Ein Wurm mit Ransomware-Funktionen
Das Schadprogramm verbreitet sich wie ein Wurm auf dem System, besitzt dabei aber die Funktionalität einer Ransomware. Mit Spora setzen die Kriminellen zudem auf ein neuartiges Geschäftsmodell. Betroffene haben die Wahl inwieweit das System wiederhergestellt werden soll.
Die G DATA Analysten sehen bei Spora eine Raffinesse, die das Schadprogramm zum neuen Locky machen könnte. Um dies zu unterstreichen haben die Experten den Ablauf einer Infektion mit Spora als Video aufgenommen und zeigen außerdem, wie die G DATA Schutztechnologien diese effektiv vermeiden.
Professionelle Erpresser am Werk
Wie der G DATA Security Spezialist Karsten Hahn in einem Blog berichtet, zeichnet sich Spora durch besondere Raffinesse aus. Dazu heißt es weiter:
Das Erpresser-Schreiben von Spora wurde zuerst vom Team von ID Ransomware gesichtet und vom MalwareHunterTeam über Twitter bekanntgemacht. Viele Malware-Forscher und Twitter-Nutzer zeigten sich beeindruckt von der gut aussehenden und professionell gemachten Erpresser-Webseite und dem dazu gehörigen Erpresser-Schreiben (ransom note). Nach den Erfahrungen aus der Vergangenheit sehen solche Webseiten eher schlecht gemacht aus. Das erste Sample wurde von einem Mitglied von Bleepingcomputer bereitgestellt und in einem entsprechenden Foreneintrag zu Spora besprochen.
Raffinierte Techniken
In seinem Beitrag erläutert Hahn detailliert die Techniken, der sich der Netzwerkwurm mit Ransomware bedient. Sie ähneln Gamarue und Dinihou (auch bekannt als Jenxcus). Das Problem besteht dabei darin, dass der Wurm gut versteckt und unbemerkt agiert. Selbst wenn man einfach nur einen (vermeintlichen) Ordner auf dem Desktop öffnet, wird der Wurm ausgeführt.
Mit dieser Strategie kann sich die Ransomware nicht nur über mobile Speichermedien wie USB-Sticks verbreiten, sondern wird auch sämtliche neu auf dem System erstellten Dateien verschlüsseln. Dadurch wird das System für die Bearbeitung und Speicherung von Dateien oder Dokumenten unbenutzbar, bis es bereinigt wird.
