Analisado por: Pearl Charlaine Espejo   
 

Ransom:Win32/Spora (Microsoft); Trojan-Ransom.Win32.Spora.cot (Kaspersky); Ransom-Spora!DF1991DC76A7 (McAfee)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Ransomware

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein. Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.

  Detalhes técnicos

Tipo de compactação: 66,048 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 17 abril 2017

Übertragungsdetails

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • {drive letter}:\{random filename}.exe - atrribute set to Hidden
  • %Desktop%\{random filename}.exe - atrribute set to Hidden
  • %User Temp%\{random filename}.exe

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verbreitung

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein.

Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • %Application Data%\{random numbers}
  • %Application Data%\{Unique ID}.html
  • {drive letter}:\{Unique ID}.html
  • %User Profile%\{Unique ID}.html
  • %Application Data%\Microsoft\Windows\Templates\{Unique ID}.html
  • %Desktop%\{Unique ID}.html
  • %User Profile%\Favorites\{Unique ID}.html
  • %Application Data%\Microsoft\Windows\Recent\{Unique ID}.html
  • %User Startup%\{Unique ID}.html
  • {drive Letter}:\{Shortcut file using the original folder name}
    The target path of this shortcut(LNK) is set to:
    • %System%\cmd.exe /c start explorer.exe "{original folder name}" & type "{malware copy with random filename}.exe" > "%temp%\{malware copy with random filename}.exe" && "%temp%\{malware copy with random filename}.exe"

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

  Solução

Mecanismo de varredura mínima: 9.850
Participe da nossa pesquisa!