Analyse von: Pearl Charlaine Espejo   

 

Ransom:Win32/Spora (Microsoft); Trojan-Ransom.Win32.Spora.cot (Kaspersky); Ransom-Spora!DF1991DC76A7 (McAfee)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Ransomware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein. Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.

  Technische Details

Dateigröße: 66,048 bytes
Dateityp: EXE
Erste Muster erhalten am: 17 April 2017

Übertragungsdetails

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • {drive letter}:\{random filename}.exe - atrribute set to Hidden
  • %Desktop%\{random filename}.exe - atrribute set to Hidden
  • %User Temp%\{random filename}.exe

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verbreitung

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein.

Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • %Application Data%\{random numbers}
  • %Application Data%\{Unique ID}.html
  • {drive letter}:\{Unique ID}.html
  • %User Profile%\{Unique ID}.html
  • %Application Data%\Microsoft\Windows\Templates\{Unique ID}.html
  • %Desktop%\{Unique ID}.html
  • %User Profile%\Favorites\{Unique ID}.html
  • %Application Data%\Microsoft\Windows\Recent\{Unique ID}.html
  • %User Startup%\{Unique ID}.html
  • {drive Letter}:\{Shortcut file using the original folder name}
    The target path of this shortcut(LNK) is set to:
    • %System%\cmd.exe /c start explorer.exe "{original folder name}" & type "{malware copy with random filename}.exe" > "%temp%\{malware copy with random filename}.exe" && "%temp%\{malware copy with random filename}.exe"

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

  Lösungen

Mindestversion der Scan Engine: 9.850
Nehmen Sie an unserer Umfrage teil