Локер Spora впечатлил исследователей сложностью

Исследователи из Bleeping Computer предупреждают о новом вымогателе, названном создателями Spora. Несмотря на новизну, зловред впечатляет своей зрелостью: он использует надежное шифрование и достоверно выполненные поддельные email-сообщения, а также умеет работать без подключения к Интернету и обладает солидной инфраструктурой, в том числе сервисом для уплаты выкупа, не уступающим по юзабилити многим легальным ecommerce-сайтам.

По имеющимся сведениям, Spora распространяется через вредоносный спам и пока атакует только россиян. Сообщение весьма достоверно воспроизводит деловую переписку и маскирует вредоносные файлы под счет-фактуру. Файлы имеют двойное расширение (например, PDF.HTA или DOC.HTA), и в тех системах Windows, которые по умолчанию скрывают расширения файлов, пользователь вполне может принять вложение за безобидный PDF- или DOC-файл.

Кликнув на файл, жертва запускает процесс шифрования, при котором вредоносный JavaScript-файл close.js распаковывается в папку %Temp%, где из него извлекается исполняемый файл под случайным именем. Это и есть шифровальщик. Чтобы отвлечь внимание пользователя на время шифрования, из HTA-файла извлекается документ DOCX, который притворяется «битым». Пользователь решает, что файл был поврежден при пересылке, и не обращает внимания на странности.

В отличие от многих криптоблокеров, Spora шифрует лишь самые распространенные форматы, включая .xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup. Шифрованию подвергаются все файлы в локальных и сетевых папках. При этом зловред не добавляет свое расширение к шифруемым файлам, оставляя названия нетронутыми. Также он обходит стороной некоторые папки, модификация которых может нарушить нормальный процесс загрузки. Например, он по умолчанию не шифрует файлы, если путь к файлу содержит games, program files (x86), program files и windows.

Spora работает оффлайн и не общается с удаленным сервером. По мнению исследователей, вымогатель не имеет уязвимостей в системе шифрования и использует сложный многоступенчатый механизм генерации мастер-ключа .KEY. Для шифрования пользовательских данных используется более простой подход. После завершения процесса шифрования зловред исполняет CLI-команду, которая удаляет теневые тома, отключает возможность запуска восстановления при загрузке Windows и вносит изменения в процесс BootStatusPolicy, отвечающий за автоматическое восстановление системы после сбоя. Затем Spora генерирует сообщение о требовании выкупа и сохраняет его и файл .KEY на рабочем столе и в каждой папке.

В сообщении злоумышленники предоставляют простые инструкции к дальнейшим действиям и сообщают уникальный ID жертвы.

Портал для расшифровки файлов располагается на публичном домене Spora.bz, который перенаправляет жертву на закрытый сайт Tor, где она должна залогиниться при помощи ID из записки с требованием выкупа.

Специалисты уже отметили сложность сервиса для расшифровки файлов, который, по мнению некоторых экспертов, «организован лучше, чем некоторые ecommerce-сайты». Во-первых, для работы сайта нужно «синхронизировать» компьютер, загрузив файл .KEY. Этот процесс загружает информацию о зашифрованном компьютере на сайт оплаты и соотносит ее с уникальным ID пользователя.

После этого пользователи могут воспользоваться различными опциями (например, расшифровать пару файлов бесплатно, расшифровать все файлы, купить «иммунитет» к последующим заражениям Spora, удалить все файлы зловреда с компьютера после расшифровки или восстановить конкретный файл). Все опции доступны через аккуратный дэшборд, который также показывает время, оставшееся до крайнего срока оплаты.

Подобное меню и модульный подход к уплате выкупа — новшество в мире кибервымогательства. Все платежи осуществляются в биткойнах, причем кошелек привязывается к аккаунту жертвы на вымогательском портале. Чтобы обеспечить безопасность платежа, сайт имеет легитимный SSL-сертификат, выданный Comodo.

Spora также умеет категоризировать файлы, распределяя их по шести уровням. Статистическая информация о каждой категории вшита в файл .KEY, и при «синхронизации» зараженного компьютера с порталом Spora отображает различную цену за расшифровку файлов, основываясь на количестве и типе файлов на каждом конкретном компьютере. Таким образом, вымогатели смогут запросить больше за расшифровку файлов с корпоративного компьютера или, например, с компьютера дизайн-бюро или редакции, чьи файлы могут стоит больше, чем сам компьютер.

Встроенный виджет позволят обменяться максимум пятью сообщениями с довольно опытными «агентами техподдержки».

Пока вымогатель атакует только россиян, так как все ID, загруженные на портал, принадлежат пользователям из России, а спам-сообщения и текст записки с требованием выкупа также доступны только на русском языке.

За созданием Spora, очевидно, стоят опытные вирусописатели, уже работавшие с другими ransomware-кампаниями. Spora на настоящий момент имеет потенциал не ниже, чем признанные «звезды» мира вымогателей Cerber и Locky, и вскоре может распространиться и на другие страны.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *