Spora działa nietypowo, ponieważ atakuje swe ofiary nie kontaktując się wcześniej z serwerem CnC (Command-and-Control). Oznacza to, że szyfruje pliki w trybie offline, bez udziału serwera CnC. Działa przy tym w ten sposób, że pliki każdej ofiary są szyfrowane przy użyciu innego, unikalnego klucza.

Większość oprogramowania ransomware kontaktuje się zawsze z serwerem CnC, który generuje oba klucze szyfrowania danych: prywatny i publiczny. Zainstalowany na komputerze ransomware pobiera wtedy publiczny klucz, a prywatny jest przechowywany cały czas w pamięci serwera CnC. To ten klucz jest używany do odszyfrowania plików w momencie, gdy ofiara zapłaci okup.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem

Jak już powiedziano, Spora obywa się bez serwera CnC dzięki temu, że stosuje bardzo specyficzny mechanizm szyfrowania. Malware zawiera publiczny klucz RSA, ale wykorzystuje go w specyficzny sposób. Nie używa klucza bezpośrednio do szyfrowania plików przechowywanych na komputerze ofiary, ale do zaszyfrowania unikalnego klucza AES, który jest generowany zawsze lokalnie na komputerze ofiary. Nie wdając się w szczegóły, jest to metoda bazująca nie na bezpośrednim szyfrowaniu zasobu, ale na pośrednim czy jak kto woli podwójnym.

Gdy ofiara chce zapłacić okup, musi wysłać zaszyfrowany klucz AES do witryny wskazanej przez hakera. Ten wykorzystuje wtedy prywatny klucz RSA do odszyfrowania klucza AES i odsyła go z powrotem w tej postaci do ofiary. Tu pliki są odszyfrowywane i cała operacja dobiega końca.