Noņem Spora vīrusu (Noņemšanas instrukcijas) - atjaunināts Aug 2017

Kas ir Spora izspiedējvīruss?

Spora izspiedējvīruss izvērš savu izplatīšanās kampaņu

Spora vīruss ir ieguvis bēdīgu slavu pārsteidzoši īsā laikā. Šis jaunais „lielais spēlētājs”, kas atvasinājies no CryLocker, ne tikai rada galvassāpes virtuālajai sabiedrībai, bet arī uzdod mīklas vīrusu pētniekiem. Ļaunprogrammatūru analītiķi jau to sauc par „visu laiku vissarežģītāko izspiedējvīrusu”.

Pirmo reizi atklāts 10. janvārī, Spora izspiedējvīruss parādās kā datus šifrējošs Trojas zirgs, kurš sāk komunicēt ar saviem upuriem vienīgi krievu valodā. Taču pēc vairāku nedēļu darbošanās tas sāka ceļot visā globālajā tīmeklī. Tas izpaužas ar close.js faila palīdzību.

JavaScript faili ir populāri rīki hakeru vidū. Pārsteidzoši, bet ļaunprātīgā programma izmanto pilnīgi atšķirīgu un ļoti sarežģītu datu šifrēšanas algoritmu, kas šķiet imūns. Spriežot pēc visa, vīruss rada .KEY file saturus, radot RSA atslēgu, šifrējot to ar jaunradīto AES atslēgu.

Bez tam tas šifrē AES atslēgu ar publisko atslēgu, kas ievietota vīrusa izpildāmajā failā un visbeidzot saglabā tās .KEY. Šīs ļaunprogrammatūras datu šifrēšanas rutīna ir nedaudz mazāk sarežģīta: tie tiek šifrēti, izmantojot AES atslēgu, kura šifrēta ar RSA šifru (diemžēl mēs nevaram to teikt par Spora izspiedējvīrusa noņemšanu). Nesen gudrās galvas ieviesa vēl viltīgāku izplatīšanas kampaņu – “The HoeflerText font wasn't found” reklāmas. Saskaņā ar analīzi pašlaik vīruss mērķē tikai uz 23 failu paplašinājumiem:

.backup, .xlsx, .docx, .rtf, .dwg, .cdr, .cd, .mdb, .1cd, .odt, .pdf, .psd, .dbf, .doc, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .xls.

Faili, kuriem ir šādi paplašinājumi, ir aizsargāti, izmantojot garu šifrēšanas atslēgu (publisko atslēgu). Pa to laiku privātā atslēgu tiek nosūtīta uz noziedznieku attālinātajiem serveriem un tiek saglabāta, kamēr upuris piekrīt samaksāt izpirkumu. Norādījumi par to, kā pārskaitīt maksājumu, sniegti izpirkuma paziņojumā, kas parasti tiek saglabāts uz darbvirsmas.

Parasti šīs instrukcijas norāda upurim vietu, kas satur vēl vairāk norāžu – oficiālo Spora izpirkuma maksāšanas vietni. Pārsteidzoši, ka šī izspiedējvīrusa autori savās maksāšanas tīmekļa vietnēs parāda izcilas programmēšanas prasmes.

Bez tam to lietotāju atbalstīšanas līdzekļi pārsteidza pat vispieredzējušākos drošības speciālistus. Maksājumu vietņu skaits ir strauji pieaudzis, un tagad jūs varat atrast 10 vietnes, kuras tiek izmantotas nelegālu izpirkumu ievākšanai, tostarp spora[.]bz, spora[.]one, spora[.]hk un citas.

Maksāšanas vietne atšķiras no tīmekļa vietnēm, uz kurām norāda parastie izspiedējvīrusi, jo tā dod upurim dažādas iespējas – kāda var noņemt Spora vīrusu par $20, atjaunot failus par $30 un pat dod iespēju samaksāt $50 par šķietamu imunitāti pret izspiedējvīrusu uzbrukumiem.

Tomēr, ja upuris vēlas saņemt pilnu atjaunošanas paketi, tam jāmaksā $79. Paturiet prātā, ka vīruss no dažādiem upuriem var prasīt augstāku vai zemāku izpirkumu. Faktiski šāds plašs izvēļu klāsts paceļ „bezmaksas minimuma” modeli jaunā līmenī.

Jūs jau varbūt esat dzirdējis, ka tradicionālie izspiedējvīrusi, ieskaitot Cerber izspiedējvīrusu, iesaka izmēģināt atšifrēšanas rīku vienam vai diviem nelieliem šifrētiem failiem, lai pierādītu, ka atšifrēšanas rīks pastāv un tas ir blēžu slepenajā serverī, bet šis jaunais vīruss sadala pilnu izpirkuma maksu daļās, piedāvājot upurim iegādāties atsevišķus pakalpojumus. Vīrusa autori pieņem maksājumu tikai bitkoinos.

16. janvārī maksāšanas vietne bija uzlabota un pievienota „Help”/palīdzības lapa. Vietnei ir arī publiskais sakaru logs, jau veikto darījumu tabula un citas sīkas detaļas, kas visas veido lietotājam ļoti draudzīgu interfeisu. Lai vai kā, ļaunprogrammatūra noteikti nav lietotājam draudzīga, jo tā grib izspiest naudu no upura. Lai saņemtu atšifrēšanas atslēgu, upuriem liek maksāt izpirkumu un nosūtīt .KEY failu krāpniekiem caur maksāšanas vietni.

