Spora: Neue Ransomware tritt in die Fußstapfen von Locky

Die Bochumer Sicherheitsexperten von G DATA haben mit Spora einen neuartigen Erpressertrojaner analysiert und dort den Infektions- und Verschlüsselungsprozess detailliert untersucht. Das bisher unbekannte Schadprogramm verbreitet sich wie ein Wurm auf dem System und Wechselmedien, besitzt dabei aber die Funktionalität einer Ransomware. Mit Spora führen die Ersteller dabei zudem ein neuartiges Geschäftsmodell ein: Betroffene haben die Wahl, inwieweit das System wiederhergestellt werden soll – die Höhe des geforderten Lösegelds richtet sich dann ganz nach dem Wunsch des Opfers gemäss der Frage: „Darf es denn noch ein wenig mehr sein?“. Tendenzen, dass Locky hier durchaus seinen zweifelhaften Ruf einbüßen könnte, sind offenbar zu erkennen.

Das Erpresser-Schreiben von Spora wurde zuerst vom Team von ID Ransomware gesichtet und vom MalwareHunterTeam über Twitter bekanntgemacht. Viele Malware-Forscher und Twitter-Nutzer zeigten sich beeindruckt von der gut aussehenden und professionell gemachten Erpresser-Webseite und dem dazu gehörigen Erpresser-Schreiben, das äusserst aufwändig wirkte. Das erste Sample wurde von einem Mitglied von Bleepingcomputer bereitgestellt und in einem entsprechenden Foreneintrag zu Spora besprochen. Die Verbreitung von Spora erfolgt hier über USB-Speicher, so wie Gamarue und Dinihou (auch bekannt als Jenxcus). Über statistische Werte der verschlüsselten Dateien wird dann auch die Höhe des Lösegeldes berechnet, was dem Ganzen doch schon eine ganz andere Dimension gibt.

Beim genannten Beispiel handelt es sich um eine HTA-Anwendung mit verschleiertem VBScript. Bleepingcomputer zur Folge wird sie in einem ZIP-Archiv als E-Mail-Anhang verschickt. Einsendungen bei VirusTotal zeigen dabei den Dateinamen „Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta.“ Diese HTA-Datei schreibt eine JScript-Datei in den Pfad %TEMP%\close.js und führt diese aus. Die JScript-Datei ist wiederum der Dropper für ein Word-Dokument, welches unter %TEMP%\doc_6d518e.docx gespeichert wird sowie für eine PE-Datei die unter %TEMP%\81063163ded.exe gespeichert wird.

Beide Dateien werden vom Script close.js geöffnet. Das Word-Dokument wird anschließend mit einem Parameter gestartet, welches das Programmfenster als aktiv markiert und im Vordergrund öffnet – die .EXE-Datei hingegen wird versteckt geöffnet. Optisch wird das Dokument also mit der Standardanwendung für .DOCX-Dateien geöffnet, dabei wird allerdings sofort eine Fehlermeldung angezeigt, die darauf hinweist, dass die Datei beschädigt sei. Der Name der PE-Datei (81063163ded.exe) scheint zufällig ausgewählt, ist aber im Dropper fest codiert. Die PE-Datei wiederum ist mit einem UPX-Packer gepackt und enthält die eigentliche Routine.

Spora setzt ebenso wie seinerzeit Dinihou und Gamarue auf die Verwendung von Verknüpfungen (Dateiendung .LNK in Windows), um sich zu verbreiten. Seinerzeit war der Weg über die bekannten autorun.inf-Dateien sehr beliebt, ist mittlerweile aber nicht mehr zeitgemäß respektive seit Windows 7 komplett entfernt, so dass jetzt andere „Transportwege“ herhalten müssen. Diese .LNK-Dateien benutzen den folgenden Befehl, um sowohl die Originaldatei zu öffnen als auch den Wurm auszuführen – handelt es sich bei der Originaldatei eigentlich um einen Ordner, wird dieser im Windows Explorer angezeigt:

/c explorer.exe „<originalfile>“ & type „<worm>“ > „%%tmp%%\<worm>“ & start „<originalfile>“ „%%tmp%%\<worm>“

Spora fügt nun allen Dateien und Ordnern auf dem Desktop sowie den Hauptverzeichnissen von Speichermedien und dem Systemlaufwerk das „Hidden“-Systemattribut hinzu. Dateien und Ordner sind nun in der Standard-Dateiansicht im Windows Explorer nicht mehr sichtbar: Um keinen Verdacht zu erregen, ersetzt Spora die versteckten Elemente durch gleichnamige Verknüpfungen mit den gleichen Icons, man kann also auch nicht anhand des Verknüpfungspfeils sehen, was hinter dem Symbol steckt. Beim Öffnen verhalten sich die .LNK Ersatzdateien gewohnt unauffällig, allerdings wird neben der Originaldatei auch die Malware im Hintergrund gestartet. Beispielsweise wird der Ordner C:\Windows versteckt, stattdessen wird eine Datei namens C:\Windows.lnk erstellt – diese sieht dann für den Nutzer ebenso aus wie der echte Ordner, den man in der Standardanzeige unter Windows zu sehen bekommt. Freundlicherweise löscht Spora auch den Registry-Wert HKCR\lnkfile\isShortcut. Dieser Wert ist eben dafür zuständig, dass eine Verknüpfung mit dem charakteristischen, gebogenen Pfeil in der unteren linken Ecke auf dem Icon gekennzeichnet wird und man als aufmerksamer Nutzer spätestens hier stutzig werden könnte.

