Spora: новый шифровальщик из Даркнета

отредактировано February 2021 Раздел: Шифровирусы шумной толпою
Программы-вымогатели признаны растущей угрозой. Новые вымогатели появляются каждую неделю. Эксперты Лаборатории Emsisoft часто участвуют в выявлении и анализе новых угроз. Новая программа-вымогатель не стала исключением. Первоначально мы заметили этого вымогателя сегодня на сайте ID-Ransomware. Наше внимание привлекли неспецифичные для ранее известных вымогателей характеристики и довольно высокий уровень профессионализма как во внедрении шифровальщика на компьютер жертвы, так и в подаче последующей информации. В этой статье мы не только подробно рассмотрим внутренние механизмы Spora, но также уделим внимание его сложной бизнес-модели и расскажем, как Вы можете защитить себя от новейших семейств вымогателей.


Spora – новый вымогатель-шифровальщик

Spora написан на C и запакован с помощью упаковщика исполняемых файлов UPX. В отличие от большинства семейств вымогателей, Spora не переименовывает те файлы, которые шифрует, поэтому нет никаких конкретных расширений файлов, связанных именно с этим шифровальщиком. После заражения системы шифровальщик оставляет хорошо свёрстанную HTML-записку и файл с .KEY-расширением. Основное имя и того, и другого файла идентично идентификатору пользователя, который вымогатель присваивает конкретному пользователю. Записка от вымогателей написана по-русски:

e6yw4etbi1sl.jpg

Пара моментов, на которые мы сразу обратили внимание. Во-первых, подача и сам интерфейс выглядят профессионально и почти красиво. Во-вторых, в отличие от других программ-вымогателей, сумма выкупа, требуемая создателями Spora, показалась нам сравнительно низкой. Немного позднее мы объясним, как и почему это происходит. Наличие различных «пакетов», которые программа-вымогатель предлагает оплатить своим жертвам, определённо вызывает интерес. Вы можете выбрать, за что заплатить: только за восстановление Ваших зашифрованных файлов или за удаление программы-вымогателя и создание иммунитета к будущим атакам за дополнительную плату. Поэтому в Spora есть что-то такое, чего мы раньше не наблюдали в других программах-вымогателях. На веб-сайте вымогателей работает чат, через который Вы можете связаться со злоумышленниками. Его, конечно, сложно назвать чем-то уникальным, но чат с вымогателями это определённо не самое часто встречаемое явление. До настоящего момента отмечается, что злоумышленники отвечают жертвам довольно оперативно.

Spora: генерация ключей и шифрование

Spora использует сочетание RSA и AES для шифрования данных жертвы. Чтобы облегчить шифрование в системе используется CryptoAPI, интерфейс прикладного программирования приложений от Windows. После того, как шифровальщик оказывается в системе, Spora первым делом находит и дешифрует открытый RSA-ключ создателя вредоносной программы, встроенный внутрь исполняемого вредоносного файла, с помощью жёстко закодированного AES-ключа. После успешного извлечения открытого RSA-ключа создателя вредоносной программы, шифровальщик создаёт новую 1024-битную пару RSA-ключей, которую мы будем называть парой RSA-ключей жертвы (закрытого и открытого ключа). Также генерируется новый 256-битный AES-ключ для шифрования закрытого RSA-ключа жертвы. Как только закрытый RSA-ключ жертвы будет зашифрован, то шифруется уже AES-ключ с помощью открытого RSA-ключа автора шифровальщика. Затем зашифрованный набор ключей вместе с некоторой дополнительной информацией сохраняется внутри файла с расширением .KEY.

К сожалению, после анализа способа, который используется Spora для шифрования, выявлено, что нет иного способа восстановления зашифрованных файлов, кроме как получения доступа к закрытому ключу автора вредоносной программы.

Как я могу защитить себя от Spora?

Как мы уже объясняли в одной из статей нашего блога, лучшей защитой, по-прежнему, остаётся надёжная и зарекомендовавшая себя стратегия создания резервных копий. Тем более, что шифрование, используемое Spora, является надёжным. И единственный способ получить обратно свои данные – обратиться к создателю программы-вымогателя. Помимо необходимости регулярного резервного копирования, другой подтверждённой лучшей защитой является технология “Анализ поведения”... Благодаря “Анализу поведения” программа-вымогатель выявляется раньше, чем файл будет выполнен. И это в очередной раз защищает наших пользователей от этого вымогателя и от сотен других программ семейств вымогателей даже без необходимости в их сигнатурах.

