Появившийся недавно вымогатель «премиум-класса», удививший исследователей тщательно продуманным интерфейсом уплаты выкупа и высоким уровнем исполнения, был замечен в нескольких международных кампаниях. Зловред, прежде нацеленный исключительно на русскоязычных жертв, уже атаковал пользователей в Саудовской Аравии, Австрии и Нидерландах.

Всего пару недель назад Spora попадал в системы жертв через вредоносный спам на русском языке, но теперь зловред распространяется и через эксплойт-паки, в частности RIG-v. Последний также ответственен за последние кампании Cerber, Locky и Sage.

Вредоносный сервер, с которого раздаются вымогатели, задействован в двух параллельных схемах распространения Spora. Специалисты Emsisoft считают, что наличие параметра «Campaign ID» означает, что лица, стоящие за атаками, отслеживают эффективность двух различных спам-кампаний, либо это является признаком того, что Spora используется двумя различными группировками, арендующими зловреда у его создателей. И хотя пока неясно, решились ли создатели Spora на модель Ransom-as-a-Service, зловред однозначно становится глобальной угрозой.

Spora впечатляет своей зрелостью: зловред использует надежное шифрование и достоверно выполненные поддельные email-сообщения, а также умеет работать без подключения к Интернету и обладает солидной инфраструктурой, в том числе сервисом для уплаты выкупа, не уступающим по юзабилити многим легальным ecommerce-сайтам.

Например, на портале пользователи могут воспользоваться различными опциями (расшифровать пару файлов бесплатно, расшифровать все файлы, купить «иммунитет» к последующим заражениям Spora, удалить все файлы зловреда с компьютера после расшифровки или восстановить конкретный файл). Все опции доступны через аккуратный дэшборд, который также показывает время, оставшееся до крайнего срока оплаты.

Подобное меню и модульный подход к уплате выкупа — новшество в мире кибервымогательства. Все платежи осуществляются в биткойнах, причем кошелек привязывается к аккаунту жертвы на вымогательском портале. Чтобы обеспечить безопасность платежа, сайт имеет легитимный SSL-сертификат, выданный Comodo.

Категории: Вредоносные программы, Главное, Спам