Das Resultat: Selbst wenn man einfach nur einen (vermeintlichen) Ordner auf dem Desktop öffnet, wird der Wurm bereits ausgeführt. Mit dieser Strategie kann sich die Ransomware nicht nur über mobile Speichermedien wie USB-Sticks verbreiten, sondern wird auch sämtliche neu auf dem System erstellten Dateien direkt verschlüsseln. Spora ändert hierbei die Namen der verschlüsselter Dateien nicht und konzentriert sich auch sonst nur auf eine bisher begrenzte Anzahl von Dateitypen wie .backup, .7z, .rar, .zip, .tiff, .jpeg, .jpg, .accdb, .sqlite, .dbf, .1cd, .mdb, .cd, .cdr, .dwg, .psd, .pdf, .odt, .rtf, .docx, .xlsx, .doc, und .xls.

Bezüglich der Verschlüsselung an sich generiert Spora ein RSA-Schlüsselpaar (C1 und C2) mit einer Länge von 1024 Bit. Der öffentliche Schlüssel C2 wird hier benutzt, um die AES-Schlüssel, die jeweils pro Datei verwendet und ebenfalls von Spora generiert werden, zu verschlüsseln.  Der private Schlüssel C1 hingegen wird in der .KEY-Datei abgelegt, diese .KEY-Datei wird wiederum mit dem neu erstellten AES-Schlüssel B (256 Bit) verschlüsselt. Der öffentliche RSA-Schlüssel des Angreifers (A2) wird wiederum benutzt, um den AES-Key B zu verschlüsseln. Der so verschlüsselte Key B wird dann an die .KEY-Datei angehängt. Durch dieses Verschlüsselungsschema ist Spora in der Lage, leider auch komplett offline zu arbeiten und nicht auf einen externen Kontroll-Server angewiesen zu sein. Betroffene Benutzer müssen – sofern sie das Spiel mitspielen – diese .KEY-Datei auf der Webseite der Ransomware hochladen.

Die zweite entscheidende Datei ist eine .LST-Datei, die alle verschlüsselten Dateien auflistet. Diese ist nach dem gleichen Prinzip verschlüsselt wie die .KEY-Datei. Für die Verschlüsselung der .LST-Datei wird ein neuer AES-Schlüssel generiert. Dieser wird vom öffentlichen RSA-Schlüssel A2 verschlüsselt und in dieser Form an die .LST-Datei angehängt.

Die .KEY-Datei kann selbstverständlich ausschließlich vom Autor der Ransomware entschlüsselt werden. Mit seinem privaten Schlüssel A1 würde man den AES-Schlüssel B entschlüsseln, welcher an die .KEY-Datei angehängt wurde. In der Folge kann man dann den restlichen Inhalt der .KEY-Datei wieder lesbar machen, inklusive des privaten Schlüssels der infizierten Maschine (C1) mit Hilfe von AES-Schlüssel B. Den für jeden infizierten PC einmaligen privaten Schlüssel C1 kann der Angreifer dann in einen Decrypter einbauen, den das Opfer nach erfolgter Zahlung erhalten soll. Ich sage hier bewußt „soll“, da man diese Unart im Netz eigentlich nur ausrotten kann, indem man das Geschäftsmodell einfach nicht mitträgt, bewußt vor dem Rechner sitzt, handelt und sich vorab um unabhängige Backups kümmert. Denn: Wer garantiert, dass nach Zahlung (die ja auch Wasser auf den Mühlen der Ransomware-Ersteller ist) auch wirklich alles entschlüsselt wird und auch kein Rest des Schädlings, der vielleicht irgendwo auf dem System zurückbleibt und zu späterer Stunde – vielleicht mutiert – wieder neu in Erscheinung tritt?

Diese recht komplexe Vorgehensweise ermöglicht es dem Angreifer jedenfalls, das Risiko zu minimieren, seinen privaten Schlüssel A1 zu exponieren und zeitgleich sicher zu stellen, dass ein Entschlüsselungs-Prozeß wirklich nur auf einem Rechner funktioniert. Dies bedeutet andererseits auch, dass es nur einen RSA-Schlüssel A1 für mehrere infizierte Maschinen gibt: Gelangt eben dieser Schlüssel an die Öffentlichkeit oder würde im Zuge einer Strafverfolgung beschlagnahmt werden, wäre man im Umkehrschluß in der Lage, alle Dateien zu entschlüsseln, die mit dieser Variante von Spora verschlüsselt worden sind, stellt er doch quasi den Master Key dar.

Spora umgeht übrigens bei all der technischen Rafinese nicht die Benutzerkontensteuerung (UAC) von Windows, was letztendlich bedeutet, dass der Benutzer Änderungen am System explizit zustimmen muss, bevor die Malware überhaupt starten kann. Freundlicherweise deaktiviert Spora dabei noch die Schattenkopien und die Systemwiederherstellung unter Windows – ein separates Systembackup über eine andere Lösung sollte daher (nicht nur in diesem Fall) sowieso noch parallel vorliegen. Es schadet schlußendlich also wie immer nicht, mit fremden E-Mails oder deren Anhängen anders zu verfahren als mit bekannten und diesen auch ein gesundes Maß an Skepsis und Argwohn entgegenzubringen: Ein zweiter oder dritter Blick kann auch den unbedarfte(re)n User vor großen Sorgen bewahren!

(Quelle: G-DATA Blog)

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
  • linkedin

Stolzer Familienvater. Digital Native und chronischer Device-Switcher. Multimedia-Freak. UK-Fan, auch mit Brexit. Blogger mit stets zu wenig Zeit. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hauptberuflicher IT-Consultant- & Vertriebler. Auch zu finden bei XING. Dieser Artikel hat einen Job oder zumindest Euren Seelenfrieden gerettet und gegebenfalls sogar für Kurzweil gesorgt? Die PayPal-Kaffeekasse freut sich - dankeschön!

  • facebook
  • twitter
  • googleplus
  • linkedIn
  • instagram
  • telegram

Kommentar verfassen