Cybersecurity

Spora: il ransomware con la console di gestione

08 Febbraio 2017

Mi ha appena scritto un partner dicendomi che un suo cliente ha preso un nuovo ransomware che ha un’incredibile “console” di gestione.

Mi sono subito documentato e ho scoperto che si tratta di Spora, il ransomware che negli ultimi giorni si sta diffondendo a macchia d’olio.

Fra le sue caratteristiche cito:

  • la solidità del meccanismo di crittografia dei file;
  • la capacità di lavorare anche in assenza di collegamento a internet;
  • un sofisticato e completo sito per il pagamento del riscatto.

Come si diffonde

Fondamentalmente il virus in questione viaggia come allegato alle email, come file Zip che contiene a sua volta un file HTA.

I file HTA (ricordiamolo, sono applicazioni HTML) usano una doppia estensione, PDF.HTA e DOC.HTA. Sulla maggior parte dei sistemi Windows le estensioni dei file sono nascoste e quindi appaiono come normali file PDF o DOC. Quindi un utente vedendo un file PDF o DOC è facilmente indotto ad aprirlo.

Una volta aperto il file HTA, questo va in esecuzione ed estrae un file JavaScript nella cartella temporanea del sistema e questo JavaScript a sua volta genera un file eseguibile che è il responsabile della cifratura dei file.

Inoltre il famigerato file HTA genera anche un file Word (volutamente corrotto) che una volta aperto mostra un errore in modo tale che l’utente pensi si tratti di un problema dovuto allo scaricamento della posta o a un problema temporaneo di Word. In realtà è un modo per “distrarre” l’utente da quello che sta realmente accadendo.

Il virus Spora è molto intelligente e lavora in modo da non lasciare troppe tracce:

  • cripta in locale senza necessità di collegarsi a internet;
  • non cifra tutti i file ma solo un certo numero di estensioni (.xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup);
  • non cifra file all’interno delle cartelle program files (x86), program files, windows: in questo modo gli hacker sono certi che il PC funzioni ancora;
  • al termine del processo di cifratura (che è robusto e complesso), il virus cancella le copie shadow, il Windows Startup Repair, e cambia la BootStatusPolicy in modo da non dare modo di ripristinare il sistema.

Per pagare il riscatto il sito di riferimento è https://spora.biz il quale, oltre a rendere disponibile una sofisticata console (sembra quasi un cruscotto) fornisce utili indicazioni sul cambio Bitcoin/Dollaro.

Osservo che con il passare del tempo gli attaccanti prestano sempre maggiore attenzione nello spiegare agli utenti come pagare il riscatto, che è il modo che permette loro di guadagnare denaro: oggi siamo arrivati ad avere una vera e propria console di lavoro come si vede nell’immagine qui sotto.
 

Ci si può difendere?

Attualmente non esiste un decrittatore per questo tipo di ransomware: se si viene infettati i propri dati non sono più leggibili.

Tuttavia esistono una serie di best practice che, se messe in pratica, rendono difficile prendere questo virus.
In particolare mi riferisco a queste azioni:

Ulteriori informazioni e approfondimenti su Spora si trovano su Bleeping Computer e Security Info.
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.