NUEVA VARIANTE DE RANSOMWARE SPORA, QUE TAMBIEN PRETENDE INFILTRARSE COMO MAILS DE FACTURAS

Ya conocimos hace cosa de 1 mes, y ensayamos,  otra variante de este ransomware SPORA, del que repetimos lo principal, para evitar que se tenga que recurrir al indicado informe:

Esconde las Carpetas de la raiz del disco duro y crea links con su nombre lanzando el malware
Presenta un HTML en ruso, que traduce al ingles automaticamente indicando:

…….

1. Only we can restore your files.
Your files have benn modified using RSA-1024 algorithm. Reverse recovery process is called decryption. This requires your unique key. It is impossible to find it somewhere or “hack”.
2. Do not turn to intermediaries!
All recovery keys are securely stored on our servers, therefore, if somebody will say you, that he could “restore” your data without the key, in the best case, he firstly buys the key at us, and then he resell it to you at a premium.

……..

Mas info:

En la actualidad, el ransomware Spora se distribuye a través de correos electrónicos no deseados que pretenden ser facturas. Estos mensajes de correo electrónico con archivos adjuntos vienen en forma de archivos ZIP que contienen archivos HTA.
Estos archivos HTA (aplicación HTML) utilizan un doble extensión, como PDF.HTA o DOC.HTA. En los equipos de Windows donde se oculta la extensión de archivo, los usuarios verán sólo la primera extensión y puede ser infectado por abrir el archivo. El lanzamiento de cualquiera de estos archivos, inicia el proceso de cifrado del ransomware Spora.

Cuando un usuario ejecuta el archivo de HTA, se va a extraer un archivo Javascript close.js nombre a la carpeta %temp%, que extrae más de un ejecutable en la misma carpeta y lo ejecuta. Este ejecutable utiliza un nombre generado aleatoriamente. Este ejecutable es el dispositivo de cifrado principal y comenzará a cifrar los archivos en el ordenador.
Además, el archivo HTA también va a extraer y ejecutar un archivo DOCX. Este archivo está dañado y mostrará un error. Otras familias de malwares usan este mismo mismo truco, la apertura de los archivos dañados con el fin de engañar a los usuarios haciéndoles creer el archivo había sido dañado durante la transferencia de correo electrónico o la operación de descarga, con el fin de no alertar de juego sucio.

También cabe indicar que infecta pendrives, aparte del cifrado de sus datos, como los de las demás unidades compartidas, por lo que dichos pendrives infectados pueden tambien ser fuente de infección de otros ordenadores.

El cifrado de ficheros lo hace en los que tienen estas extensiones:
xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup

De lo que se puede ver mas información en la Fuente del texto indicado :

https://www.clasesordenador.com/spora-ransomware/index.html

y en la nueva muestra que nos ha llegado, y que pasamos a controlar a partir del ELISTARA 36.35, el preanalisis de virustotal ofrece el siguiente informe:

MD5 559e8b46d88188a561e36fd83b5bd9e8
SHA1 d0416b82d035dfa8bc0b99a89d822400576d1baf
Tamaño del fichero 68.0 KB ( 69632 bytes )
SHA256: 27958e55f7d5b9aad874ac61ff1df7cb78083eb4eca2201fcb3b343a628e8536
Nombre: 02729d4ee3bb7f75(03).exe
Detecciones: 42 / 59
Fecha de análisis: 2017-03-03 10:41:16 UTC ( hace 6 minutos )

total

Dicha versión del ELISTARA 36.36 que lo detecta y elimina, estará disponible en nuestra web a partir del 4-3 prox.

saludos

ms, 3-3-2017