Spora, nova generacija izsiljevalskih virusov

Strokovnjaki za varnost poročajo o najdbi novega tipa izsiljevalskega virusa, ki je še bolj sofisticiran kot dosedanji, prinaša pa tudi »inovativen« pristop pri »trženju« odkupnin. Zlonamerni program z imenom Spora so doslej zaznali predvsem v Rusiji, vendar obstoj spletne strani v angleščini daje slutiti, da bodo avtorji kmalu začeli ciljati tudi na uporabnike drugod po svetu. Po mnenju strokovnjakov gre za profesionalno dizajniran program, proti kateremu se bo zelo težko, če že ne nemogoče, boriti z dosedanjimi metodami.

Spora predvsem odpravlja ranljivost dosedanjih izsiljevalskih programov, ki so za delovanje uporabljali tako imenovane kontrolne strežnike CnC (command-and-control), na katerih so avtorji generirali javne ključe AES za šifriranje podatkov, pri tem pa zadržali zasebne ključe za kasnejše dekodiranje šifriranih datotek. Blokiranje dostopa do poznanih strežnikov CnC je doslej bila ena od glavnih metod zaščite pred izsiljevanjem, tudi v primeru, če je bila zlonamerna koda že naložena na okuženi računalnik, a še ni bila aktivirana.

Spora namesto tega ne uporablja strežnikov CnC, temveč izvaja tako imenovano »odklopljeno« (offline) šifriranje. Program sicer uporablja v kodo zapečen javni RSA ključ, a je ta uporabljen za šifriranje drugega, za vsak računalnik unikatnega AES ključa, ki ga generira koda lokalno. Ta drugi ključ je nato uporabljen za šifriranje uporabnikovih datotek in je torej puščen na okuženem računalniku, a tudi sam šifriran. Šifriranje se torej lahko opravi, brez da bi zato morali biti obveščeni kaki zunanji strežniki.

Uporabniki, ki želijo odkleniti šifrirane datoteke morajo zato na spletni portal napadalcev naložiti šifrirano datoteko z lokalnim privatnim ključem, da bi nato dobili »ključ od ključa«. Toda avtorji zlonamernega programa se niso ustavili zgolj pri temu. V šifrirano datoteko so poleg lokalnega ključa spravili še dodatne informacije, ki povedo profil uporabnika – lokacijo, ali gre za zasebnega ali poslovnega uporabnika in druge zanje koristne informacije.

Na ta način lahko avtorji pripravljajo ciljane izsiljevalske akcije in cenike odkupnin prilagojene posameznim tipom »uporabnikov«. Na spletnem portalu so si celo izmislili dodatne tipe »storitev«. Za dodatno plačilo med drugim tržijo odstranitev zlonamernega programa (za razliko od samo dešifriranja datotek) in »podaljšano jamstvo« ali imunost pred morebitnimi novimi napadi. Podjetno, ni kaj.

Za zdaj kaže, da se Spora razmnožuje prek elektronske pošte v obliki priponk, ki spominjajo na račune in druge poslovne dokumente iz znanih računovodskih programov. Priponke so v formatu HTA (HTML Application) in vsebujejo zlonamerno kodo v JavaScriptu. Seveda lahko pričakujemo, da se bodo priponke pojavile tudi v kaki drugi obliki.