Los investigadores están estudiando una nueva variedad de ransomware conocida bajo el nombre de Spora. Se destaca del resto debido a que ofrece a las víctimas opciones de pago únicas y posee un sistema de encriptación excelsa.

Spora fue descubierto la semana pasada por los expertos en ransomware de BleepingComputer. Quienes descubrieron que Spora, luego de cifrar los datos, ofrece cuatro opciones de pago por niveles: Restauración completa ($ 79); Inmunidad ($ 50); Retiro ($ 20); Y Restauración de archivos ($ 30). Spora también ofrece una opción gratuita que le permite descifrar dos archivos aleatorios con el fin de ganar la confianza de que los archivos cifrados se pueden restaurar. El precio varía según el sistema infectado.

“El servicio de descifrado de Spora es algo que no hemos visto en ningún otro sitio de descifrado de ransomware”, escribió BleepingComputer en un desglose técnico del ransomware. Dijo que Spora tenía “el más sofisticado sitio de pago que se ha visto hasta el momento”.

Las opciones de pago son sencillas: Inmunidad otorga una protección frente a futuros ataques. La opción Restauración de archivos permite a las víctimas elegir un grupo limitado de archivos para restaurar, pero no un descifrado completo del sistema.

Los investigadores creen que las nuevas opciones de pago fueron creadas para buscar más opciones que proporcionar a las víctimas que puedan estar menos dispuestas a pagar un rescate completo. Por ejemplo, una víctima podría estar menos inclinada a pagar $ 79 para recuperar archivos que ya estaban respaldados. Pero podrían pagar $ 20 para que el ransomware sea removido de su sistema o $50 para asegurarse la inmunidad.

Otra característica distintiva de Spora es el avanzado sistema de cifrado. El ransomware funciona sin conexión, manteniéndose bajo perfil y no generando tráfico de red a servidores C2 externos.

“Spora tiene un cifrado de primera categoría”, señaló BleepingComputer. “Spora no parece contener ninguna debilidad en su rutina de cifrado. Toda la operación de cifrado es extremadamente compleja”, según su análisis.

Cómo funciona el Ransomware Spora

Actualmente, el ransomware está dirigido a usuarios de idioma ruso y se entrega a través de un mensaje de spam. Los correos electrónicos contienen lo que se pretende que parezca una factura PDF, pero en realidad es un archivo HTA que contiene un programa VBScript o un cuentagotas. El lanzamiento de los archivos HTA establece una reacción en cadena, que finalmente conduce al cifrado de la computadora.

El programa VBScript crea y ejecuta un archivo JavaScript incrustado en el directorio% TEMP%, denominado Close.js. Ese archivo Close.js extrae otro ejecutable (con un nombre generado al azar) dentro de la misma carpeta. Y es ese archivo que cifra los datos, de acuerdo con el análisis de BleepingComputer.

“A diferencia de la mayoría de las familias de ransomware actuales, Spora funciona sin conexión y no genera tráfico de red a servidores en línea”, escribió BleepingComputer. Según BleepingComputer, el proceso de cifrado apunta a archivos locales y recursos compartidos de red, pero no agrega ninguna extensión de archivo adicional al final de los archivos, dejando intactos los nombres de los archivos.

Otro aspecto interesante de Spora es el archivo .KEY creado por el ransomware que contiene la clave privada RSA de la víctima, así como datos estadísticos como la fecha de infección, el nombre de usuario de la víctima y un identificador codificado del ejemplo Spora utilizado en la campaña.

Proceso de descifrado de Spora

El proceso de descifrado requiere que la máquina infectada visite el portal de descifrado Spora. A continuación, se requiere que los usuarios “sincronicen” su computadora con el portal de descifrado cargando el archivo .KEY. “Al sincronizar el archivo de claves, la información única sobre el cifrado de su computadora se carga en el sitio de pago y se asocia con su identificador único.” “Todo en este portal está bien organizado como un panel de escritorio, con sugerencias útiles que aparecen cuando se cierne sobre Ciertas opciones “, escribió BleepingComputer.

Después de que la víctima lo sincronice con el portal de descifrado, Spora determina cuánto es el precio del rescate, basado en la cantidad y el tipo de datos cifrados. Las demandas de rescate han oscilado entre $ 79 y $ 280 para la opción de restauración completa.

“Spora parece ser una familia de ransomware tan avanzada y bien administrada como Cerber y Locky, y pronto podremos ver a sus operadores expandirse desde Rusia a otros países de todo el mundo”, señalan los investigadores en el informe.