Análisis del ransomware Spora

  • El CCN-CERT publica el informe de código dañino ID-08/17 Ransom.Spora
  • El  fichero analizado contiene un  HTML  (HyperText  Markup  Language)  diseñado y escrito para ser ejecutado en un navegador web, y que aprovecha ciertas vulnerabilidades para, a través de ellas, conseguir infectar el equipo de la víctima.
  • El vector principal de infección de este código dañino han sido campañas masivas de phishing a través de correo electrónico que aparentan ser facturas bancarias.


El CCN-CERT ha publicado en la parte pública de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-08/17 Ransom.Spora. En él se recoge el análisis de este ransomware, diseñado para ser ejecutado en un navegador web, y que aprovecha ciertas vulnerabilidades para infectar el equipo de la víctima.  El vector principal de infección son campañas masivas de phishing a través de correo electrónico que aparentan ser facturas bancarias y que engañan a los usuarios haciéndoles abrir el archivo comprimido que va adjunto.

Como peculiaridad, este ransomware carece de Centro de Mando y Control (C&C), por lo que siempre realiza el proceso de cifrado de ficheros de forma offline y establece de forma dinámica el precio del rescate en función del número y el tipo de archivos que hayan sido cifrados. Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Conexiones de red
  • Permanencia en el sistema
  • Desinfección
  • Prevención
  • Información del atacante

Además, se incluye un Anexo con un primer estado del código sin desofuscar y ejecución del dropper flash.

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

Acceso a Informe

CCN-CERT (1-08-2017)

 

Ministerio de Defensa
CNI
CCN
CCN-CERT