Die Sicherheitsexperten von G Data haben mit Spora einen neuartigen Erpressertrojaner analysiert und den Infektions- und Verschlüsselungsprozess detailliert untersucht. So verbreite sich das Schadprogramm wie ein Wurm auf dem System und Wechselmedien, besitze dabei aber die Funktionalität einer Ransomware, mit der die Kriminellen zudem ein neuartiges Geschäftsmodell eingeführt haben. Nach Angaben der G Data-Experten müssen betroffene Nutzer nach der Infektion entscheiden, inwieweit das System wiederhergestellt werden soll. Das geforderte Lösegeld richte sich dann nach der Wahl des Opfers. Durch die Raffinesse, mit der Spora vorgeht, sehen die Experten von G Data die Gefahr, dass die Malware eine ähnliche Verbreitung wie Locky finden könnte.

Beim Verschlüsselungsvorgang ändere Spora nicht die Namen der Dateien und konzentriere sich auf die Endungen .backup, .7z, .rar, .zip, .tiff, .jpeg, .jpg, .accdb, .sqlite, .dbf, .1cd, .mdb, .cd, .cdr, .dwg, .psd, .pdf, .odt, .rtf, .docx, .xlsx, .doc, .xls. Dabei generiere das Schadprogramm laut G Data ein RSA-Schlüsselpaar (C1 und C2, siehe Grafik) mit einer Länge von 1.024 Bit. Den öffentlichen RSA-Schlüssel C2 benutze Spora, um die AES-Schlüssel, die jeweils pro Datei verwendet und ebenfalls vom Trojaner generiert werden, zu verschlüsseln. Den privaten RSA-Schlüssel C1 hingegen legt die Malware in der .key-Datei ab, die nach Erkenntnissen der Sicherheitsexperten ebenfalls mit dem neu erstellten AES-Schlüssel B (256 Bit) verschlüsselt wird. Der öffentliche RSA-Schlüssel A2 wird laut G Data dazu genutzt, den AES-Key B zu verschlüsseln. Anschließend hänge Spora den verschlüsselten Key B an die .key-Datei an. Die verschlüsselten Dateien werden nach Angaben der Sicherheitsexperten in einer zweiten .lst-Datei aufgelistet, die nach dem gleichen Prinzip wie die .key-Datei verschlüsselt ist.

Durch dieses Verschlüsselungsschema müsse Spora keinen Schlüssel von einem C-and-C-Server beziehen und sei dadurch in der Lage offline zu arbeiten. Um ihre Dateien wieder entschlüsseln zu können, müssen betroffene Nutzer die .key-Datei auf der Webseite der Ransomware hochladen. Das zu zahlende Lösegeld wird anschließend anhand der Anzahl der verschlüsselten Dateien berechnet. Je mehr Daten betroffen sind, desto höher fällt nach Angaben der Sicherheitsexperten auch die zu zahlende Summe aus.

Für die Entschlüsselung nutzen die Kriminellen nach Informationen von G Data ihren privaten RSA-Schlüssel A1, um den an die Datei angehängten AES-Schlüssel B zu decodieren. Dadurch machen sie den restlichen Inhalt einschließlich des privaten RSA-Schlüssels C1 wieder lesbar. Nach Eingang der Zahlung bauen die Autoren der Ransomware den RSA-Schlüssel C1 anschließend in einen Decrypter ein, den das Opfer dann für das Entschlüsseln seiner Daten erhalte. Durch dieses Vorgehen muss der Angreifer laut Sicherheitsexperten seinen privaten Schlüssel A1 nicht exponieren und stellt gleichzeitig sicher, dass ein Decrypter nur auf einem infizierten System funktioniert. Das bedeute jedoch auch, dass es nur einen RSA-Schlüssel für mehrere befallene Maschinen gebe, einen sogenannten Masterkey. Gelange dieser Key an die Öffentlichkeit, wäre man in der Lage, alle durch Spora verschlüsselten Daten wieder zu entschlüsseln, so die Sicherheitsexperten von G Data.

Weitere Informationen zu Spora finden sich im Security Blog von G Data unter blog.gdata.de/2017/01/29446-spora-wurm-und-ransomware.

Die Inforgrafik zeigt die Verschlüsselung durch Spora. Grafik: G Data

Timo Scheibe ist Redakteur bei der LANline.