解释:Spora ransomware

如今,ransomware已经成为最受欢迎的类型的恶意软件。大多数的家庭都是由业余爱好者(脚本kiddy)和分布在小范围内。只有几个主要球员在这个市场,由专业人士准备的。最近,Spora ransomware加入这个集合。我们将看到,一些元素表明有一个准备充分的罪犯。

Spora有炒作的ransomware可以离线加密文件。事实上,这个概念是什么小说,我们已经看到许多ransomware家庭可以做同样的事情。例如直接存储器存取柜3.0、Cerber或成束的的一些较新的版本。然而,还有其他一些特性,使它有趣。

分析样品

• 0 c1007ba3ef9255c004ea1ef983e02efe918ee59-案例# 1
  • 4 a4a6d26e6c8a7df0779b00a42240e7b-载荷# 1 Spora ransomware<——这一分析的重点
  • 38 e645e88c85b64e5c73bee15066ec19-载荷# 2下载器相似这一个
• 57484440 f7be94394fd851de3e416285案例# 2(捕获06.03.2017)
  • 3 b80deb6d55cb0bb8560afd22238885c-有效载荷Spora ransomware

分配方法

Spora是由各种各样的方法——从分布式网络钓鱼电子邮件(描述在这里)感染的网站删除恶意载荷。

这ransomware所使用的分配方法的一些例子在这里(从14.02.2017竞选)在这里从06.03.2017(运动)。

行为分析

在部署后,Spora ransomware默默地和加密文件选中的扩展。然后,它试图重新部署与提升特权。没有使用UAC绕过机制——相反,UAC弹出出现反复,直到用户接受它:

然后,它部署另一个系统工具——vssadmin删除影子副本:

它甚至不尝试保持沉默——显示命令行窗口。

它也滴自己的复制到C:目录。一些修改在现有文件夹的设置。首先,Spora禁用显示显示快捷方式的箭头图标。它使所有现有的文件夹隐藏和创建快捷方式。快捷方式不仅部署原始文件夹也被删除恶意软件样本。

部署一个命令的例子,当用户点击快捷方式:

C:\Windows\ C: \ Windows \ system32系统\ cmd。exe / c开始探险家。exe“程序文件”和“81 d59edde88fc4969d类型。exe”>“d59edde88fc4969d %临时% \ 81。exe”& & % % \ temp 81 d59edde88fc4969d.exe

Spora不改变文件名,也增加了扩展。每个与另一个密钥加密的文件(文件相同的明文加密不同的暗文)。加密的内容具有较高的熵,没有可见的模式,表明流密码或链接块(可能是AES在CBC模式)。

可视化的文件-前后加密:

文件在几个位置相关的恶意软件滴。下列文件中可以找到% APPDATA %。

文件。key扩展和赎金在HTML格式也掉在桌面上:

关于受害者的。key文件包含加密的数据需要上传后,攻击者的网站受害者的状态同步的目的。

加密完成后,赎金注意弹出。在第一次分析的情况下,在俄罗斯语言。然而,其他语言版本也存在,例如,英语注意下面:

的内容。key文件是Base64编码和存储作为一个隐藏字段内的赎金注意:

在更新的版本(# 2)。key文件没有下降,完整的同步与远程服务器是基于等效提交自动隐藏字段。它显示了第二步在进化ransomware——使界面更简单和更容易。

网站的受害者

Ransomware本身并不复杂,除了其网站受害者的内部。key文件(或者是base64等效)。在旧版本,用户被要求。key文件上传到网站,检索他/她的私人信息,比如用户名、感染日期、状态等。

在新版本中,没有必要上传任何东西——当用户单击链接赎金,base64内容包含自动提交的所有数据。

编码的一些信息也在受害者ID:国家代码(前两个字符),散列统计信息加密的文件类型(多少特定类型的文件已加密的每个类别:办公文件,PDF, Corel Draw, DB,形象,归档)。你可以找到一个译码器在这里。

另一个步骤由作者提供一个用户友好的界面是网站(尽管托管作为一个隐藏的服务)不需要用户下载Tor浏览器,像大多数ransomware,而是提供了一个方便的网关spora.bz。

内部

Spora可执行文件是用各种各样的地穴。它也被观察到分布在包与其他恶意软件。案例# 1中,击败后第一个加密层,我们可以找到两个UPX-packed载荷。他们可以通过标准UPX打开应用程序。结果,我们得到样本不进一步混淆。在上述情况下,Spora ransomware分布以及恶意下载器(38 e645e88c85b64e5c73bee15066ec19)的一个描述在这里。(因为本文致力于Spora ransomware,第二个载荷不会进一步描述)。

执行流程

Spora执行路径的变化取决于参数的部署。在没有任何参数执行首次运行它。然后,基本步骤如下:

1。创建互斥锁(模式:m < VolumeSerialNumber:小数>)

2。解密AES受保护的数据存储在二进制(例如RSA公钥,赎金,样本ID)

3所示。搜索文件的攻击扩展。列出他们的路径和统计数据的类型。

4所示。生成RSA密钥对(每个受害者一个)

5。加密文件选中的扩展

完成这些操作之后,它的二进制Spora多——这时间与管理权限(导致UAC警报弹出)。通过在命令行参数\ u,修改执行路径。

执行一些步骤,在这种情况下是:

1。删除影子副本

2。修改lnkfile设置(为了隐藏一个箭头添加默认显示快捷方式——更多关于它的目的“行为分析”一节中介绍)

3所示。把它的复制和赎金不是每个驱动器上

4所示。部署explorer显示赎金

攻击是什么?

