RANSOM_SPORA.YYAAH
Ransom:Win32/Spora (Microsoft); Trojan-Ransom.Win32.Spora.cot (Kaspersky); Ransom-Spora!DF1991DC76A7 (McAfee)
Windows
Threat Type:
Ransomware
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Llega tras acceder a redes compartidas afectadas.
Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema. Se propaga a través de las redes compartidas e infiltra copias de sí mismo en las redes disponibles.
TECHNICAL DETAILS
Detalles de entrada
Llega tras acceder a redes compartidas afectadas.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- {drive letter}:\{random filename}.exe - atrribute set to Hidden
- %Desktop%\{random filename}.exe - atrribute set to Hidden
- %User Temp%\{random filename}.exe
(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Propagación
Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema.
Se propaga a través de las redes compartidas e infiltra copias de sí mismo en las redes disponibles.
Rutina de infiltración
Infiltra los archivos siguientes:
- %Application Data%\{random numbers}
- %Application Data%\{Unique ID}.html
- {drive letter}:\{Unique ID}.html
- %User Profile%\{Unique ID}.html
- %Application Data%\Microsoft\Windows\Templates\{Unique ID}.html
- %Desktop%\{Unique ID}.html
- %User Profile%\Favorites\{Unique ID}.html
- %Application Data%\Microsoft\Windows\Recent\{Unique ID}.html
- %User Startup%\{Unique ID}.html
- {drive Letter}:\{Shortcut file using the original folder name}
The target path of this shortcut(LNK) is set to:- %System%\cmd.exe /c start explorer.exe "{original folder name}" & type "{malware copy with random filename}.exe" > "%temp%\{malware copy with random filename}.exe" && "%temp%\{malware copy with random filename}.exe"
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).. %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).)