Шифровальщик Spora удивил экспертов своим PR и уровнем технической поддержки

[RabbitRun 82]

Шифровальщик Spora был обнаружен в январе 2017 года и сразу показался экспертам весьма необычным. Так, в отличие от большинства современных шифровальщиков, Spora работает в оффлайне и не создает никакого сетевого трафика, а также весьма избирательно подходит к шифрованию файлов. Малварь интересуется только файлами с определенными расширениями. Кроме того, закончив шифрование, Spora не изменяет расширения файлов, что тоже достаточно необычно.

Специалист компании Emsisoft Фабиан Восар (Fabian Wosar) подробно описывал способ шифрования, который использует вымогатель, в конце своего анализа признав, что слабых мест в работе малвари ему обнаружить не удалось.

 

Также исследователи не могли не отметить тот факт, что сайт злоумышленников, на который Spora отправляет своих жертв, выглядит крайне профессионально. Хотя вымогатель отсылал пострадавших по адресу Spora.bz – это не более чем Tor-гейтвей, и операторы малвари используют не менее десятка разных URL. Более того, сайт заботится о посетителях и использует SSL-сертификат Comodo.

На самом сайте пользователям доступна не только расшифровка данных, но и другие опции, каждая из которых комплектуется развернутым всплывающим описанием:

• расшифровка всех файлов (79$);
• купить иммунитет против будущих инфекций Spora ($50);
• удалить все связанные со Spora файлы после оплаты выкупа ($20);
• восстановить файл ($30);
• восстановить два файла бесплатно.

Изначально Spora распространялся только на территории России и стран СНГ, атаковав русскоговорящих пользователей, но вскоре специалисты заметили, что вымогатель вышел за эти рамки. Проект ID-Ransomware начал фиксировать заражения в Саудовской Аравии, Австрии, Нидерландах и так далее.

Карта заражений Spora за все время наблюдений

Теперь, когда жертв стало значительно больше, исследователи заметили и еще одну интересную особенность: авторов шифровальщика не на шутку волнует репутация Spora, и над этим явно работают специальные люди. Фактически, можно сказать, что у шифровальщика есть своя команда PR-щиков.

Так, на сайте вредоноса жертвам предлагают пообщаться в чате со «специалистами поддержки» в реальном времени. Поколдовав над ID, которые Spora выдает своим жертвам, исследователи смогли проникнуть на сайт под видом пострадавших и изучить их переговоры с операторами. Выяснилось, что операторы чата говорят на двух языках: русском и английском. Они предельно вежливы, оперативны и не реагируют на агрессивные выпады пострадавших пользователей. Независимый исследователь MalwareHunter сумел выяснить, что операторы чата часто идут навстречу жертвам шифровальщика, если те не могут оплатить выкуп прямо сейчас. Для таких «клиентов» часто продляют срок оплаты или вовсе отключают таймер.

Кроме того, оказалось, что авторы Spora предлагают пострадавшим скидки, бесплатную расшифровку важных файлов и отсрочку выплаты, если пользователи согласятся оставить положительный отзыв о работе поддержки шифровальщика (Sic!) в специальной ветке форума на сайте Bleeping Computer. Журналисты ресурса пишут, что они пока не наблюдают на форуме таких «заказных» обзоров, зато мы не можем сказать того же. В комментариях к январской публикации  ][, посвященной Spora, уже появилось несколько странных «отзывов» от якобы пострадавших пользователей. Вот несколько отрывков:

«Одно порадовало — личный кабинет, сделано прям как в лучших традициях интернет-магазинов. Даже (!) поддержка есть, причем отвечают достаточно оперативно».

«[Возникла] проблема с сетевыми папками, но (!) всё в том же волшебном чате, оказали поддержку, дали даже утилиту для сетевых папок».

«Я реальный человек, который так же пострадал от шифровальщика Spora. Ребята хочу сказать, что они действительно существуют и действительно по чесноку выполняют свои обязательства, тем кто с ними связывался и оплачивал расшифровку, никакого КИДНЯКА НЕТ!!!».

«Если у вас ОЧЕНЬ ВАЖНАЯ информация, то можете не бояться за свои оплаченные деньги, они все вернут».

Судя по всему, авторы шифровальщика полагают, что если настоящие жертвы малвари покопаются в интернете и увидят такие «обнадеживающие отзывы», то они с большей вероятностью заплатят выкуп, так как будут убеждены, что это действительно поможет восстановить файлы.

