SPORA: całkiem spory ransomware

Przeczytaj także: Zagrożenia internetowe: więcej ataków ukierunkowanych

Do jakich sztuczek cyberprzestępcy uciekają się tym razem? Narzędziem, przez które rozprzestrzenia się SPORA jest przenośny dysk USB, a więc sprzęt, którego wielu z nas używa każdego dnia. Pewnym novum jest fakt, że nowy ransomware samodzielnie oblicza wartość okupu, który uiścić ma ofiara ataku w zamian za odszyfrowanie zainfekowanych plików.

– Tym razem cyberprzestępcy zachowali się jak rasowa korporacja dając nam wiele możliwości zapłaty okupu – mówi Łukasz Nowatkowski Dyrektor IT G DATA Software.

Ten incydent sprawia, że na rynek programów ransomware powinniśmy spojrzeć już z nieco innej perspektywy niż ostatnio. Za SPORA nie stoją bowiem osoby, które tylko i wyłącznie chcą nam utrudnić życie, ale grupa sprawnych i dobrze zorganizowanych przedsiębiorców.

Świadczyć o tym może już sam interfejs, umożliwiający zapłacenie okupu. Ofiara wyraźnie widzi, że może opłacić usunięcie szkodnika lub odblokowanie dostępu do pojedynczego pliku lub folderu.

Jak działa SPORA?

Pierwszym krokiem wykonywanym przez SPORA jest dodanie atrybutów do plików i folderów umieszczonych na pulpicie komputera ofiary, w efekcie czego stają się one niewidoczne. W kolejnym etapie dochodzi do zamiany „niewidocznych” plików i folderów na ich fałszywe odpowiedniki w postaci skrótu z taką samą nazwą. I tak np. zamiast folderu C:\Windows pojawi się jego oszukana kopia o nazwie C: \Windows.lnk. Ten skrót kieruje użytkownika wprost do złośliwego pliku tzw. robaka. Dzięki temu, za każdym razem otwierając fałszywy plik przyczyniamy się do rozprzestrzeniania się wirusa oraz uruchamiamy plik wykonywalny. Nic niepodejrzewającemu użytkownikowi pojawi się ekran zawierający zawartość Windows Explorera, która chciał otworzyć. Wszystko dzieje się „za naszymi plecami”.

W jaki sposób najczęściej dochodzi o zainfekowania komputera?

W przypadku opisywanego zagrożenia mamy tu do czynienia z wektorem infekcji wykorzystującym przenośne napędy USB, co dziś jest pewnym zaskoczeniem. Przytłaczająca większość wirusów szyfrujących znajduje swoje ofiary poprzez wiadomości e-mail lub rzadziej przez zainfekowane strony www. Spora wykorzystuje przenośne pamięci masowe ze względu na możliwość zaszyfrowania naszych dysków bez łączności z siecią. To ransomware offline! Do tego z bardzo rozbudowanym systemem płatności. Może mamy do czynienia z pierwszą cyberprzestepczą korporacją? – mówi Robert Dziemianko z G DATA Software.

Czy płacić okup?

Odpowiedź brzmi – stanowczo nie! Nigdy nie wiemy dokąd trafiają pieniądze z okupu. Hakerzy to nie filmowe nerdy, a realni przestępcy często działający także w realu. Pieniądze z okupu za zaszyfrowane pliki mogą zostać użyte w handlu narkotykami, do finansowania różnego rodzaju przestępstw. Płatność może być także sygnałem o naszej słabości. Atakujący nie mają skrupułów, jeżeli zapłaciliśmy ten jeden raz mogą oni zechcieć wyciągnąć od nas większą sumę atakując po raz kolejny.