Spora – produkt hakerskiej korporacji?

2017-02-02 14:53:00

Na początku stycznia 2017 roku G DATA odkryła nowe typ złośliwego oprogramowania o nazwie SPORA.

Świat cyberprzestępców, tak jak wszystko wokół nas zmienia się i ewoluuje. Jak twierdzą eksperci SPORA, ze względu na swoje techniczne zaawansowanie może stać się następcą słynnego wirusa Locky.

W jaki sposób dochodzi do infekcji i czym wyróżnia się SPORA?
Tym razem rozprzestrzeniany jest poprzez przenośne dyski USB, których używamy codziennie.

- SPORA jest nowym typem zagrożenia, które sam oblicza wartość okupu za zaszyfrowane piliki – mówi Łukasz Nowatkowski Dyrektor IT G DATA Software – Tym razem cyberprzestępcy zachowali się jak rasowa korporacja dając nam wiele możliwości zapłaty okupu – dodaje.

Sytuacja ta sprawia, że „rynek” programów ransomware uległ zdecydowanej zmianie. Nie możemy mieć wątpliwości, że za SPORA stoi grupa sprawnych i zorganizowanych „przedsiębiorców”, a nie grupa ludzi, która jedynie chce utrudnić nam życie.

Świadczy o tym sam interfejs, który umożliwia nam zapłacenie okupu. Widzimy wyraźnie, że możemy zapłacić za usunięcie szkodnika, odblokowanie dostępu do folderu lub pojedynczego pliku.

Zapytaliśmy w jaki sposób działa wirus:

SPORA dodaje atrybuty do plików i folderów na pulpicie naszych komputerów. Następnie pliki i foldery stają się niewidoczne. Kolejnym krokiem jest zamiana „niewidocznych” plików i folderów na ich fałszywe odpowiedniki w postaci skrótu z taką samą nazwą. Na przykład folder C:\Windows będzie niewidoczny, a zamiast niego pojawi się jego fałszywy odpowiednik nazwany C: \Windows.lnk. Jest to skrót kierujący użytkownika do złośliwego pliku tzw. robaka. Dzięki temu, za każdym razem otwierając fałszywy plik przyczyniamy się do rozprzestrzeniania się wirusa oraz uruchamiamy plik wykonywalny.  Nic niepodejrzewającemu użytkownikowi pojawi się ekran zawierający zawartość Windows Explorera, która chciał otworzyć. Wszystko dzieje się „za naszymi plecami”.

W jaki sposób najczęściej dochodzi o zainfekowania komputera?

W przypadku opisywanego zagrożenia mamy tu do czynienia z wektorem infekcji wykorzystującym przenośne napędy USB, co dziś jest pewnym zaskoczeniem. Przytłaczająca większość wirusów szyfrujących znajduje swoje ofiary poprzez wiadomości e-mail lub rzadziej przez zainfekowane strony www. Spora wykorzystuje przenośne pamięci masowe ze względu na możliwość zaszyfrowania naszych dysków bez łączności z siecią. To ransomware offline! Do tego z bardzo rozbudowanym systemem płatności. Może mamy do czynienia z pierwszą cyberprzestepczą korporacją?

Czy płacić okup?

Odpowiedź brzmi – stanowczo nie! Nigdy nie wiemy dokąd trafiają pieniądze z okupu. Hakerzy to nie filmowe nerdy, a realni przestępcy często działający także w realu. Pieniądze z okupu za zaszyfrowane pliki mogą zostać użyte w handlu narkotykami, do finansowania różnego rodzaju przestępstw. Płatność może być także sygnałem o naszej słabości. Atakujący nie mają skrupułów, jeżeli zapłaciliśmy ten jeden raz mogą oni zechcieć wyciągnąć od nas większą sumę atakując po raz kolejny.

Wiele z zagrożeń szyfrujących zostało już przebadanych i mamy na nie odpowiednie deszyfratory. G DATA wspiera inicjatywę NO MORE RANSOM! (https://www.nomoreransom.org/). Na stronie akcji może znaleźć remedium na konkretne zagrożenia szyfrujące. Polecam osobą, które niestety padły ofiarą tego typu ataków.

Media:

Kontakt

G DATA Software Sp. z o.o.
Warcisława IV 2
78-400 Szczecinek

Telefon: +48 94 37 29 650
E-Mail: sales@remove-this.gdata.pl