וירוס כופר חדש מופץ כתוסף לדפדפן גוגל כרום

27 בפברואר 2017

וירוס כופר חדש מופץ בשיטת סוס טרויאני, ומתחזה "לחבילת עדכון גופן" לדפדפן גוגל כרום.

צוות חברת האבטחה NeoSmart זיהו לאחרונה את הקמפיין הזדוני במהלך גלישה באתר תמים.
האתר כנראה נפרץ, בשל רמת האבטחה הנמוכה שלו, והחל לשגר את הקמפיין הזדוני לכל הגולשים שלו.

במאמר הבא נלמד כיצד הוירוס מופץ, ואיך הוא פועל.

הוירוס מופץ על ידי קבוצה הנקראת ElTest, צוות האקרים פורצים לאתרי אינטרנט תמימים ומוסיפים בסוף
כל עמוד באתר קוד JavaScript זדוני.
הקוד יגרום לתוכן הדף להיראות כג'יבריש, ולאחר מכן יקפיץ הודעת התראה.
ההודעה תודיע לגולש כי לדפדפן גוגל Chrome חסר הגופן ""HoeflerText".
ותבקש מהגולש ללחוץ על הכפתור "עדכן" (Update) על מנת להוריד את חבילת הגופן,
בכדי להציג את הדף באופן תקין.

כאשר הגולש לוחץ על הכפתור Update, יורד למחשב קובץ בשם Update.exe או Chrome Font v8.72.exe
ההורדה אינה מתחילה באופן אוטומטי, והקורבן חייב להתקין באופן ידני את התוכנה על מנת להידבק.
לאחר הפעלת הקובץ, שהוא למעשה ההתקנה עבור וירוס הכופר "Spora", פעולת ההשקה של
הוירוס תחל, והוא יתחיל להצפין את הנתונים של הקורבן.

וירוס הכופר Spora מסוגל להצפין את הקבצים בעלי הסיומות הבאות –
.xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup

בנוסף, בכדי למנוע נזק אשר ימנע ממערכת ההפעלה לעלות כרגיל, Spora מדלג על קבצים שנמצאים בתקיות מסוימות.
כברירת מחדל, Spora לא מצפין קבצים הנמצאים בתקיות המכילות את השמות הבאים –
games
program files (x86)
program files
windows

בסיום הצפנת הקבצים של הקורבן, Spora יציג דרישה לתשלום הכופר, וישלח את הקורבן לאתר הוירוס.
באתר הבית של הוירוס, יופיעו האפשרויות הבאות –

  • פיענוח קבצים מלא – במחיר 240$*
  • קניית חסינות מפני תקיפות חוזרות של Spora עבור 50$*
  • מחיקת כל הקבצים הקשורים לוירוס לאחר תשלום הכופר 20$*
  • שחזור קובץ בודד 30$
  • שחזור 2 קבצים בחינם (להראות לקורבן ששאר הקבצים כן ניתנים לשחזור).

*המחיר משולם באמצעות ביטקוין בלבד, כמובן שלא מומלץ לשלם למפעילי הוירוס, זוהי הונאה.

נדבקתי בוירוס Spora – כיצד ניתן להסירו ?

  1. יש להוריד, ולבצע סריקה באמצעות Malwarebytes
  2. להוריד ולבצע סריקה נוספת באמצעות HitmanPro
  3. ביצוע איפוס לדפדפני האינטרנט המותקנים במחשב.

כיצד ניתן להימנע מהידבקות בוירוס ?

חשוב מאוד לא להוריד "תוספים" או "הרחבות" לדפדפנים ממקורות לא אמינים.
גוגל מפעילים אתר רשמי להתקנת הרחבות – למעבר לאתר
אם יש בעיה בדפדפן, חפשו את הפתרון באתר הבית בלבד.

זיכרו – הוירוס אינו מריץ את עצמו לבד במחשב, ומגיע כסוס טרויאני הדורש את הפעלתו על ידי המשתמש, סרקו בעזרת תוכנת
אנטי וירוס אמינה כל קובץ חשוד.

תגיות
דילוג לתוכן