Spora es el nombre del nuevo programa de ransomware que ha sido encontrado y que se diferencia por traer varias innovaciones al modelo tradicional de pago de rescate y por una fuerte encriptación de archivos fuera de línea.
Investigadores de seguridad informática advierten que Spora, es un peligroso ransomware que fue detectado a principios de enero orientado a usuarios rusos, ya ha comenzado a propagarse por todo el mundo.
Las primeras infecciones de Spora se conocieron en los foros rusos de Bleeping Computer y Kaspersky durante la primera semana del año. De acuerdo con los informes, el malware se estaba extendiendo por correo electrónico camuflado en mensajes que simulaban ser facturas.
Los emails iban con un archivo adjunto en formato ZIP que contenía un fichero en formato HTA, que es una aplicación HTML. Además, empleaban una doble extensión para aparentar normalidad, como PDF.HTA o DOC.HTA, ya que en los equipos Windows donde se oculta la extensión del archivo, el usuario solo ve la primera extensión ficticia.
La infección se produce en caso de ejecutar este archivo, que iniciará el proceso de cifrado de los archivos del ordenador. Mientras se encripta el contenido, Spora extrae y ejecuta un documento de Word dañado que muestra un mensaje de error, con la finalidad de distraer a la víctima.
Pero los autores de Spora han creado también una versión en inglés, lo que ha hecho que los ataques se extiendan rápidamente por otros países. El virus destaca porque puede cifrar archivos sin tener que ponerse en contacto con un servidor de comando y control (CnC); y lo hace de una manera que permite que cada víctima tenga una clave de descifrado particular.
A diferencia de otras familias de ransomware, Spora no necesita conexión a Internet y no genera ningún tráfico de red, una característica que lo convierte en muy peligroso. Esto es debido a que, al no conectarse con un servidor de comando y control, genera una clave pública RSA diferente para cada víctima, lo que hace que no funcione la misma herramienta de descifrado para todos los infectados.
Este ransomware no cifra todo el contenido, sino solo una selección de los documentos que puden resultar más importantes, entre los que se encuentran ficheros de Excel, Word, imágenes, archivos comprimidos o backups. Una vez finalizado el proceso, muestra al usuario una pantalla con las instrucciones para desbloquear el PC.
Comentarios
Publicar un comentario