Noņem Spora vīrusu (Noņemšanas instrukcijas) - atjaunināts Aug 2017
Spora vīrusa dzēšanas instrukcija
Kas ir Spora izspiedējvīruss?
Spora izspiedējvīruss izvērš savu izplatīšanās kampaņu
Spora vīruss ir ieguvis bēdīgu slavu pārsteidzoši īsā laikā. Šis jaunais „lielais spēlētājs”, kas atvasinājies no CryLocker, ne tikai rada galvassāpes virtuālajai sabiedrībai, bet arī uzdod mīklas vīrusu pētniekiem. Ļaunprogrammatūru analītiķi jau to sauc par „visu laiku vissarežģītāko izspiedējvīrusu”.
Pirmo reizi atklāts 10. janvārī, Spora izspiedējvīruss parādās kā datus šifrējošs Trojas zirgs, kurš sāk komunicēt ar saviem upuriem vienīgi krievu valodā. Taču pēc vairāku nedēļu darbošanās tas sāka ceļot visā globālajā tīmeklī. Tas izpaužas ar close.js faila palīdzību.
JavaScript faili ir populāri rīki hakeru vidū. Pārsteidzoši, bet ļaunprātīgā programma izmanto pilnīgi atšķirīgu un ļoti sarežģītu datu šifrēšanas algoritmu, kas šķiet imūns. Spriežot pēc visa, vīruss rada .KEY file saturus, radot RSA atslēgu, šifrējot to ar jaunradīto AES atslēgu.
Bez tam tas šifrē AES atslēgu ar publisko atslēgu, kas ievietota vīrusa izpildāmajā failā un visbeidzot saglabā tās .KEY. Šīs ļaunprogrammatūras datu šifrēšanas rutīna ir nedaudz mazāk sarežģīta: tie tiek šifrēti, izmantojot AES atslēgu, kura šifrēta ar RSA šifru (diemžēl mēs nevaram to teikt par Spora izspiedējvīrusa noņemšanu). Nesen gudrās galvas ieviesa vēl viltīgāku izplatīšanas kampaņu – “The HoeflerText font wasn't found” reklāmas. Saskaņā ar analīzi pašlaik vīruss mērķē tikai uz 23 failu paplašinājumiem:
.backup, .xlsx, .docx, .rtf, .dwg, .cdr, .cd, .mdb, .1cd, .odt, .pdf, .psd, .dbf, .doc, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .xls.
Faili, kuriem ir šādi paplašinājumi, ir aizsargāti, izmantojot garu šifrēšanas atslēgu (publisko atslēgu). Pa to laiku privātā atslēgu tiek nosūtīta uz noziedznieku attālinātajiem serveriem un tiek saglabāta, kamēr upuris piekrīt samaksāt izpirkumu. Norādījumi par to, kā pārskaitīt maksājumu, sniegti izpirkuma paziņojumā, kas parasti tiek saglabāts uz darbvirsmas.
Parasti šīs instrukcijas norāda upurim vietu, kas satur vēl vairāk norāžu – oficiālo Spora izpirkuma maksāšanas vietni. Pārsteidzoši, ka šī izspiedējvīrusa autori savās maksāšanas tīmekļa vietnēs parāda izcilas programmēšanas prasmes.
Bez tam to lietotāju atbalstīšanas līdzekļi pārsteidza pat vispieredzējušākos drošības speciālistus. Maksājumu vietņu skaits ir strauji pieaudzis, un tagad jūs varat atrast 10 vietnes, kuras tiek izmantotas nelegālu izpirkumu ievākšanai, tostarp spora[.]bz, spora[.]one, spora[.]hk un citas.
Maksāšanas vietne atšķiras no tīmekļa vietnēm, uz kurām norāda parastie izspiedējvīrusi, jo tā dod upurim dažādas iespējas – kāda var noņemt Spora vīrusu par $20, atjaunot failus par $30 un pat dod iespēju samaksāt $50 par šķietamu imunitāti pret izspiedējvīrusu uzbrukumiem.
Tomēr, ja upuris vēlas saņemt pilnu atjaunošanas paketi, tam jāmaksā $79. Paturiet prātā, ka vīruss no dažādiem upuriem var prasīt augstāku vai zemāku izpirkumu. Faktiski šāds plašs izvēļu klāsts paceļ „bezmaksas minimuma” modeli jaunā līmenī.
Jūs jau varbūt esat dzirdējis, ka tradicionālie izspiedējvīrusi, ieskaitot Cerber izspiedējvīrusu, iesaka izmēģināt atšifrēšanas rīku vienam vai diviem nelieliem šifrētiem failiem, lai pierādītu, ka atšifrēšanas rīks pastāv un tas ir blēžu slepenajā serverī, bet šis jaunais vīruss sadala pilnu izpirkuma maksu daļās, piedāvājot upurim iegādāties atsevišķus pakalpojumus. Vīrusa autori pieņem maksājumu tikai bitkoinos.
16. janvārī maksāšanas vietne bija uzlabota un pievienota „Help”/palīdzības lapa. Vietnei ir arī publiskais sakaru logs, jau veikto darījumu tabula un citas sīkas detaļas, kas visas veido lietotājam ļoti draudzīgu interfeisu. Lai vai kā, ļaunprogrammatūra noteikti nav lietotājam draudzīga, jo tā grib izspiest naudu no upura. Lai saņemtu atšifrēšanas atslēgu, upuriem liek maksāt izpirkumu un nosūtīt .KEY failu krāpniekiem caur maksāšanas vietni.
Ja jūs ir skāris šis vīruss, nekavējoties izdzēsiet to. Veiksmīgai Spora noņemšanai ļoti ieteicams izmantot tādus rīkus, kā RestoroIntego vai SpyHunter 5Combo Cleaner.
