Spora Ransomwareランサムウェア感染が危険 ファイル破壊被害に注意
Windows XP/Vista/7/8/10パソコンを感染ターゲットに Spora(スポラ) を名乗る ランサムウェア(身代金型ウイルス) の脅威が確認されてます。 <2017年1月に発見
【Sporaウイルス定義名】
ESET Win32/Filecoder.Spora
Kaspersky Trojan-Ransom.Win32.Spora
Microsoft Ransom:Win32/Spora
Symantec Ransom.Spora
Trend Micro Ransom_SPORA
この Spora ランサムウェア感染経路は、メールの添付ファイルからウイルス感染 や サイト閲覧で脆弱性を突いてウイルスが強制インストール されるパターンではなく、 Windows ユーザーさんの 自爆感染 と考えられます。
記事投稿時点で確認してるのが、特に Google Chrome ユーザーを狙い一般サイト上で HoefletText フォントダウンロードと称する偽通知 を表示して、ランサムウェアの実行ファイル(拡張子 .exe) を起動するよう仕向ける巧妙な手口です。
改ざんされウイルスをバラ撒く日本の一般サイト
Sporaランサムウェアの感染症状
Windows のデスクトップなどに脅迫文が作成され、ファイル名 「HELP_[英数字].html」「JP[3ケタ英数字]-[5ケタ英数字]- ~ -[5ケタ英数字].html」 です。
Spora Ransomwareウイルス 英語の脅迫バージョン
Spora Ransomwareウイルス ロシア語の脅迫ファイル
【脅迫文ファイルのメッセージ】
All your work and personal files were encrypted
To restore data, obtaining guarantees and support,
follow the instructions in your account.
SPORA RANSOMWARE
Personal Area
Все Ваши рабочие и личные файлы были зашифрованы
Для восстановления информации, получения гарантий и поддержки,
следуйте инструкции в личном кабинете.
SPORA RANSOMWARE
Личный кабинет
■ 暗号化ファイル
Spora Ransomware によって暗号化されたファイルは、ファイル名や拡張子の変更は行われず内部データの破壊だけです。 <タイムスタンプやファイルサイズが変化するぐらい
【Spora暗号化対象となってる拡張子一覧】
.1cd .7z .accdb .backup .bak .cd .cdr .dbf .doc .docx .dwg .jpeg .jpg .mdb .odt .pdf .ppt .pptx .psd .rar .rtf .sql .sqlite .tiff .xls .xlsx .zip FireflyFramer (23種 → 後に27種、手元でソート済み)
対象の拡張子は、他のランサムウェアが数百種ぐらい対応してることがザラなのに比べて極めて数が少なくダメージの大きい形式に的を絞る戦略と思われます。
なお、セキュリティ会社から Spora の無料ファイル復号ツールは提供されておらず、Windowsのバックアップ機能ボリュームシャドウコピーのデータが残存していれば、破壊される前のファイルを復旧できる可能性はいちおうあります。
ウイルス拡散を狙うワーム処理
Spora Ransomware はUSBメモリなど記憶媒体を介して他のパソコンへ拡散できる ワーム のような処理を実装してます。
【1】 Sporaウイルスに感染した時点で存在するフォルダと同じ名前で偽装されたショートカットが新規に作成される
- ドライブ直下
- デスクトップ
- PC接続の記憶媒体 (外付けHDD、USBメモリなど)
加えて、Sporaウイルスのコピー([18ケタのランダム英数字].exe)も作成される
感染ユーザーが異変に気づかずショートカットをダブルクリックしてしまうと、Sporaウイルスの実行ファイルが起動する仕掛けです。