Ранее в этом году исследователи заметили новый вымогатель Spora, который сначала атаковал исключительно русскоязычных пользователей, а потом начал распространяться по различным странам мира. С самого начала изюминкой зловреда был высококачественный портал для уплаты выкупа. Теперь создатели Spora позиционируют себя как одного из самых развитых и «профессиональных» операторов вымогательской кампании: они вкладываются в развитие квалифицированной техподдержки, а также занимаются своеобразным «пиаром», чтобы закрепить за собой славу самого «клиентоориентированного» вымогателя.

Одной из уникальных «фишек» Spora является окно чата с клиентской поддержкой, где жертвы общаются с вымогателями. Исследователи смогли получить доступ к страницам некоторых жертв и проследить за их общением с киберпреступниками.

Техподдержка осуществляется на русском и английском языках. Операторы обладают навыками общения, стараются не эскалировать критические ситуации при переписке с разгневанными «клиентами», а также предоставляют своевременные и квалифицированные ответы на возникающие вопросы.

Также исследователям бросилось в глаза, что вымогатели весьма лояльны по отношению к жертвам и склонны продлевать или вовсе отменять крайний срок уплаты выкупа для тех жертв, кто оставит положительный отзыв о работе операторов кампании на форуме Bleeping Computer (хотя на данный момент такой «щедростью» никто не воспользовался).  Также они предлагают «скидки» и бесплатную расшифровку особенно важных файлов.

Положительные отзывы — это довольно мудрый маркетинговый ход, эксплуатирующий понятие о доверии «клиентов». Очевидно, подобные отзывы могут убедить других жертв в том, что, если они уплатят выкуп, они точно расшифруют свои файлы. Известно множество случаев, когда даже после уплаты выкупа жертвы не могли расшифровать свои файлы, а это наносит репутационный ущерб по самой идее ransomware-атак, так как их успех зависит как раз от уверенности жертв в том, что выкуп решит их проблему.

Еще один реверанс в сторону жертв — это отдельная услуга, предоставляемая операторами Spora: за отдельную плату можно приобрести «иммунитет» — защиту от последующих заражений. Загрузчик этой опции создает файл с тем же именем, что и при первом заражении Spora. При последующем заражении Spora обнаруживает этот идентификатор и не устанавливается на компьютер.

Также, по данным MalwareHunter, был случай, когда разработчики Spora предложили 10-процентную скидку на расшифровку файлов компании, в которой Spora были заражены более 200 устройств. По словам исследователей, клиентская поддержка Spora организована лучше, чем у многих ИТ-компаний.

Количество заражений Spora растет; пусть масштаб распространения еще не достиг показателей всем известных шифровальщиков Cerber и Locky, у Spora есть все шансы добиться такого же «успеха». Дешифратор для Spora все еще не разработан.

Категории: Вредоносные программы