bannerrootday

Ransomware de origem russa Spora chega ao Brasil e causa estragos



O Spora, ransomware avançado que ganhou fama por um período de tempo curto no início deste ano, e até então parecia ter seu foco de atuação na Europa e EUA, desembarcou definitivamente no Brasil. O malware, que criptografa diferentes tipos de arquivos em máquinas Windows — ele é derivado do CryLocker, que 'sequestra' PCs e cobra resgate —, não só tem causado dor de cabeça para as empresas afetadas como também para os pesquisadores e especialistas em vírus. Muitos deles, aliás, o classificam como "o ransomware mais sofisticado de todos os tempos".



Descoberto pela primeira vez em 10 de janeiro passado, Spora parece ser um Trojan com criptografia de dados, que começou a se comunicar com suas vítimas apenas no idioma russo. No entanto, após vários meses de ataques, já se disseminou por toda web. Trata-se de um programa mal-intencionado bastante complexo, que usa um algoritmo de criptografia de dados totalmente diferente e que parece ser imune a ferramentas de remoção.

De acordo com especialistas em segurança, o Spora é capaz de atacar 23 extensões de arquivo, sendo as mais conhecidas a xls, xlsx, doc, docx, rtf, CDR, mdb, pdf, jpg, jpeg, TIFF, zip e rar. Arquivos com essas extensões são protegidos usando uma chave de criptografia longa (a chave pública), mas, após ser “quebrada” pelo ransomware, a chave privada é enviada para servidores remotos de criminosos e fica lá até que a vítima se comprometa a pagar um resgate. Instruções sobre como transferir o pagamento são fornecidas na nota de resgate.

De acordo com o consultor em segurança Paulo Brito, diretor presidente da Pentest, empresa especializada em auditoria de aplicações web e na formação de especialistas em segurança, os criadores do Spora demonstram excelentes habilidades de programação. Além do mais, o atendimento ao hacker/usuário surpreende até mesmo os mais experientes especialistas de segurança.

O consultor explica que o Spora é disseminado através de campanhas de e-mail malicioso, com anexos de arquivos com extensão HTA. “Esses arquivos têm extensões duplas, por exemplo, PDF.HTA e a extensão real que está oculta como.doc, por exemplo. Vale lembrar que a extensão de arquivoHTA é o formato de arquivo executável do HTML. Então,quando a vítima abre o arquivo HTA, este abre um arquivo.docx, que mostra uma mensagem de erro dizendo que oarquivo não pode ser aberto”, explica Brito.

O site de pagamento de resgate do Spora também é bastante sofisticado e fornece uma variedade de opções para a vítima — uma para remover o ransomware, outra para restaurar arquivos e até mesmo uma para ostensiva imunidade a ataques do ransomware. Normalmente, são pedidas pequenas quantias, que variam de US$ 80 a US$ 500. Mas os hackers podem pedir resgates maiores, dependendo do porte da vítima. O pagamento é aceito somente em moeda digital (bitcoin). O site também tem uma janela de comunicação pública, uma tabela de transações já realizadas e outros detalhes, com uma interface muito amigável.

Fonte: IDGnow

Comentários

Postagens mais visitadas deste blog

Aprenda mais sobre segurança da Informação no evento Worksec

CANAL NO TELEGRAM

SanDisk lança cartão microSD de 400 GB para celulares na MWC 2018