Spora Ransomware

O Spora Ransomware é um Trojan ransomware sofisticado, que possui um site de pagamento avançado e a capacidade de realizar os seus ataques on-line. O Spora Ransomware apareceu pela primeira vez em janeiro de 2017 e chamou a atenção dos pesquisadores de segurança do PC imediatamente, por sua capacidade de realizar ataques on-line, por usar um mecanismo de criptografia forte e um sofisticado site de pagamento que é muito mais avançado do que os sites de pagamento associados a outros Trojans ransomware observados anteriormente.

Como o Spora Ransomware pode ser Distribuído

O Spora Ransomware pode ser distribuído usando mensagens de e-mail de spam que impedem os usuários de computador a acreditar que o e-mail contém um anexo com uma fatura. O anexo é um arquivo ZIP que contém arquivos HTA dentro. Esses arquivos HTA usam uma extensão dupla, o que faz com que os usuários de computador acreditem que o arquivo é um arquivo PDF ou DOC. A abertura desse arquivo HTA inicia o processo de instalação do Spora Ransomware no computador da vítima. O arquivo HTA extrai um arquivo do JavaScript chamado 'close.js' no diretório Temp do computador visado. Este, por sua vez, extrai um arquivo executável e o executa. O executável associado ao Spora Ransomware, usa um nome gerado aleatoriamente, e criptografa os arquivos da vítima. Além do executável, um arquivo DOCX corrompido também será extraído e executado. O arquivo mostrará deliberadamente uma mensagem de erro, fazendo com que o usuário do computador acredite que o arquivo é um arquivo danificado de uma fatura que não estava acessível, enquanto o ataque ocorre em segundo plano.

O Spora Ransomware pode Funcionar Mesmo em um Computador Off-Line!

Um aspecto do Spora Ransomware que o separa de muitos outros Trojans ransomware é que ele pode funcionar off-line; o Spora Ransomware não gera tráfego para os seus servidores de Comando e Controle. O Spora Ransomware também não visa uma grande variedade de arquivos (ao contrário de alguns Trojans que podem criptografar até mil tipos de arquivos diferentes!). O Spora Ransomware limita o seu ataque aos seguintes arquivos:

.xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup.

O Spora Ransomware codificará arquivos em todas as unidades locais e unidades de rede compartilhadas. O Spora Ransomware deixa os nomes dos arquivos inalterados, não adicionando extensões de arquivo como outros Trojans ransomware. O Spora Ransomware evita os arquivos de sistema do Windows e os diretórios de programas, para garantir que as vítimas ainda possam acessar os seus computadores para pagar o resgate do Spora Ransomware.

O Spora Ransomware usa um sólido método de criptografia. É muito improvável que os pesquisadores de segurança do PC liberem um utilitário de descriptografia para a ameaça do Spora Ransomware. O método de criptografia do Spora Ransomware é bastante sofisticado, resultando em um arquivo .KEY e em uma chave de criptografia necessária para a descriptografar dos arquivos afetados. Para descriptografar os arquivos afetados, as vítimas do ataque pelo Spora Ransomware são convidadas a enviar o arquivo .KEY gerado para as pessoas responsáveis ​​pelo ataque. Eles podem usar a sua própria chave privada para recuperar a chave de descriptografia necessária para descriptografar os arquivos da vítima.

Algumas Curiosidades Sobre o Site de Pagamento do Spora Ransomware

O site de pagamento do Spora Ransomware é publicamente acessível através do Spora.bz. No entanto, esse site é um portal para um site escondido do TOR que não é acessível ao público. No momento em que este artigo foi escrito, existem pelo menos dez URLs diferentes, que foram associados ao Spora Ransomware. As vítimas do ataque do Spora Ransomware podem acessar o serviço de descriptografia usando um número de identificação contido na nota de resgate do Spora Ransomware. As vítimas também precisam carregar um arquivo .KEY criado nos seus computadores. Uma vez que esta informação for sincronizada, as vítimas do ataque pelo Spora Ransomware terão acesso às seguintes características:

'Decodificação dos arquivos (atualmente $79)
Compre imunidade contra futuras infecções pelo Spora (atualmente US $50)
Remova todos os arquivos relacionados ao Spora depois de pagar o resgate (atualmente US $20)
Restaure um arquivo (atualmente US $30)
Restaure 2 arquivos gratuitamente'

O layout do site de pagamento do Spora Ransomware é bastante sofisticado, mais parecido com um site de comércio eletrônico do que com um site de pagamento de um ransomware.

SpyHunter detecta e remove Spora Ransomware