Першими поява вимагача Spora помітили користувачі форумів Bleeping Computer і « лабораторії Касперського ». Спираючись на скарги користувачів, дослідники Emsisoft, MalwareHunterTeam і журналісти Bleeping Computer вивчили малваре і прийшли до висновку, що шифрувальник вельми незвичайний.

В даний час Spora розповсюджується за допомогою поштового спаму: шкідливі листи містять вкладені архіви ZIP, всередині яких знаходяться файли HTA (HTML Application). Причому HTA використовується в якості додаткового розширення, тобто розширення файлів виглядають як PDF.HTA або DOC.HTA. Так як на комп'ютерах більшості користувачів відображення розширень відключено, потенційні жертви побачать тільки першу частину, вирішивши, що перед ними звичайний документ.

Якщо користувач запускає HTA-файл, в директорію% Temp% витягується Javascript-файл close.js, який створює виконуваний файл з випадковим ім'ям (в тестах дослідників - 81063163ded.exe) і запускає його. Це і є основна частина малварі, яка негайно починає шифрування даних. Щоб відволікти увагу жертви, Spora також витягує і відкриває файл DOCX. Так як даний файл навмисно пошкоджений, він відобразить помилку. Для користувача все буде виглядати так, ніби документ з листа, який він спробував відкрити, був пошкоджений під час передачі або завантаженні.

На відміну від більшості сучасних шифрувальників, Spora працює в офлайні і не створює ніякого мережевого трафіку, а також вельми вибірково підходить до шифрування файлів. Малваре цікавлять тільки такі розширення: .xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite , .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup. Крім того, шифрувальник не змінює розширення файлів, що теж досить незвично. Щоб не пошкодити ОС занадто сильно і не перешкодити роботі комп'ютера, Spora не чіпає папки games, Program files (x86), Program files і Windows.

Згідно з даними фахівця Emsisoft Фабіана Восара (Fabian Wosar), Spora шифрує файли надійним і складним способом, і ніяких слабких місць експерту виявити не вдалося. Восар опублікував розгорнутий пост , Присвячений роботі системи шифрування Spora. По суті, вимагач генерує майстер-ключ .KEY, а також створює ключ шифрування для блокування даних жертви.

«Генерується RSA-ключ, генерується AES-ключ, RSA-ключ шифрується за допомогою AES-ключа, сам AES-ключ шифрується з використанням публічного ключа, вбудованого в код виконуваного файлу, а потім обидва ключа зберігаються в .KEY-файл», - розповідає про .KEY-файл Восар.

Процес шифрування інформації жертви виглядає трохи простіше, ось як його описує Восар:

«Генерується ключ AES, який шифрується згенерував ключем RSA, потім файли жертви шифруються з використанням AES-ключа і все це зберігається в файл. Для розшифровки даних потрібно послати їм .KEY-файл. Тоді вони зможуть використовувати приватний ключ і дешифрувати AES-ключ, який використовувався для шифрування RSA-ключа для вашої системи, а потім розшифрувати і його. Швидше за все, потім вони вставляють RSA-ключ в декріптер і відсилають декпрітер вам. Дешифровщик використовує RSA-ключ, щоб розшифрувати AES-ключі в файлах і самі файли з їх допомогою ».

Публічний RSA-ключ, жорстко закодований в Spora:

--BEGIN PUBLIC KEY - MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6COfj49E0yjEopSpP5kbeCRQp
WdpWvx5XJj5zThtBa7svs / RvX4ZPGyOG0DtbGNbLswOYKuRcRnWfW5897B8xWgD2
AMQd4KGIeTHjsbkcSt1DUye / Qsu0jn4ZB7yKTEzKWeSyon5XmYwoFsh34ueErnNL
LZQcL88hoRHo0TVqAwIDAQAB
--END PUBLIC KEY--

Крім того, завершивши шифрування, вимагач також виконує CLI-команду, яка видаляє тіньові копії, відключає Windows Startup Repair і вносить зміни в BootStatusPolicy:

process call create «cmd.exe / c vssadmin.exe delete shadows / all / quiet & bcdedit.exe / set {default} recoveryenabled no & bcdedit.exe / set {default} bootstatuspolicy ignoreallfailures»

Як тільки процес шифрування закінчено, Spora додасть .KEY-файл і повідомлення з вимогою викупу на робочий стіл користувача і в інші папки. Повідомлення містить не тільки докладні інструкції, але і унікальний ID жертви в форматі CCCXX-XXXXX-XXXXX-XXXXX-XXXXX або CCXXX-XXXXX-XXXXX-XXXXX-XXXXX, де CCC і CC - це код країни, а X - букви і цифри.

Дослідники не могли не відзначити, що сайт зловмисників, на який шифрувальник відправляє жертву, виглядає вкрай професійно і незвично. Хоча вимагач відсилає постраждалих за адресою Spora.bz - це не більше ніж Tor-Гейтвей, і оператори малварі використовують не менше десятка різних URL. Більш того, сайт піклується про відвідувачів і використовує SSL-сертифікат Comodo.

На цьому сайті в даркнета користувачеві потрібно буде не тільки ввести свій ID, а й провести «синхронізацію»: для цього знадобиться завантажити на сайт .KEY-файл.

Після авторизації (за допомогою ID) і синхронізації, користувачеві стануть доступні різні опції, кожна з яких комплектується розгорнутим спливаючих описом. Оператори малварі пропонують своїм жертвам не тільки звичайну розшифровку даних, на сайті можна знайти такі опції:

• розшифровка всіх файлів (79 $);
• купити імунітет проти майбутніх інфекцій Spora ($ 50);
• видалити всі пов'язані з Spora файли після оплати викупу ($ 20);
• відновити файл ($ 30);
• відновити два файли безкоштовно.

Дослідники пишуть, що грунтуючись на даних .KEY-файлу сайт шифрувальника відображає різні ціни для різних користувачів. Все залежить від того, як багато даних було на машині жертви і наскільки критичною була зашифрована інформація. Так, якщо простого користувача попросять заплатити $ 79, то компанії повна розшифровка даних обійдеться в $ 280.

Згідно з даними MalwareHunterTeam, більшість постраждалих від Spora користувачів, які скористалися сервісом ідентифікації малварі ID-Ransomware , Були з Росії. Більш того, повідомлення з вимогою викупу і шкідливі листи, які розповсюджують шифрувальника, теж написані російською мовою. Не важко зробити висновок, що основною метою Spora на поточний момент є російські користувачі.

Дослідники порівнюють Spora з такими професійно написаними шифрувальником, як Locky і Cerber. На думку експертів, над Spora працювала група людей, яка раніше вже займалася здирницькі ПО. Ці люди добре розуміють, що роблять.