Investigadores de seguridad informática advierten que Spora, un peligroso ransomware que fue detectado a principios de enero orientado a usuarios rusos, ya ha comenzado a propagarse por todo el mundo.
Las primeras infecciones de Spora se conocieron en los foros de Bleeping Computer y Kaspersky durante la primera semana del año. De acuerdo con los informes, el malware se estaba extendiendo por correo electrónico camuflado en mensajes que simulaban ser facturas.
Los emails iban con un archivo adjunto en formato ZIP que contenía un fichero en formato HTA, que es una aplicación HTML.Además, empleaban una doble extensión para aparentar normalidad, como PDF.HTA o DOC.HTA, ya que en los equipos Windows donde se oculta la extensión del archivo, el usuario solo ve la primera extensión ficticia.
La infección se produce en caso de ejecutar este archivo, que iniciará el proceso de cifrado de los archivos del ordenador. Mientras se encripta el contenido, Spora extrae y ejecuta un documento de Word dañado que muestra un mensaje de error, con la finalidad de distraer a la víctima.
A diferencia de otras familias de ransomware, Spora no necesita conexión a Internet y no genera ningún tráfico de red, una característica que lo convierte en muy peligroso. Esto es debido a que, al no conectarse con un servidor de comando y control, genera una clave pública RSA diferente para cada víctima, lo que hace que no funcione la misma herramienta de descifrado para todos los infectados.
Este ransomware no cifra todo el contenido, sino solo una selección de los documentos que puden resultar más importantes,
entre los que se encuentran ficheros de Excel, Word, imágenes, archivos
comprimidos o backups. Una vez finalizado el proceso, muestra al
usuario una pantalla con las instrucciones para desbloquear el PC.
En Spora solo había sido detectado en Rusia, pero ahora se ha
expandido a otros países, entre los que se encuentra Austria, Países
Bajos, Japón o Arabia Saudita. No se descarta que vaya a llegar a otros territorios, así que vigila la bandeja de entrada de tu correo electrónico.