De gijzelsoftware richt zich voor zover bekend enkel op Russische gebruikers, meldt Bleeping Computer. Besmetting gebeurt net als bij de meeste ransomware wanneer gebruikers een malafide bestand downloaden en openen.
In tegenstelling tot bij de meeste afpers-malware heeft Spora daarna geen internetverbinding nodig. De ransomware gaat zonder aanwijzingen van een server aan de slag en versleutelt bestanden met extensies als .doc, .jpg, .pdf, .psd en .zip.
Eenmaal versleuteld geeft de ransomware het slachtoffer een infectie-ID en een logbestand. Dat bestand moeten mensen uploaden naar een beveiligde site via de anonieme Tor-browser, waar ze moeten inloggen het infectie-ID.
Betaling
Op basis van het logbestand bepaalt de site van de Spora-ontwikkelaars of het slachtoffer zijn computer zakelijk of particulier gebruikt. Op basis daarvan wordt het geëiste losgeld berekend. Gebruikers kunnen daarna al hun bestanden laten ontsleutelen en tegen extra betaling ook immuniteit voor verdere Spora-infecties kopen en alle Spora-bestanden van hun computer laten verwijderen.
Prijzen voor het ontsleutelen van bestanden lopen volgens Bleeping Computer uiteen van 79 dollar tot 280 dollar. Het losgeld moet met digitale valuta bitcoin worden betaald, gebruikelijk in het geval van ransomware.
De versleuteling die wordt toegepast is volgens beveiligingsbedrijf Emisoft geavanceerd. Bestanden worden per stuk versleuteld en kunnen alleen worden ontsleuteld wanneer de digitale sleutel van de ransomware-maker bekend is. Na betaling krijgen gebruikers een een bestand waarmee zij hun eigen bestanden weer kunnen ontsleutelen.