#Spora: #Ransomware con servicio de atención al cliente y portal de compras

En la era del ransomware, plagada de familias que cifran archivos o bloquean dispositivos con el objetivo de que las víctimas paguen un rescate por ellos, era de esperar que algunas amenazas empiecen a querer diferenciarse del resto. Fue así como nació Spora, detectada por las soluciones de ESET como Win32/Filecoder.Spora.A; entre las varias peculiaridades que tiene, la que más llama la atención es la creación de un servicio de atención al cliente disponible en ruso y en inglés.

Desde su descubrimiento el mes pasado, las detecciones fueron en aumento especialmente en Rusia, que reúne el 71%. Un detalle: “spora” es “espora” en ruso, y fue en ese idioma que las primeras versiones de la amenaza exigían el pago de un rescate.

detecciones spora

Los cibercriminales realmente se han esforzado en este caso y se consideran “profesionales”, aunque podemos discernir a la hora de concederles que la creación y operación de malware es una profesión… De cualquier manera, Spora tiene una gran estructura detrás, la capacidad de trabajar offline, un portal de pago de rescates bastante desarrollado y, lo más sorprendente, una ventana de chat en tiempo real para que las víctimas se pongan en contacto con los operadores.

Este servicio de atención al cliente está disponible en ruso y en inglés, y busca fomentar la imagen “confiable” que pretenden dar estos ciberdelincuentes, prometiendo restituir archivos y accesos ni bien se pague el rescate, y ofreciendo extender los plazos a quienes no logren reunir el dinero. Además, piden con insistencia que los usuarios afectados les dejen críticas favorables una vez que ellos cumplan su palabra. Estamos de acuerdo en que por más cumplidores que sean, esta no deja de ser una actividad criminal y extorsiva, ¿verdad?

Estos son algunos ejemplos de las conversaciones que recogió Bleeping Computer:

chat spora

Es cierto que solemos decir que pagar no asegura la devolución de los archivos y en este caso parecería que hay más garantías, pero aun así, siempre es mejor prevenir que lamentar y tener que remediar una infección.

La forma más común de propagación es a través de spam de correos electrónicos que pretenden ser facturas de 1C, un popular software contable en Rusia y países cercanos. Esta técnica también había sido implementada por el ransomware Locky. Las supuestas facturas llegan en forma de archivos .ZIP que, a su vez, alojan archivos HTA (HTML Application) con doble extensión oculta (PDF.HTA o DOC.HTA), con el objetivo de pasar desapercibidos. Así, en los equipos Windows donde se oculte la extensión del archivo, el usuario solo vería la primera extensión ficticia.

Una vez que infecta el equipo, Spora despliega una complicada rutina que involucra la creación de un archivo .KEY y de una llave para cifrar los archivos de la víctima. “Spora está escrito en C y está empacado usando el packer ejecutable UPX. A diferencia de la mayoría de familias de ransomware, no renombra los archivos que cifra, por lo que no hay extensiones específicas asociadas. Al infectar un sistema, muestra una nota con el pedido de rescate basada en HTML y un archivo .KEY. El nombre base de ambos archivos es idéntico al ID que el ransomware le asigna a cada usuario”, explican desde Emsisoft. Es con este ID que las víctimas deben “hacer login” en un elegante sitio especialmente creado por los ciberdelincuentes para gestionar los pagos de rescate.

En síntesis, Spora se diferencia de otras familias de ransomware por las siguientes características:

  • Trabaja offline, por lo que no genera ningún tráfico de red a los servidores online.
  • Los archivos cifrados no cambian de nombre ni se les añade una extensión.
  • No tiene una lista demasiado grande de extensiones que desea cifrar, como sí tienen Locky, Cerber o CTB-Locker. Figuran las de ofimática, imágenes y archivos comprimidos.
  • Montó un atento servicio de atención al cliente y una desarrollada especie de tienda en línea que ofrece varias opciones de descifrado de archivos (dos sin cargo, uno por 30 dólares, restauración completa por 79). También ofrece “inmunidad” contra futuras infecciones y la remoción del malware.

Con tanta puesta en escena, probablemente Spora siga expandiéndose en los próximos meses, por lo que no sería de extrañar que deje de apuntar a usuarios de habla rusa y llegue a Latinoamérica. Para evitar ser víctima de este y otros ransomware, presta atención a este video:

Fuente: We Live Security

6 herramientas gratis para descifrar #Ransomware

El grupo No More Ransom ha estado trabajando en el desarrollo de herramientas para descifrar ciertos tipos de ransomware para ofrecerlo tanto a los ámbitos privados como públicos.

1. Rannoh Decrypter

Hecho por Kaspersky Lab, diseñado contra RannohCryptXXX. Para éste último, funciona en las versiones 1, 2 y 3. Disponible en éste link.

1. Rannoh Decrypter Although it is often difficult to reverse-engineer sophisticated ransomware variants, Kaspersky Lab made that happen, and in this case updated the Rannoh Decryptor, which now cleanses both Rannoh and CryptXXX malware. One caveat: It will only decrypt as long as there is at least one original file sample that has not been encrypted by CryptXXX. The Rannoh Decrypter now works on CryptXXX versions 1, 2, and 3. For versions 1 and 2, Kaspersky Lab found implementation mistakes, and for version 3 it was stored on the server. Follow this link for more information. Image Source: Kaspersky Lab

2. Wildfire Decryptor

Diseñado por Kaspersky LabsIntel Security, seguí este link para más información.

2. Wildfire Decryptor Kaspersky Lab got a phone call at one of its local offices in Europe that a machine was infected with ransomware. They tracked down the server in the Netherlands and had the local Dutch police seize the server. The police then turned over the keys to Kaspersky Lab and McAfee. When police examined the server, they found that the crooks made $80,000 in a single month and roughly 5,600 machines were infected. Both Kaspersky Lab and Intel Security developed tools. Follow this link for more information. Image Source: Kaspersky Lab

Read More

El Ransomware en Mac

Seguro que alguna vez has leído la palabra ‘ransomware, un tipo de malware que siembra el pánico entre quienes lo sufren y que ahora se ha hecho un poco más famoso tras afectar por primera vez al sistema operativo de Apple, OS X.

Este tipo de código es especialmente perjudicial para quienes se ven afectados por él porque quien nos infecta pide un rescate para poder volver a acceder a la información afectada. De repente nos encontramos con que nuestro servicio, nuestra página web o nuestro ordenador están absolutamente bloqueados, y solo el cibercriminal responsable del ataque puede liberarnos… previo pago de una suma de dinero.

El temible secuestro de tus datos

La técnica lleva literalmente décadas usándose, y normalmente consiste en elcifrado del disco duro de la máquina víctima, lo que provoca que sea imposible acceder a sus servicios y datos a no ser que contemos con la clave que protege esa información.

1

Read More