Ransomware Spora criptografa arquivos, ‘sequestra’ PCs e cobra resgate

O Spora, ransomware avançado que ganhou
fama por um período de tempo curto no início deste ano, e até então
parecia ter seu foco de atuação na Europa e EUA, desembarcou
definitivamente no Brasil. O malware, que criptografa diferentes tipos de arquivos em máquinas Windows — ele é derivado do CryLocker, que ‘sequestra’ PCs e cobra resgate —,
não só tem causado dor de cabeça para as empresas afetadas como também
para os pesquisadores e especialistas em vírus. Muitos deles, aliás, o
classificam como “o ransomware mais sofisticado de todos os tempos”.

Descoberto
pela primeira vez em 10 de janeiro passado, Spora parece ser um Trojan
com criptografia de dados, que começou a se comunicar com suas vítimas
apenas no idioma russo. No entanto, após vários meses de ataques, já se
disseminou por toda web. Trata-se de um programa mal-intencionado
bastante complexo, que usa um algoritmo de criptografia de dados
totalmente diferente e que parece ser imune a ferramentas de remoção.

Segundo especialistas
em segurança, o Spora é capaz de atacar 23 extensões de arquivo, sendo
as mais conhecidas a xls, xlsx, doc, docx, rtf, CDR, mdb, pdf, jpg,
jpeg, TIFF, zip e rar. Arquivos com essas extensões são protegidos
usando uma chave de criptografia longa (a chave pública), mas, após ser
“quebrada” pelo ransomware, a chave privada é enviada para servidores
remotos de criminosos e fica lá até que a vítima se comprometa a pagar
um resgate. Instruções sobre como transferir o pagamento são fornecidas
na nota de resgate.

De acordo com o consultor em segurança Paulo Brito, da empresa Pentest, especializada
em auditoria de aplicações web, os criadores do Spora demonstram
excelentes habilidades de programação. “Além do mais, o atendimento do
site ao hacker/usuário surpreende até mesmo os mais experientes
especialistas em segurança.”

O consultor explica que o Spora
é disseminado através de campanhas de e-mail malicioso, com arquivos
com extensão HTA dentro de arquivos ZIP. “Esses arquivos têm extensões
duplas, por exemplo, PDF.HTA e a extensão real que está oculta como
.doc, por exemplo. Vale lembrar que a extensão de arquivo HTA é o
formato de arquivo executável do HTML. Então, quando a vítima abre o
arquivo HTA, este abre um arquivo .docx, que mostra uma mensagem de erro
dizendo que o arquivo não pode ser aberto”, explica Brito.

O site de pagamento de resgate do Spora também é bastante sofisticado e fornece uma variedade de opções para a vítima —
uma para remover o ransomware, outra para restaurar arquivos e até
mesmo uma para ostensiva imunidade a ataques do ransomware. Normalmente,
são pedidas pequenas quantias, que variam de US$ 80 a US$ 500. Mas os
hackers podem pedir resgates maiores, dependendo do porte da vítima. O
pagamento é aceito somente em moeda digital (bitcoin). O site também tem
uma janela de comunicação pública, uma tabela de transações já
realizadas e outros detalhes, com uma interface muito amigável.