Spora ransomware攻击以下扩展:

多克斯xls doc xlsx rtf odt pdf psd dwg cdr mdb 1 cd dbf sqlite accdb jpg jpeg tiff压缩rar 7 z备份sql bak

他们分为几类,用于构建攻击者的数据。等类别可以被描述为:办公室文件,PDF / PPT文件,Corel Draw文档,数据库文件,图像,和档案:

几个系统目录排除在攻击:

windows程序文件程序文件(x86)游戏

加密工作如何?

所使用的加密Spora ransomware是复杂的,遵循几个级别。它使用Windows密码API。可执行带有两个硬编码键:AES关键——用于解密元素硬编码的二进制文件,和一个RSA公钥用于加密密钥生成的受害者的机器上。

除了操作加密受害者的有关文件,Spora使用Windows密码API用于其他目的,即临时数据加密、解密一些元素存储在二进制。

首先,它创建了一个文件在% APPDATA % -文件名是卷序列号。这个文件是用于临时存储信息。

暂时存储信息加密的帮助下函数CryptProtectData:

它包括,即被加密的企业列表(通过扩展匹配列表):

恶意软件样本有一个硬编码的关键是进口:

这是一个AES 256键,存储在blob的一种形式。解释在Blob字段标题:

08 -PLAINTEXTKEYBLOB- - - - - -关键是一个会话密钥02 - CUR_BLOB_VERSION 0 x00006610发冷的:CALG_AES_2560 x20 - 32 -键的长度

AES密钥用于解密的另一个关键,存储在一个二进制文件,这是一个RSA公钥:

- - - - - - - - - - -开始公钥MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6COfj49E0yjEopSpP5kbeCRQp WdpWvx5XJj5zThtBa7svs / RvX4ZPGyOG0DtbGNbLswOYKuRcRnWfW5897B8xWgD2 AMQd4KGIeTHjsbkcSt1DUye / Qsu0jn4ZB7yKTEzKWeSyon5XmYwoFsh34ueErnNL LZQcL88hoRHo0TVqAwIDAQAB - - - - - - - - - - -端公钥

之后,同样的AES关键是进口和用于解密其他元素:

• HTML格式的赎金注意:

• 一个硬编码的ID的样本:

D283C31972

对于每一个受害者,Spora创建本地一双新鲜的RSA密钥。下面你将看到的代码片段生成新的RSA密钥对(1024位):

解释的参数:

0 xa400 -发冷的:CALG_RSA_KEYX0 x04000001 - RSA1024BIT_KEY | CRYPT_EXPORTABLE

从生成的私钥对出口和Base64编码:

格式化版本的私钥存储在一个缓冲区,以及收集到的数据对机器和感染,包括:日期、用户名、国家代码,恶意软件样本id和统计数据的加密的文件类型。

例子:

然后,另一个AES的关键是生成。出口,由RSA公开密钥加密,硬编码的样本。低于-导出的AES加密密钥的团:

生成的AES密钥用于加密受害者的数据(包括生成的私钥对):

准备的加密内容合并成一个数据块。首先,AES加密受害者的数据复制。后,RSA AES加密密钥(选择下面图片):

这个合并后的数据存储在。key文件(或隐藏的赎金注意base64编码的内容)。它需要上传到服务器的受害者,这就是攻击者获得所需的数据解密文件后赎金。

Spora不改变文件的扩展,所以它需要一些其他方法识别单个文件是否加密。它是通过阅读内容的一些片段。

如上面我们可以看到,132字节的文件用于存储的数据通过Spora:长128字节AES关键其4字节长Crc32紧随其后。为了判断文件是否加密,数据文件的末尾读取和保存的Crc32比较计算Crc32读取128字节。如果检查通过,Spora处理完文件。否则,它遵循加密:

对于每个文件,生成一个新的个人AES关键。它是用于加密映射文件内容。导出表示个人的关键是由先前生成RSA密钥加密,然后存储在加密文件的结束。之后,它的Crc32也被计算和存储。

结论

Spora ransomware很有趣,当然由作者与编程经验。然而,代码不是混淆和执行非常嘈杂相比其他恶意软件——它可能表明,作者并不是专业的恶意软件设计师(即Cerber的作者相反)。

使用加密的实现似乎没有什么缺陷,允许解密攻击文件没有支付赎金,所以,我们建议关注预防。用户提供必威平台APP3.0伪安装将会免受Spora ransomware。虽然目前没有解密感染者我们建议保持一个受感染的文件的备份在未来可能有一个解密。

附录

https://gist.github.com/coldshell/6204919307418c58128bb01baba6478f——Spora ID译码器

https://www.bleepingcomputer.com/news/security/spora-ransomware-works-offline-has-the-most-sophisticated-payment-site-as-of-yet/关于Spora——哔哔声计算机

---

Hasherezade写的这篇文章,一个独立的研究人员和程序员强大兴趣的信息安全。她喜欢在细节恶意软件和分享与社区的威胁信息。检查她的Twitter上的@hasherezade和她的个人博客:https://hshrzd.wordpress.com。