giovedì 19 gennaio 2017

Una nuova famiglia di ransomware avanzatissima : Spora!


Questa settimana è stata individuata una nuova famiglia di ransomware: si chiama Spora, la traduzione dal russo di "spore". Le  caratteristiche più importanti di questo nuovo ransomware sono una complessa routine per la crittografia, la capacità di lavorare offline e un sito per il  pagamento del riscatto molto avanzato, per il momento il più sofisticato che abbiamo visto tra quelli creati dagli autori dei ransomware.

Le modalità di distribuzione...

Attualmente è distribuito tramite e-mail di spam mascherate da fatture. Queste e-mail contengono allegati in forma di file ZIP che contengono due file HTA (HTML Application) PDF.HTA o DOC.HTA. Già qui è visibile l'inganno: nei computer Windows dove non è attivata la visualizzazione delle estensioni de file, questi due file potrebbero apparire come innocui PDF o Doc, mentre l'apertura di uno di questi file avvia immediatamente il ransomware. Se l'utente cade nella trappola e apre i supposti "documenti", l'infezione si avvierà in background.


Se l'utente apre il file  HTA, verrà estratto un file JavaScript denominato close.js nella cartella
% Temp%, che estrae a sua volta un eseguibile nella stessa cartella e lo avvia.
Questo eseguibile utilizza un nome generato in modo casuale e comincia a crittografare tutti i file.
Inoltre, il file HTA  contiene un  DOCX, naturalmente corrotto, che mostrerà solo un errore.


Anche altre famiglie di malware utilizzano questo stesso trucco: l'apertura di file danneggiati al fine di indurre gli utenti a pensare che il file si sia danneggiato durante il trasferimento e-mail o l'operazione di download in modo da non insospettire dell'infezione in corso .

Diversamente dalla maggior parte delle famiglie ransomware di oggi, Spora funziona offline e non genera alcun traffico di rete per server online. Per fortuna non bersaglia (per ora) un gran numero di file ma per il momento funziona solo con le seguenti estensioni:


.xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup

Il processo di crittografia non aggiunge alcuna estensione in più alla fine del file, lasciando intatti i nomi dei file. Per evitare di danneggiare i computer al punto da impedire le normali procedure di avvio e altre operazioni, Spora salta file che si trovano in determinate cartelle. Per impostazione predefinita, Spora non cripta i file in cartelle che contengono le seguenti stringhe nei loro nomi:

games
program files (x86)
program files
windows

Spora utilizza una crittografia di altissimo livello...
L'intera operazione di cifratura sembra essere molto complicata. Spora esegue una serie complessa di operazioni per creare il file .KEY e crittografare i file. Genera una  chiave RSA, genera una chiave AES, cripta la  chiave RSA con la  chiave AES, poi cripta la  chiave AES con una chiave pubblica incorporata nel file eseguibile, infine salva entrambe le chiavi crittografate su [.KEY ] file.

Invece per i file dei dati dell'utente, la routine  è più semplice e più veloce. Genera una chiave AES, la cifra  con una chiave RSA generata precedentemente, cripta i file con la chiave AES e poi salva tutto nel file.  Al termine del processo di crittografia, Spora esegue anche il seguente comando CLI, il quale elimina copie shadow di volume, disattiva Windows Startup Repair e cambia BootStatusPolicy.

process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures"

La richiesta di riscatto...
Una volta che il processo di crittografia termina, il ransomware copia nel desktop dell'utente una richiesta di riscatto, il file .KEY e altre cartelle .

La richiesta di riscatto contiene istruzioni semplici e un ID di infezione, specifici per ogni vittima.
L'ID infezione è nel formato  CCCXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX o CCxxx-XXXXX-XXXXX-XXXXX, dove CCC e CC sono le due o tre lettere identificative del paese, e X sono caratteri alfa-numerici.

Il servizio di decrittazione è  professionale...



Il portale di decrittazione di Spora si trova attualmente in un dominio accessibile al pubblico.
Questo dominio è in realtà un gateway per un sito TOR nascosto che non viene indicato pubblicamente. Il gruppo Spora sta utilizzando almeno dieci URL per il servizio di decrittazione.

Una volta che gli utenti accedono a questo sito, è necessario inserire l'ID univoco dell'infezione presentato nella  richiesta di riscatto. Il servizio di decrittazione di Spora fa qualcosa che non si è visto in qualsiasi altro sito di decrittazione: prima di utilizzare questo sito, gli utenti devono"sincronizzare" il loro computer con il portale di decodifica caricando il file .KEY.
Sincronizzando il file di chiave, le informazioni sulla crittografia del computer si caricano sul sito di pagamento e vengono associate all'ID univoco. Dopo questa operazione le vittime possono  utilizzare il resto delle opzioni disponibili sul sito. Il portale è ben organizzato, completo di descrizioni e comandi utili che appaiono quando si passa sopra alcune opzioni.
E' anche l' unico  ransomware che consente diversi acquisti a seconda delle particolari esigenze della vittima. Queste opzioni, ordinate nella  sezione denominata " MyPurchasings " consentono agli utenti di:

Decifrare i propri file (attualmente $ 79)
Acquistare immunità da future infezioni spora (attualmente $ 50)
Rimuovere tutti i file Spora-correlate dopo aver pagato il riscatto (attualmente $ 20)
Ripristinare un file (attualmente $ 30)
Ripristinare 2 file gratis


L'attuale versione del portale di decodifica utilizza anche un certificato SSL rilasciato da Comodo, proteggendo il traffico in entrata tramite HTTPS. Tutti i pagamenti Spora vengono gestiti solo in Bitcoin. Gli utenti caricano Bitcoin sul proprio conto Spora, che possono quindi utilizzare per l'acquisto di una qualsiasi delle opzioni viste sopra.

Quando le vittime caricano il file e si sincronizzano al portale di decrittografia, il servizio Spora mostra un prezzo diverso in base alla quantità e al tipo di dati che sono stati criptati sul computer della vittima. Questo permette agli sviluppatori di ricevere molto di più per i computer aziendali o per le società di progettazione che di solito posseggono file più importanti rispetto al recupero dei dati per un PC di casa.

Il portale di decodifica include anche un widget di chat che consente alle vittime di inviare fino a cinque messaggi. Attraverso questa chat le vittime ricevono un Decrypter, una volta pagato il riscatto.

Colpiti gli utenti russi...
Per il momento sembra che il malware stia attaccando solo gli utenti russi, infatti tutte le sue componenti sono solo il russo : le email, le note di riscatto.

Ma Spora sembra essere una famiglia ransomware molto avanzata e ben gestita come Cerber e Locky, e potremmo presto vedere i suoi gestori che si espandono dalla Russia ad altri paesi in tutto il mondo.

2 commenti:

  1. Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina
  2. Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina