Spora skiljer sig från traditionella utpressningsprogram på så sätt att programvaran kan kryptera filer utan att behöva stå i kontakt med en ledningsserver, även kallad command and control server. Men det betyder inte att alla kan använda samma nyckel för att låsa upp filerna, varje offer får fortfarande en unik nyckel, skriver IDG News.

I vanliga fall brukar ett utpressningsprogram generera en standardnyckel för varje krypterad fil, baserat på en symmetrisk algoritm. Den nyckeln krypteras i sin tur med en så kallad öppen rsa-nyckel som tas fram av en ledningsserver. De flesta utpressningsprogram förlitar sig på en sådan server och kontaktar den när filerna installerats på datorn. Den öppna nyckeln laddas ner på datorn, men den privata krypteringsnyckeln lämnar aldrig servern. Och det är just den nyckeln som offret måste betala en lösensumma för.

Läs också: God fortsättning – här är gisslanprogrammet som vägrar släppa julen

För hackarna kan den här typen av lösningen innebära vissa risker. Att tvingas kontakta en extern server efter installationen utgör en svag länk i kedjan. Är servern känd av säkerhetsexperter och blockerad av en brandvägg går det inte att starta krypteringsprocessen. Det går att låsa filerna offline, men då används ofta samma rsa-nyckel, hårdkodat i programmet.

Vad skaparna av Spora kortfattat har gjort är att det byggt in extra runda av aes- och rsa-nycklar i koden. När ett offer vill betala lösensumman måste de ladda upp sina krypterade aes-nycklar till hackarens betalningssajt. Hackarna använder då sin privata huvudnyckel för att låsa upp filerna hos sig och skickar tillbaka dem till ägaren. Troligen tillsammans med en samling verktyg som till sist ser till att offrets unika rsa-nyckel, som genererats lokalt, gör filerna tillgängliga.

Bakom upptäckten står forskare på företaget Emsisoft och i ett blogginlägg skriver de mer om hur viruset fungerar.

”Dessvärre, efter att vi utvärderat Spora och hur viruset fungerar har det visat sig att det inte finns något sätt att återställa filerna utan tillgång till skaparnas privata nycklar”, skriver de.

Det finns en ytterligare sak som skiljer Spora från andra utpressningsprogram. De filer som installeras på offrets dator, och som måste laddas upp vid betalning, innehåller också information som identifierar varje dator. Det betyder att hackarna kan se vem som laddar upp informationen och på så sätt kan de anpassa lösensumman efter varje offer. Dessutom erbjuder de andra tjänster som till exempel en garanti för att offret inte ska drabbas på nytt. Allt till ett särskilt pris så klart.

Läs också: 2016 var ett tufft år för it-säkerheten – men 2017 blir värre

Hackarna verkar vara måna om att göra det så lätt som möjligt för sina offer, vilket kan tyckas paradoxalt. Men betalningssajten ska se riktigt proffsig ut och de ska dessutom erbjuda någon form av kundchatt där de finns till hands.

Hittills har säkerhetsexperter främst sett hur Spora används i rysktalande länder. Men skaparna ska också ha tagit fram en engelsk version, så det är möjligt att vi under året får se en större spridning av detta nya ransomware.