Ja jūs ir skāris šis vīruss, nekavējoties izdzēsiet to. Veiksmīgai Spora noņemšanai ļoti ieteicams izmantot tādus rīkus, kā FortectIntego vai SpyHunter 5Combo Cleaner.

Citas ļaunprogrammatūras versijas

Spora 2.0 ransomware vīruss. Drīz pēc tam, kad bija ļauta vaļa virtuālo draudu oriģinālajai versijai, kiberļaundari ieviesa atjauninātu versiju. Šo virtuālo draudu autori iedarbināja vēl viltīgāku kampaņu, lai palielinātu savas globālās infekcijas ātrumu.

EITest ļaunprātīgais kods pāradresē lietotājus uz tīmekļa vietni, kas inficēta ar uzlaušanas komplektu. Īsi pēc tam tīmekļa vietne pārvēršas par dažādu pirmkodu mozaīku. Rezultātā parādās paziņojums “The HoeflerText font wasn't found”. Lai novērstu šīs neērtības, blēži piedāvā iespējot īpašu Chrome Font Pack.

Taču tas, ko lietotāji varētu lejupielādēt nav kāds aizdomīgs pārlūka paplašinājums, bet reāls virtuāls drauds – Spora 2.0. Interesanti, ka infekciju saturošā mape ir divkārši tilpsaspiesta. Tagad blēži prasa apmēram 2000 USD apmaiņai pret failiem. Neskatoties uz izstrādāto maksāšanas vietni, nav ziņu, vai noziedznieki atdeva visus failus saviem upuriem.

Kad iebrūk Spora vīruss?

Spora izspiedējvīruss pašlaik tiek izplatīts ar ļaunprātīgām un ar infekcijas HTA failiem piepildītu e-pastu kampaņām. Šiem briesmīgajiem failiem ir divkārši paplašinājumi, piemēram, PDF.HTA un īstais paplašinājums ir paslēpts tā, ka upuris varētu domāt, ka .DOC ir īsts paplašinājums.

Mēs jums atgādinām, ka HTA fails ir HTML izpildāmā faila formāts un tātad, kad upuris to atver, tas lejupielādē close.js JavaScript failu sistēmas mapē, ko sauc par %Temp%. Šeit infekcija aktivizējas, izvelkot izpildāmo failu un atverot to.

Šis izpildāmais fails ir galvenais fails, kurš ir atbildīgs par datu šifrēšanas procedūru. Tajā pašā laikā HTA fails atver DOCX failu, kurš uzrāda kļūdas paziņojumu, kas saka, ka failu nav iespējams atvērt. Kamēr upuris cieši uzlūko šo aizdomīgo kļūdu, izspiedējvīruss nošifrē visus failus sistēmā.

Ļaunprātīgā mēstule pašlaik ir galvenā metode, kas tiek izmantota Spora izplatīšanai. Sākumā, kad šis drauds izmantoja vienīgi krievu valodu, maldinošie e-pasti izmantoja šādu tematu: Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta. (Scan kopija_ 2017. gada 10. janvārī. Sastādījis un parakstījis galvenais grāmatvedis).

Tomēr tagad jums jāpatur prātā, ka šis izspiedējvīruss turpina mainīties un noteikti izmantos citas temata līnijas. Protams, sagaidāmi arī citi ļaunprogrammatūras izplatīšanas triki, piemēram, ar uzlaušanas komplektiem, Trojas zirgiem, pikšķerēšanas tīmekļa vietnēm, un tamlīdzīgi.

Mēs iesakām jums būt ļoti uzmanīgiem, pārlūkojot internetu, un ar aizdomām novērtēt nezināmas interneta vietnes. Ja jūs nevēlaties būt piemānīti, instalējot apšaubāmas programmatūras vai ļaunprātīgus programmatūru atjauninājumus, labāk neko neinstalējiet no tīmekļa vietnēm, kuras jūs nekad iepriekš neesat apmeklējis.

Norādījumi Spora likvidēšanai

Jūs pavisam viegli varat noņemt Spora vīrusu, ja jūs izmantojat drošu pretļaunatūras programmatūru. Tomēr ir svarīgi, ka izstrādātāji darbojas, sekojot jūsu izmantotajai pretļaunatūras programmatūrai, tāpēc, ja jums tās nav, mēs iesakām instalēt FortectIntego. Ja jūs vēlaties izmantot citu programmu, jūs varat izvēlēties kādu, kas jums patīk, izlasot sīkus pārskatus par programmatūrām sadaļā Programmatūras.

Lūdzu, paturiet prātā, ka jūs rīkojieties ar izspiedējvīrusu tipa vīrusu, tāpēc tas var mēģināt veikt tādas darbības, kā bloķēt jūsu pretļaunatūras un pretvīrusu programmas, kad jūs mēģināt noņemt to no sistēmas.

Ja jūs tieši tagad nodarbojieties ar šo problēmu, mēs iesakām pirms pretspiegošanas programmatūras palaišanas mēģināt atsāknēt savu datoru uz Safe Mode/drošo režīmu ar Networking/tīklošanu. Ja šis variants nedarbojas, turpiniet Spora izspiedējvīrusa noņemšanu ar System restore/Sistēmas atjaunošanas metodi.