Шифровальщик Spora – только для русскоязычных пользователей

«Лаборатория Касперского» и Bleeping Computer сообщили о новом зловреде-шифровальщике Spora. Вредоносное ПО атакует исключительно российских пользователей и отличается высокой степенью технической изощренности. Зловред распространяется во вложениях в спам-сообщения электронной почты в виде zip-архива. При этом просмотр содержимого архива не позволяет обнаружить угрозу, поскольку вредоносные файлы имеют двойное расширение: .pdf.hta и .doc.hta. Соответственно, при просмотре у пользователей Windows отображаются лишь вполне безобидные расширения .pdf и .doc.

В случае установки на компьютер Spora зашифровывает определенные категории файлов. При этом, по словам специалистов Bleeping Computer, используемый метод шифрования не имеет заметных изъянов и не позволяет надеяться на возможную расшифровку без помощи организаторов атаки. Представители «Лаборатории Касперского», в свою очередь, полагают, что в будущих версиях Spora список категорий файлов, подлежащих шифрованию, будет расширяться.

Примечателен и предлагаемый злоумышленниками способ оплаты. От пользователей не требуют немедленно переводить средства на биткоин-кошельки киберпреступников. Вместо этого им присваивают уникальный номер – infection ID – и рекомендуют перейти по ссылке, которая ведет на весьма тщательно продуманный и организованный сайт в анонимной сети Tor. Здесь, введя свой ID, жертвы имеют широкие возможности выбора. Так, расшифровать 2 файла можно бесплатно, расшифровка всех файлов обойдется в 79 долларов, а дополнительные опции включают удаление Spora с компьютера (20 долларов) и иммунитет от атак зловреда в будущем (50 долларов).