полный текст статьи здесь:
http://blog.emsisoft.com/2017/01/10/from-darknet-with-love-meet-spora-ransomware/
p.s.
отличная статья (с качественным вариантом на русском языке) с детальным разбором поведения шифратора.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано January 2017 PM
    Вымогатель Spora впечатлил исследователей сложностью
    Исследователи из Bleeping Computer предупреждают о новом вымогателе, названном создателями Spora. Несмотря на новизну, зловред впечатляет своей зрелостью: он использует надежное шифрование и достоверно выполненные поддельные email-сообщения, а также умеет работать без подключения к Интернету и обладает солидной инфраструктурой, в том числе сервисом для уплаты выкупа, не уступающим по юзабилити многим легальным ecommerce-сайтам.

    https://threatpost.ru/vymogatel-spora-vpechatlil-issledovatelej-slozhnostyu/20023/
    +
    https://xakep.ru/2017/01/12/spora-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2017 PM
    Spora - the Shortcut Worm that is also a Ransomware

    01/18/2017 | Bochum, Author: Karsten Hahn

    Spora является еще и червем, и может распространяться через съемные диски, если они были подключены на момент запуска шифратора.
    Spora spreads via USB drives like Gamarue and Dinihou aka Jenxcus whilst also encrypting files. The sophistication of this threat could easily make it the new Locky. We discuss its infection and encryption procedure and show how it uses statistical values about encrypted files to calculate the ransom amount.

    Схема шифрования с использованием RSA (public) A, AES key B, RSA (private) C1, RSA (public) C2, AES key file1,2,...........
    Spora generates a pair of RSA keys, C1 and C2 (1024 bit). This newly generated public RSA key C2 is used to encrypt the per-file AES keys which are also generated by Spora. The generated private RSA key C1 on the other hand is stored in the .KEY file. That file is encrypted using a newly generated AES Key B (256 bit). The attacker's public RSA key A2 is used to encrypt AES key B. The encrypted key B is appended to the .KEY file. The figure below shows the code that writes the .KEY file's content including the encrypted AES key B to disk.

    A second important file is the .LST file which contains a list of all encrypted files. Its encryption works analogous to the .KEY file encryption. A new AES key is generated, used to encrypt the .LST contents, encrypted by the public RSA key A2 of the attacker and appended to the .LST file in encrypted form (see screenshot below):
    z6h3atjbr679.jpg

    https://blog.gdatasoftware.com/2017/01/29442-spora-worm-and-ransomware
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2017 PM
    1. Spora теперь распространяется не только через email, но и через эксплойты.

    2. Spora расширяет географию своего распространения.

    Spora-spreading.jpg

    https://www.bleepingcomputer.com/news/security/and-so-it-begins-spora-ransomware-starts-spreading-worldwide/


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2017 PM
    Explained: Spora ransomware

    Опубликовано 10 марта 2017 года компанией Malwarebytes Labs
    В настоящее время вымогательство стало самым популярным видом вредоносного ПО. Большинство новых семей готовят любители (script-kiddies), и они распространяются в небольших масштабах. На этом рынке есть только несколько крупных игроков, которые готовят профессионалы. Недавно к этому набору присоединился Spora ransomware. Как мы увидим, некоторые элементы предполагают наличие хорошо подготовленной группы преступников.

    Spora получил некоторую шумиху от вымогательства, которое может зашифровать файлы в автономном режиме. На самом деле, эта концепция не нова - мы уже видели много семейств вымогателей, которые могут сделать то же самое. Например, DMA Locker 3.0, Cerber или некоторые новые версии Locky. Тем не менее, он имеет некоторые другие функции, которые делают его интересным.

    Spora - это интересное вымогательство, которое, несомненно, создано авторами с опытом программирования. Тем не менее, код не запутывается и исполнение очень шумное по сравнению с другими вредоносными программами - может показаться, что авторы не являются профессиональными разработчиками вредоносных программ (в отличие от авторов Cerber).

    У используемой реализации криптографии, по-видимому, нет недостатков, которые позволяли бы дешифровать атакуемые файлы без выплаты выкупа, поэтому мы рекомендуем сосредоточиться на предотвращении..... Хотя в настоящее время нет дешифрования для инфицированных, мы предлагаем сохранить резервную копию зараженных файлов, поскольку в будущем может появиться decrypter.

    https://blog.malwarebytes.com/threat-analysis/2017/03/spora-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Spora, новый вариант вымогательства, недавно выявленный исследователями безопасности, написан с надежностью и особенностями, что делает его более развитым, чем его коллеги. [1]
    Подобно существующим ransomware, Spora зашифровывает файлы пользователя и удерживает заложник до тех пор, пока платеж не будет произведен. Тем не менее, Spora во многом отличается от других вымогателей. Например, он может шифровать файлы в автономном режиме, предлагает многоуровневую систему платежей и использует профессиональный платежный портал, который включает инструмент чата.


