАЧИВАЙТЕ И ВСЕ ВОССТАНОВИТЬСЯ!

    • А скажите мне, Михаил1973. Если вы реальная жертва этих "ребят", зачем вы им рекламу делаете? Правильно ли я понял, что таков был ваш уговор с ними? Будет интересно увидеть и комментарий человека от них, который станет проверять ваш пост.

  • Здравствуйте, ребята "умоляю" никакой рекламы, я просто говорю о том, что если у вас ОЧЕНЬ ВАЖНАЯ информация, то можете не бояться за свои оплаченные деньги, они все вернут..., если "инфа" так себе, конечно лучше не платить. Каждый решает для себя сам... Но пока, я еще ни от кого не слышал, что бы кто-то справился с этой проблемой сам не платя...( Всем добра и удачи!

  • Утро начинается не с кофе. Знакомый бухгалтер вызвонила с истеричным криками, то что на ПК ничего не запускается и не открывается. В общем, из серии "Я что-то нажала и всё исчезло". Оказалось, что в почте открыла вложение и словила шифратор Spora. После изучения ситуация, к сожалению, пришлось заплатить $360. После получения шифровальщика всё расшифровалось, включая базы 1С 7.7 и 8.3. Буху урок. Будут чаще делать резервные копии. Будьте осторожны...

Похожие материалы