Author: Pearl Charlaine Espejo   

 

Ransom:Win32/Spora (Microsoft); Trojan-Ransom.Win32.Spora.cot (Kaspersky); Ransom-Spora!DF1991DC76A7 (McAfee)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Ransomware

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Llega tras acceder a redes compartidas afectadas.

Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema. Se propaga a través de las redes compartidas e infiltra copias de sí mismo en las redes disponibles.

  TECHNICAL DETAILS

File size: 66,048 bytes
File type: EXE
INITIAL SAMPLES RECEIVED DATE: 17 kwietnia 2017

Detalles de entrada

Llega tras acceder a redes compartidas afectadas.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • {drive letter}:\{random filename}.exe - atrribute set to Hidden
  • %Desktop%\{random filename}.exe - atrribute set to Hidden
  • %User Temp%\{random filename}.exe

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Propagación

Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema.

Se propaga a través de las redes compartidas e infiltra copias de sí mismo en las redes disponibles.

Rutina de infiltración

Infiltra los archivos siguientes:

  • %Application Data%\{random numbers}
  • %Application Data%\{Unique ID}.html
  • {drive letter}:\{Unique ID}.html
  • %User Profile%\{Unique ID}.html
  • %Application Data%\Microsoft\Windows\Templates\{Unique ID}.html
  • %Desktop%\{Unique ID}.html
  • %User Profile%\Favorites\{Unique ID}.html
  • %Application Data%\Microsoft\Windows\Recent\{Unique ID}.html
  • %User Startup%\{Unique ID}.html
  • {drive Letter}:\{Shortcut file using the original folder name}
    The target path of this shortcut(LNK) is set to:
    • %System%\cmd.exe /c start explorer.exe "{original folder name}" & type "{malware copy with random filename}.exe" > "%temp%\{malware copy with random filename}.exe" && "%temp%\{malware copy with random filename}.exe"

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

  SOLUTION