    Хотя Spora в основном нацелена на русскоязычных жертв, она начала распространяться во всем мире с сообщенными инфекциями в Саудовской Аравии, Австрии, Нидерландах и некоторых других западноевропейских странах [2].


    Spora распространяется через спам-сообщения, фальшивый пакет шрифтов Chrome или набор эксплойтов RIG-v (EK). Чаще всего он будет использовать спам-почту для заражения жертв, замаскированный под счет-фактуру от российского бухгалтерского программного обеспечения 1С. Письмо содержит одно вложение, HTA-файл. При двойном щелчке файл HTA запускает код загрузчика Jscript и помещает два файла в каталог% TEMP% и выполняет оба -

    doc_6d518e.docx
    81063163ded.exe

    https://community.rsa.com/community/products/netwitness/blog/2017/03/01/alerting-on-spora-ransomware
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2017 PM
    Spora Ransomware: Understanding the HTA Infection Vector

    Published on March 9, 2017
    Kevin Douglas
    Senior Manager Engineering at RSA Security
    Недавно MalwareHunterTeam объявила об открытии нового вымогательства. Это вымогательство, Spora, является одним из самых сложных примеров, увиденных на сегодняшний день. Согласно BleepingComputer, Spora имеет «первоклассное шифрование», «имеет самый сложный сайт оплаты до сих пор» и «профессиональную службу дешифрования». Даже его вектор заражения демонстрирует уровень сложности выше и выше его предшественников.

    Один из векторов заражения Spora - через вложение электронной почты HTA. Во время заражения нет необходимости в дополнительном сетевом взаимодействии - эта вредоносная программа полностью автономна. HTA содержит встроенную копию Spora, которая расшифровывается и устанавливается на зараженном компьютере в момент открытия вложения. Если у вас есть вложение, у вас уже есть Spora - есть сетевое соединение, или нет.

    Большинство из нас уже знакомы с типичными векторами заражения от дропперов, которые используют файлы Microsoft Office, документы PDF, Flash-файлы и т. Д. Spora выбрала HTA в качестве дроппера вредоносных программ. Интересный выбор ... Итак, что такое HTA?

    HTA означает HTML-приложение. Это технология, которую Microsoft создала, чтобы графические пользовательские интерфейсы можно было напрямую связать с логикой сценариев. Языки Scripting, такие как VBScript, не имеют собственных возможностей GUI. HTA использует Internet Explorer для предоставления сценариев с графическим интерфейсом. Несмотря на то, что они используют Internet Explorer, они запускаются за пределами браузера через MSHTA.exe. Это означает, что они свободны от обычных ограничений безопасности, установленных для сценариев, запускаемых в веб-браузере.
    «HTA, напротив, не связаны теми же ограничениями безопасности, что и Internet Explorer; Это потому, что HTA работают в другом процессе, чем Internet Explorer. (HTA запускаются в процессе Mshta.exe, а не в процессе Iexplore.exe.) В отличие от HTML-страниц HTA могут запускать сценарии на стороне клиента и иметь доступ к файловой системе. Помимо всего прочего, это означает, что HTA могут запускать сценарии системного администрирования, в том числе те, которые используют WMI и ADSI. Ваши сценарии будут работать просто отлично, и вы не будете получать никаких предупреждений о элементах, которые могут быть небезопасными. "- Microsoft TechNet
    Как и многие другие дропперы с вредоносными программами, сообщается, что файл HTA Spora изначально доставляется на целевую страницу через вложение электронной почты. Механизм доставки не имеет большого значения, поскольку HTA-файл достигает жертвы, и жертва, скорее всего, щелкнет по нему.

    Spora маскирует имя файла HTA, так что оно включает два расширения файла (например, <filename> .doc.hta). Скорее всего, это попытка автора вредоносного ПО скрыть фактическое расширение файла .hta от жертвы. На компьютерах Windows, настроенных на скрытие расширений файлов, фактическое расширение файла (.hta) будет скрыто от пользователя, в результате чего будет отображаться только поддельное расширение файла (например, <filename> .doc появляется, а не <filename> .doc. Hta). Цель состоит в том, чтобы обмануть пользователей нажатием на файл, полагая, что они открывают документ Word, а не HTA-файл.
    https://www.linkedin.com/pulse/spora-ransomware-understanding-hta-infection-vector-kevin-douglas
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2017 PM
    Проверяем: действительно, файлы Spora стали детектироваться в ID Ransomware,
    а это значит, станет возможным детект зашифрованных файлов в CryproSearch



    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.