O malware, que criptografa diferentes tipos de arquivos em máquinas Windows, é derivado do CryLocker, que ‘sequestra’ PCs e cobra resgate.
O Spora, ransomware avançado que ganhou fama por um período de tempo curto no início deste ano, e até então parecia ter seu foco de atuação na Europa e EUA, desembarcou definitivamente no Brasil. O malware, que criptografa diferentes tipos de arquivos em máquinas Windows — ele é derivado do CryLocker, que ‘sequestra’ PCs e cobra resgate —, não só tem causado dor de cabeça para as empresas afetadas como também para os pesquisadores e especialistas em vírus. Muitos deles, aliás, o classificam como “o ransomware mais sofisticado de todos os tempos”.
Descoberto pela primeira vez em 10 de janeiro passado, Spora parece ser um Trojan com criptografia de dados, que começou a se comunicar com suas vítimas apenas no idioma russo. No entanto, após vários meses de ataques, já se disseminou por toda web. Trata-se de um programa mal-intencionado bastante complexo, que usa um algoritmo de criptografia de dados totalmente diferente e que parece ser imune a ferramentas de remoção.
Segundo especialistas em segurança, o Spora é capaz de atacar 23 extensões de arquivo, sendo as mais conhecidas a xls, xlsx, doc, docx, rtf, CDR, mdb, pdf, jpg, jpeg, TIFF, zip e rar. Arquivos com essas extensões são protegidos usando uma chave de criptografia longa (a chave pública), mas, após ser “quebrada” pelo ransomware, a chave privada é enviada para servidores remotos de criminosos e fica lá até que a vítima se comprometa a pagar um resgate. Instruções sobre como transferir o pagamento são fornecidas na nota de resgate.
De acordo com o consultor em segurança Paulo Brito, da empresa Pentest, especializada em auditoria de aplicações web, os criadores do Spora demonstram excelentes habilidades de programação. “Além do mais, o atendimento do site ao hacker/usuário surpreende até mesmo os mais experientes especialistas em segurança.”
O consultor explica que o Spora é disseminado através de campanhas de e-mail malicioso, com arquivos com extensão HTA dentro de arquivos ZIP. “Esses arquivos têm extensões duplas, por exemplo, PDF.HTA e a extensão real que está oculta como .doc, por exemplo. Vale lembrar que a extensão de arquivo HTA é o formato de arquivo executável do HTML. Então, quando a vítima abre o arquivo HTA, este abre um arquivo .docx, que mostra uma mensagem de erro dizendo que o arquivo não pode ser aberto”, explica Brito.
O site de pagamento de resgate do Spora também é bastante sofisticado e fornece uma variedade de opções para a vítima — uma para remover o ransomware, outra para restaurar arquivos e até mesmo uma para ostensiva imunidade a ataques do ransomware. Normalmente, são pedidas pequenas quantias, que variam de US$ 80 a US$ 500. Mas os hackers podem pedir resgates maiores, dependendo do porte da vítima. O pagamento é aceito somente em moeda digital (bitcoin). O site também tem uma janela de comunicação pública, uma tabela de transações já realizadas e outros detalhes, com uma interface muito amigável.
Fonte: Computer World