Несколько дней назад G-Data опубликовали интересный анализ нового шифровальщика Spora, который появился в январе. Он впервые был замечен людьми из ID Ransomware , и в основном его зона распространения – Россия. На форуме была опубликована ссылка с подробным результатом анализа одного из образцов, отправленных на VirusTotal. Это – HTA-файл, который ни один из антивирусных движков, представленных там, на тот момент не обнаруживал.
Означает ли это, что все 53 участника в VirusTotal не способны обнаружить и заблокировать эту новую угрозу? Не совсем так. Это означает, что на момент анализа никто не создал сигнатуру для обнаружения файла, который, на самом деле, «живет» крайне мало времени. Главное – это защитить пользователей и предотвратить их заражение. Если нет другого способа сделать это, как только создавать сигнатуры, то не так уж и многого Вы сможете добиться. Но, по крайней мере, для некоторых из нас в большинстве случаев это кажется совершенно не обязательным создавать сигнатуры, как и в данном рассматриваемом случае.
Проверив информацию в нашем облаке, мы смогли наблюдать за действиями Spora и при необходимости блокировать этого нового «зловреда» с первого момента его появления, при этом не создавая под него какие-либо сигнатуры. Мы можем подтвердить, что действительно, подавляющее большинство случаев обнаружения Spora было в России, хотя мы видели несколько случаев и в Японии.
Вот список хэшей, которые мы видели:
312445d2cca1cf82406af567596b9d8c
acc895318408a212b46bda7ec5944653
c1f37759c607f4448103a24561127f2e
c270cf1f2cfeb96d42ced4eeb26bb936