Spora: Neuartige Ransomware mit variablen Lösegeld-Tarifen

Ransomware (Grafik: Shutterstock)

Der Schädling verbreitet sich über Wechselmedien, verschlüsselt Dateien und berechnet mit Hilfe statistischer Methoden die Höhe der Lösegeldforderung.

Spora nennt sich ein neuer Verschlüsselungstrojaner. Allerdings verbreitet sich dieser – was bislang sehr selten der Fall war – über Wechselmedien wie USB-Sticks. Nach der Verschlüsselung können die unfreiwilligen Anwender dann selbst entscheiden, wie viel Lösegeld sie bezahlen wollen. Danach richtet sich auch der Umfang der zu entschlüsselnden Dateien.

Der Sicherheitsanbieter G DATA hat die neuartige Ransomware detailliert analysiert und spricht dabei von einer besonders ausgereiften Malware. Auch das Erpresser-Schreiben scheint sehr gut gemacht zu sein, wie die Experten vom MalwareHunterTeam mitteilen.

Das Korrumpierte Word-Dokument. (Bild: G-DATA)
Das Korrumpierte Word-Dokument. (Bild: G-DATA)

 

Wirklich neu an Spora ist aber, dass er auf Windows .LNK-Dateien zurückgreift, um sich zu verbreiten. Diese Verhaltensweise hatten bereits die beiden Würmer Dinihou und Gamarue vor einiger Zeit genutzt. Verbreitet sich Spora auf einem System werden sämtliche Dateien und Ordner in der normalen Ansicht verborgen, indem allen Dateien das Attribut ‘Hidden’ zugefügt wird.

Spora kann die UAC von Windows nicht umgehen. Der Nutzer muss der 'Änderung' am Rechner zunächst zustimmen. (Bild: G-DATA)
Spora kann die UAC von Windows nicht umgehen. Der Nutzer muss der ‘Änderung’ am Rechner zunächst zustimmen. (Bild: G-DATA)

Dann ersetzt Spora die verborgenen Elemente mit gleichnamigen Verknüpfungen und den selben Icons. Über eine Veränderung der Registry sorgt die Malware dafür, dass in der Standard-Ordner-Ansicht in Windows der gebogene Pfeil verschwindet, damit der Nutzer nicht merkt, dass die Datei plötzlich eine Verknüpfung ist.

Öffnet ein Nutzer nun eine solche .LNK-Datei wird die Orignal-Datei geöffnet aber auch die Malware gestartet. Auch beim Öffnen eines Ordners startet der Wurm, verschlüsselt sämtliche Dateien, so dass das gesamte System nicht mehr zu verwenden ist. Dabei beschränke sich der Schädling auf die Typen: .backup, .7z, .rar, .zip, .tiff, .jpeg, .jpg, .accdb, .sqlite, .dbf, .1cd, .mdb, .cd, .cdr, .dwg, .psd, .pdf, .odt, .rtf, .docx, .xlsx, .doc und .xls.

Spora arbeitet mit mehreren komplexen  Verschlüsselungsebenen und kann daher auch komplett offline einen Rechner kapern. (Bild: G-DATA)
Spora arbeitet mit mehreren komplexen Verschlüsselungsebenen und kann daher auch komplett offline einen Rechner kapern. (Bild: G-DATA)

Neue Standards setzt Spora auch bei der Verschlüsselung. Die Malware generiert zwei Keys, die sich sozusagen gegenseitig verschlüsseln. Somit könne, so die Experten von G-DATA, der Schädling vollständig offline und ohne einen Command-und-Control-Server arbeiten.

Dafür generiert der Schädling ein RSA-Schlüsselpaar (C1 und C2) mit jeweils einer Länge von 1024 Bit. C2 wird benutzt, um die AES-Schlüssel, die jeweils pro Datei verwendet und ebenfalls von Spora generiert werden, zu verschlüsseln.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

C1 hingegen wird als privater Schlüssel in der .KEY-Datei gespeichert, die wiederum mit einem neu erstellten den AES-Schlüssel B, der mit 256 Bit verschlüsselt wird. Hier wird RSA-Schlüssel A2 aktiv, der öffentlich ist und vom Angreifer stammt. In einer weiteren Datei mit der Endung .LST werden alle verschlüsselten Dateien aufgelistet.

Der Betroffene muss einen der Keys auf dem Server der Angreifer hochladen und bekommt dann einen weiteren Key (A1), über den der Betroffene, den AES-B-Schlüssel wieder entsperren kann. Nach der Zahlung der Forderung kann dann der Betroffene die Dateien mit einem Einmaligen Schlüssel die Dateien wieder freischalten.

Allerdings begnügt sich Spora nicht mit einfachen Pauschalforderungen. Die vom Nutzer hochgeladene Datei enthält auch Informationen, welche Datei-Tpyen und wie viele Dateien betroffen sind. Je nach dem müssen Opfer zwischen 79 und 360 Dollar für die Entschlüsselung bezahlen.