O malware, que criptografa diferentes tipos de
arquivos em máquinas Windows, é derivado do CryLocker, que 'sequestra'
PCs e cobra resgate.
O Spora, ransomware avançado que ganhou fama por um
período de tempo curto no início deste ano, e até então parecia ter seu
foco de atuação na Europa e EUA, desembarcou definitivamente no Brasil. O
malware, que criptografa diferentes tipos de arquivos em máquinas
Windows — ele é derivado do CryLocker, que 'sequestra' PCs e cobra
resgate —, não só tem causado dor de cabeça para as empresas afetadas
como também para os pesquisadores e especialistas em vírus. Muitos
deles, aliás, o classificam como "o ransomware mais sofisticado de todos
os tempos".
Descoberto pela primeira vez em 10 de janeiro passado,
Spora parece ser um Trojan com criptografia de dados, que começou a se
comunicar com suas vítimas apenas no idioma russo. No entanto, após
vários meses de ataques, já se disseminou por toda web. Trata-se de um
programa mal-intencionado bastante complexo, que usa um algoritmo de
criptografia de dados totalmente diferente e que parece ser imune a
ferramentas de remoção.
De acordo com especialistas em segurança, o Spora é capaz
de atacar 23 extensões de arquivo, sendo as mais conhecidas a xls, xlsx,
doc, docx, rtf, CDR, mdb, pdf, jpg, jpeg, TIFF, zip e rar. Arquivos com
essas extensões são protegidos usando uma chave de criptografia longa
(a chave pública), mas, após ser “quebrada” pelo ransomware, a chave
privada é enviada para servidores remotos de criminosos e fica lá até
que a vítima se comprometa a pagar um resgate. Instruções sobre como
transferir o pagamento são fornecidas na nota de resgate.
De acordo com o consultor em segurança Paulo Brito,
diretor presidente da Pentest, empresa especializada em auditoria de
aplicações web e na formação de especialistas em segurança, os criadores
do Spora demonstram excelentes habilidades de programação. Além do
mais, o atendimento ao hacker/usuário surpreende até mesmo os mais
experientes especialistas de segurança.
O consultor explica que o Spora é disseminado através de
campanhas de e-mail malicioso, com anexos de arquivos com
extensão HTA. “Esses arquivos têm extensões duplas, por exemplo, PDF.HTA e a extensão real que está oculta como.doc,
por exemplo. Vale lembrar que a extensão de
arquivoHTA é o formato de arquivo executável do HTML. Então,quando a vítima abre o
arquivo HTA, este abre um arquivo.docx, que mostra uma mensagem de erro dizendo que oarquivo não pode ser aberto”, explica Brito.
O site de pagamento de resgate do Spora também é bastante
sofisticado e fornece uma variedade de opções para a vítima — uma para
remover o ransomware, outra para restaurar arquivos e até mesmo uma para
ostensiva imunidade a ataques do ransomware. Normalmente, são pedidas
pequenas quantias, que variam de US$ 80 a US$ 500. Mas os hackers podem
pedir resgates maiores, dependendo do porte da vítima. O pagamento é
aceito somente em moeda digital (bitcoin). O site também tem uma janela
de comunicação pública, uma tabela de transações já realizadas e outros
detalhes, com uma interface muito amigável.