Ransomware de origem russa Spora chega ao Brasil e causa estragos

O Spora, ransomware avançado que ganhou fama por um período de tempo curto no início deste ano, e até então parecia ter seu foco de atuação na Europa e EUA, desembarcou definitivamente no Brasil. O malware, que criptografa diferentes tipos de arquivos em máquinas Windows — ele é derivado do CryLocker, que 'sequestra' PCs e cobra resgate —, não só tem causado dor de cabeça para as empresas afetadas como também para os pesquisadores e especialistas em vírus. Muitos deles, aliás, o classificam como "o ransomware mais sofisticado de todos os tempos".

Descoberto pela primeira vez em 10 de janeiro passado, Spora parece ser um Trojan com criptografia de dados, que começou a se comunicar com suas vítimas apenas no idioma russo. No entanto, após vários meses de ataques, já se disseminou por toda web. Trata-se de um programa mal-intencionado bastante complexo, que usa um algoritmo de criptografia de dados totalmente diferente e que parece ser imune a ferramentas de remoção.

De acordo com especialistas em segurança, o Spora é capaz de atacar 23 extensões de arquivo, sendo as mais conhecidas a xls, xlsx, doc, docx, rtf, CDR, mdb, pdf, jpg, jpeg, TIFF, zip e rar. Arquivos com essas extensões são protegidos usando uma chave de criptografia longa (a chave pública), mas, após ser “quebrada” pelo ransomware, a chave privada é enviada para servidores remotos de criminosos e fica lá até que a vítima se comprometa a pagar um resgate. Instruções sobre como transferir o pagamento são fornecidas na nota de resgate.

De acordo com o consultor em segurança Paulo Brito, diretor presidente da Pentest, empresa especializada em auditoria de aplicações web e na formação de especialistas em segurança, os criadores do Spora demonstram excelentes habilidades de programação. Além do mais, o atendimento ao hacker/usuário surpreende até mesmo os mais experientes especialistas de segurança.

O consultor explica que o Spora é disseminado através de campanhas de e-mail malicioso, com anexos de arquivos com extensão HTA. “Esses arquivos têm extensões duplas, por exemplo, PDF.HTA e a extensão real que está oculta como.doc, por exemplo. Vale lembrar que a extensão de arquivoHTA é o formato de arquivo executável do HTML. Então,quando a vítima abre o arquivo HTA, este abre um arquivo.docx, que mostra uma mensagem de erro dizendo que oarquivo não pode ser aberto”, explica Brito.

O site de pagamento de resgate do Spora também é bastante sofisticado e fornece uma variedade de opções para a vítima — uma para remover o ransomware, outra para restaurar arquivos e até mesmo uma para ostensiva imunidade a ataques do ransomware. Normalmente, são pedidas pequenas quantias, que variam de US$ 80 a US$ 500. Mas os hackers podem pedir resgates maiores, dependendo do porte da vítima. O pagamento é aceito somente em moeda digital (bitcoin). O site também tem uma janela de comunicação pública, uma tabela de transações já realizadas e outros detalhes, com uma interface muito amigável.

Fonte: IDGnow