Также MalwareHunter пишет, что операторы вымогателя предлагают 10% скидку компаниям, в которых от инфекции пострадало более 200 устройств. В заключение исследователь делает вывод, что поддержка у шифровальщика работает на уровне, которому могут позавидовать многие крупные компании. Разумеется, в данном случае это только стратегический ход и продуманный PR, так как вежливость в общении с пользователями нужна лишь для того, чтобы на них заработать.

Стоит сказать, что тот же MalwareHunter сумел разобраться с тем, как работает предлагаемый авторами шифровальщика «иммунитет от заражения», который можно приобрести на сайте малвари за 50 долларов. По словам специалиста, инсталлятор создает файл с таким же именем, как и Spora в момент запуска. То есть если шифровальщик попадает на такой компьютер и обнаружит данный файл, он сумеет определить, что ПК обладает «иммунитетом».

Основатель Bleeping Computer Лоренс Абрамс (Lawrence Abrams) тоже заинтересовался данным вопросом. Он объясняет, что «вакцина» создает специальный файл в %UserProfile%\AppData\Roaming\, и имя файла зависит от серийного номера раздела. Серийный номер можно увидеть через cmd.exe, при помощи команды dir. Spora конвертирует это значение из шестнадцатеричного вида в десятичный. На выходе получается что-то вроде %UserProfile%\AppData\Roaming\2155530532.

[Lapsha 78]

Бизнесс модель у них конечно шикарная, видно что люди к делу подошли профессионально.

§                                 расшифровка всех файлов (79$);

§                                 купить иммунитет против будущих инфекций Spora ($50);

§                                 удалить все связанные со Spora файлы после оплаты выкупа ($20);

§                                 восстановить файл ($30);

§                                 восстановить два файла бесплатно.

[Ethan Mars 0]

Во русские дают, такую фишку придумали. Хакеры выходят на новый уровень.

[Crusader 28]

Брендирование шифровальщика, это же пипец какой-то. Поймают их, слишком сильно палятся. Анон вот единственный способ защиты, те же кто лезет наражон будут зону топтать рано или поздно.

[bernc 0]

4 часа назад, Cusader сказал:

Брендирование шифровальщика, это же пипец какой-то. Поймают их, слишком сильно палятся. Анон вот единственный способ защиты, те же кто лезет наражон будут зону топтать рано или поздно.

Ну если они через тор работают, то все норм. И оплату они принимают в битках.

[Hotabbich 0]

Хакеры с техподдержкой, капец.

[Законник 55]

Русские хакеры поняли что для американского рынка главное это удобство пользователей и качество поддержки. Поэтому хорошо подготовились.

[tunofak 1]

1 час назад, Plevako сказал:

Русские хакеры поняли что для американского рынка главное это удобство пользователей и качество поддержки. Поэтому хорошо подготовились.

Смешно смешно.

[PARKOT 4]

Возможность расшифровать бесплатно 2 файла это конечно круто. Доверие к производителю дешифратора резко повышает.

[EleganT 0]

Помню хотел себе заказать телефон в интернете, так не смог. А тут у вируса есть техподдержка с ответами.

[Законник 55]

11 час назад, PARKOT сказал:

Возможность расшифровать бесплатно 2 файла это конечно круто. Доверие к производителю дешифратора резко повышает.

Очень любопытно как им такое вообще в голову пришло.

 

[Doginlake 0]

Тфу, тфу, тфю ни разу не подцеплял такую гадость. Надеюсь и не подцеплю.

[anonab31 0]

23 часа назад, EleganT сказал:

Помню хотел себе заказать телефон в интернете, так не смог. А тут у вируса есть техподдержка с ответами.

подход кажется не разумным, хотя если чат доступен только заразившимся. то все ништяк, сразу целевая аудитория. и многие готовы заплатить, лишь бы фоточки и важные доки были на месте.

[IceTitan 26]

Сервис входит во все сферы бытия. И с этим не чего не сделать. Хотя новость выглядит сама по себе забавно.

[razv200 0]

Делаю ставку на то что они долго не проживут.

[AlFred22 0]

Техподдержка хакеров и мошенников? «Если вы не лох отправьте смс на номер 9889, с текстом (я не лох). Чем больше смс вы отправите, тем больше вы не лох»

[Макс Палыч 0]

Их еще не закрыли?

[zim 4]

Техническая поддержка это основа процветания любого бизнесса))) Видимо создатели споры это усвоили очень хорошо.

[cape 0]

Напоминает фильм где коллекторы изымали искусственные органы у тех кто был не в состоянии платить кредит. Тоже уровень бандитского сервиса у них был на высоте.

[bigsnake 0]

Только слышал про этот вирус, не разу не цеплял. И надеюсь ни когда не подцепл.