什么是.Spora勒索病毒?
Spora是一种勒索软件类型的病毒,通过垃圾邮件(恶意附件)分发。每个恶意电子邮件都包含一个HTA文件,该文件一旦执行便会提取Javascript文件(“closed.js”),并将其放置在系统的“%Temp%”文件夹中。Javascript文件提取具有随机名称的可执行文件并运行它。然后,可执行文件开始使用RSA加密对文件进行加密。请注意,与其他勒索软件类型的病毒不同,Spora不会重命名加密的文件。前面提到的HTA文件还提取DOCX文件。该文件已损坏,因此一旦打开将显示错误。这样做是为了欺骗受害者,使他们认为电子邮件附件的下载失败。成功加密后,Spora会生成一个.html和.KEY文件(均使用随机字符命名),将它们放置在所有包含加密文件的文件夹中。
Spora对开发人员 的主要优势之一是脱机工作的能力(无需Internet连接)。如上所述,使用RSA(非对称加密算法)对文件进行加密,因此,在加密过程中会生成公用(加密)和专用(解密)密钥。没有私钥的解密是不可能的。此外,私钥还使用AES加密技术进行加密,从而使情况更加糟糕。除加密文件外,Spora还禁用Windows启动修复,删除卷影副本,并更改BootStatusPolicy。HTML文件包含俄语的勒索消息,该消息详细说明了加密并鼓励受害者遵循Spora网站上提供的说明。要还原文件,受害者必须支付赎金。赎金的大小取决于每个人的情况和受害者的要求。完全解密(包括免疫,删除和文件还原)大约在$ 79到$ 280之间,但是,受害者可能会选择仅还原文件,删除文件或获得免疫。在这些情况下,价格会降低。还允许受害者免费解密两个文件。赎金必须以比特币支付,受害者必须有有限的时间(在Spora网站上有最后期限)才能付款,否则解密密钥将被永久删除。与其他相同类型的病毒相比,Spora的网站先进。它为每个受害者提供一个包含比特币钱包的帐户。它还具有解密,事务处理,联系开发人员等功能。
Spora勒索病毒是如何传播感染的?
目前,Spora主要通过伪装成1C发票的电子邮件来锁定俄罗斯用户,1C是俄罗斯和许多前苏联国家的流行会计软件。当前显示的文件名为“Скан-копия_ 10января2017г”。Составленоиподписаноглавнымбухгалтером。Скспортиз1С.a01e743_рdf.hta”将其翻译为“扫描副本_ 2017年1月10日”。由总会计师签署。从1C.a01e743_pdf.hta导出”。它使用双重扩展名,试图诱使用户相信这只是另一个PDF发票,而实际上它是HTA文件。
HTA文件 是所谓的HTML应用程序。HTML应用程序的想法实质上是允许任何人使用HTML和各种脚本语言编写桌面应用程序。考虑一下您的浏览器,但没有阻止网站更改系统上任何内容的安全机制。Windows上的HTML应用程序支持的两种脚本语言是 JScript 和 VBScript,它们都在Spora中使用。
Spora是一种勒索软件类型的病毒,通过垃圾邮件(恶意附件)分发。每个恶意电子邮件都包含一个HTA文件,该文件一旦执行便会提取Javascript文件(“closed.js”),并将其放置在系统的“%Temp%”文件夹中。Javascript文件提取具有随机名称的可执行文件并运行它。然后,可执行文件开始使用RSA加密对文件进行加密。请注意,与其他勒索软件类型的病毒不同,Spora不会重命名加密的文件。前面提到的HTA文件还提取DOCX文件。该文件已损坏,因此一旦打开将显示错误。这样做是为了欺骗受害者,使他们认为电子邮件附件的下载失败。成功加密后,Spora会生成一个.html和.KEY文件(均使用随机字符命名),将它们放置在所有包含加密文件的文件夹中。
Spora对开发人员 的主要优势之一是脱机工作的能力(无需Internet连接)。如上所述,使用RSA(非对称加密算法)对文件进行加密,因此,在加密过程中会生成公用(加密)和专用(解密)密钥。没有私钥的解密是不可能的。此外,私钥还使用AES加密技术进行加密,从而使情况更加糟糕。除加密文件外,Spora还禁用Windows启动修复,删除卷影副本,并更改BootStatusPolicy。HTML文件包含俄语的勒索消息,该消息详细说明了加密并鼓励受害者遵循Spora网站上提供的说明。要还原文件,受害者必须支付赎金。赎金的大小取决于每个人的情况和受害者的要求。完全解密(包括免疫,删除和文件还原)大约在$ 79到$ 280之间,但是,受害者可能会选择仅还原文件,删除文件或获得免疫。在这些情况下,价格会降低。还允许受害者免费解密两个文件。赎金必须以比特币支付,受害者必须有有限的时间(在Spora网站上有最后期限)才能付款,否则解密密钥将被永久删除。与其他相同类型的病毒相比,Spora的网站先进。它为每个受害者提供一个包含比特币钱包的帐户。它还具有解密,事务处理,联系开发人员等功能。
Spora勒索病毒是如何传播感染的?
目前,Spora主要通过伪装成1C发票的电子邮件来锁定俄罗斯用户,1C是俄罗斯和许多前苏联国家的流行会计软件。当前显示的文件名为“Скан-копия_ 10января2017г”。Составленоиподписаноглавнымбухгалтером。Скспортиз1С.a01e743_рdf.hta”将其翻译为“扫描副本_ 2017年1月10日”。由总会计师签署。从1C.a01e743_pdf.hta导出”。它使用双重扩展名,试图诱使用户相信这只是另一个PDF发票,而实际上它是HTA文件。
HTA文件 是所谓的HTML应用程序。HTML应用程序的想法实质上是允许任何人使用HTML和各种脚本语言编写桌面应用程序。考虑一下您的浏览器,但没有阻止网站更改系统上任何内容的安全机制。Windows上的HTML应用程序支持的两种脚本语言是 JScript 和 VBScript,它们都在Spora中使用。