SIGUE LA PROPAGACION DEL RANSOMWARE SPORA – POSIBLE METODO DE DESCIFRADO

Ya informamos el mes pasado de varios casos de infección y cifrado con este RANSOMWARE SPORA, y dado que tenemos incidencias de nuevos casos, ampliamos las últimas noticias sobre el mismo, aparte de recordar lo que ya deciamos al respecto noticias anteriores de este mismo blog.

De entre lo que ya indicabamos, conviene señalar que se propaga principalmente mediante dos vias de propagación, la de e-mails aparentando anexar una FACTURA y la de pendrives infectados, en los que, no solo ha cifrado los datos existentes, como los de las demás unidades compartidas, sino que ademas los ha convertido en fuente de propagación y consecuente reinfección de dicho virus en los ordenadores en los que se ejecute algún enlace disimulado de dichos pendrives, que conducen a la ejecución del indicado ransomware.

Oculta las Carpetas del Root de cada unidad mapeada y genera links con el mismo nombre apuntando al malware, que será ejecutado si no se eliminan dichos enlaces o se elimina el malware propiamente dicho.

De igual forma, aunque dicho virus no se relanza automáticamente en cada reinicio, seguirá en el link de acceso a las carpetas compartidas del ordenador, ejecutandose cada vez que se quiera acceder a una de dichas carpetas hasta que sea eliminado totalmente, LO CUAL DEBE SER TENIDO MUY EN CUENTA 

Un ejemplo del enlace malicioso creado a raiz de una carpeta del pendrive que hemos llamado 123, que ejecuta el malware al pretender acceder a dicha carpeta que ha ocultado previamente, es el siguiente:

X:\Windows\system32\cmd.exe /c start explorer.exe “123” & type “f7cf778013502493.exe” > “%temp%\f7cf778013502493.exe” && “%temp%\f7cf778013502493.exe”

En el que el fichero f7cf778013502493.exe es el nombre aleatorio del virus que infectará el ordenador cuando se ejecute el acceso a la supuesta carpeta 123 (QUE REALMENTE ES UN LINK AL MALWARE)

Además, en las nuevas pruebas que hemos hecho ahora con dicho engendro, para ver los cambios que hace con los ficheros que codifica (xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup), hemos comprobado que NO MODIFICA LOS TXT, NI LOS GIF y que los ficheros que codifica LOS DEJA CON IGUAL NOMBRE Y EXTENSION, si bien al estar codificados no serán operativos, claro.

Otra cosa que hemos comprobado es que mantiene las copias del ShadowCopy, siempre y cuando el sistema operativo utilizado tenga activada dicha acción, por ejemplo en Windows Vista, 7 y 8 , pero no asi en servidores Windows Server ni en Windows 10, pues aunque existe dicha función, no está activada por defecto, pero si es el caso de tener documentos cifrados en equipos con Windows 7 por ejemplo, es posible su recuperación empleando una copia anterior hecha por el ShadowCopy, para lo cual puede usarse el ShadowExplorer:
https://www.smythsys.es/6561/shadow-explorer-busca-versiones-de-los-ficheros-en-las-shadow-copies/

Todo lo cual exponemos ante el aviso de nuevos casos en los que usuarios españoles se han visto afectados por dicho ransomware, de los que hemos tenido pocos casos (relativamente), respecto a Cryptolockers, Cerber4, Lockys y demás, pero que especialmente dada la atípìca infección a través de pendrives infectados (INUSUAL HASTA AHORA EN LOS RANSOMWARES), es muy importante a tener en cuenta para no olvidarlos si se ha tenido dicha infección, o evitando la ejecución de enlaces existentes en ellos, o para no descartar la posible causa de infección, que no todo ha de ser por los mails, sino que pudiera ser debido a un pendrive, de momento solo con el ransomware SPORA, pero hay que temer que puedan implementarlo en otro cualquiera…

A medida que recibamos nuevas muestras de dicho malware, pasaremos a implementar su control y eliminación, como siempre, en nuestro ELISTARA.EXE

saludos

ms, 30-3-2017