- El CCN-CERT publica el informe de código dañino ID-08/17 Ransom.Spora
- El fichero analizado contiene un HTML (HyperText Markup Language) diseñado y escrito para ser ejecutado en un navegador web, y que aprovecha ciertas vulnerabilidades para, a través de ellas, conseguir infectar el equipo de la víctima.
- El vector principal de infección de este código dañino han sido campañas masivas de phishing a través de correo electrónico que aparentan ser facturas bancarias.
El CCN-CERT ha publicado en la parte pública de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-08/17 Ransom.Spora. En él se recoge el análisis de este ransomware, diseñado para ser ejecutado en un navegador web, y que aprovecha ciertas vulnerabilidades para infectar el equipo de la víctima. El vector principal de infección son campañas masivas de phishing a través de correo electrónico que aparentan ser facturas bancarias y que engañan a los usuarios haciéndoles abrir el archivo comprimido que va adjunto.
Como peculiaridad, este ransomware carece de Centro de Mando y Control (C&C), por lo que siempre realiza el proceso de cifrado de ficheros de forma offline y establece de forma dinámica el precio del rescate en función del número y el tipo de archivos que hayan sido cifrados. Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características técnicas
- Conexiones de red
- Permanencia en el sistema
- Desinfección
- Prevención
- Información del atacante
Además, se incluye un Anexo con un primer estado del código sin desofuscar y ejecución del dropper flash.
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.
CCN-CERT (1-08-2017)