Citas ļaunprogrammatūras versijas
Spora 2.0 ransomware vīruss. Drīz pēc tam, kad bija ļauta vaļa virtuālo draudu oriģinālajai versijai, kiberļaundari ieviesa atjauninātu versiju. Šo virtuālo draudu autori iedarbināja vēl viltīgāku kampaņu, lai palielinātu savas globālās infekcijas ātrumu.
EITest ļaunprātīgais kods pāradresē lietotājus uz tīmekļa vietni, kas inficēta ar uzlaušanas komplektu. Īsi pēc tam tīmekļa vietne pārvēršas par dažādu pirmkodu mozaīku. Rezultātā parādās paziņojums “The HoeflerText font wasn't found”. Lai novērstu šīs neērtības, blēži piedāvā iespējot īpašu Chrome Font Pack.
Taču tas, ko lietotāji varētu lejupielādēt nav kāds aizdomīgs pārlūka paplašinājums, bet reāls virtuāls drauds – Spora 2.0. Interesanti, ka infekciju saturošā mape ir divkārši tilpsaspiesta. Tagad blēži prasa apmēram 2000 USD apmaiņai pret failiem. Neskatoties uz izstrādāto maksāšanas vietni, nav ziņu, vai noziedznieki atdeva visus failus saviem upuriem.
Kad iebrūk Spora vīruss?
Spora izspiedējvīruss pašlaik tiek izplatīts ar ļaunprātīgām un ar infekcijas HTA failiem piepildītu e-pastu kampaņām. Šiem briesmīgajiem failiem ir divkārši paplašinājumi, piemēram, PDF.HTA un īstais paplašinājums ir paslēpts tā, ka upuris varētu domāt, ka .DOC ir īsts paplašinājums.
Mēs jums atgādinām, ka HTA fails ir HTML izpildāmā faila formāts un tātad, kad upuris to atver, tas lejupielādē close.js JavaScript failu sistēmas mapē, ko sauc par %Temp%. Šeit infekcija aktivizējas, izvelkot izpildāmo failu un atverot to.
Šis izpildāmais fails ir galvenais fails, kurš ir atbildīgs par datu šifrēšanas procedūru. Tajā pašā laikā HTA fails atver DOCX failu, kurš uzrāda kļūdas paziņojumu, kas saka, ka failu nav iespējams atvērt. Kamēr upuris cieši uzlūko šo aizdomīgo kļūdu, izspiedējvīruss nošifrē visus failus sistēmā.
Ļaunprātīgā mēstule pašlaik ir galvenā metode, kas tiek izmantota Spora izplatīšanai. Sākumā, kad šis drauds izmantoja vienīgi krievu valodu, maldinošie e-pasti izmantoja šādu tematu: Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta. (Scan kopija_ 2017. gada 10. janvārī. Sastādījis un parakstījis galvenais grāmatvedis).
Tomēr tagad jums jāpatur prātā, ka šis izspiedējvīruss turpina mainīties un noteikti izmantos citas temata līnijas. Protams, sagaidāmi arī citi ļaunprogrammatūras izplatīšanas triki, piemēram, ar uzlaušanas komplektiem, Trojas zirgiem, pikšķerēšanas tīmekļa vietnēm, un tamlīdzīgi.
Mēs iesakām jums būt ļoti uzmanīgiem, pārlūkojot internetu, un ar aizdomām novērtēt nezināmas interneta vietnes. Ja jūs nevēlaties būt piemānīti, instalējot apšaubāmas programmatūras vai ļaunprātīgus programmatūru atjauninājumus, labāk neko neinstalējiet no tīmekļa vietnēm, kuras jūs nekad iepriekš neesat apmeklējis.
Norādījumi Spora likvidēšanai
Jūs pavisam viegli varat noņemt Spora vīrusu, ja jūs izmantojat drošu pretļaunatūras programmatūru. Tomēr ir svarīgi, ka izstrādātāji darbojas, sekojot jūsu izmantotajai pretļaunatūras programmatūrai, tāpēc, ja jums tās nav, mēs iesakām instalēt RestoroIntego. Ja jūs vēlaties izmantot citu programmu, jūs varat izvēlēties kādu, kas jums patīk, izlasot sīkus pārskatus par programmatūrām sadaļā Programmatūras.
Lūdzu, paturiet prātā, ka jūs rīkojieties ar izspiedējvīrusu tipa vīrusu, tāpēc tas var mēģināt veikt tādas darbības, kā bloķēt jūsu pretļaunatūras un pretvīrusu programmas, kad jūs mēģināt noņemt to no sistēmas.
Ja jūs tieši tagad nodarbojieties ar šo problēmu, mēs iesakām pirms pretspiegošanas programmatūras palaišanas mēģināt atsāknēt savu datoru uz Safe Mode/drošo režīmu ar Networking/tīklošanu. Ja šis variants nedarbojas, turpiniet Spora izspiedējvīrusa noņemšanu ar System restore/Sistēmas atjaunošanas metodi.
Manuālā Spora vīrusu dzēšanas instrukcija
Noņem Spora lietojot Safe Mode with Networking
Izspiedējvīrusus ir ļoti grūti noņemt, jo tie parasti pārveido Windows Registry/Windows reģistru, pieblīvē sistēmu ar ļaunprātīgiem failiem un bieži nomet papildu ļaunprogrammatūras. Ja Spora vīruss ir bloķējis jūsu pretļaunatūras programmu, veiciet šādus soļus un pirms skenēšanas atsāknējiet savu datoru uz Safe Mode/drošo režīmu ar Networking/tīklošanu. Tiklīdz jūs pabeidzat skenēšanas procesu drošajā režīmā jums vajadzētu to atkārtot normālajā režīmā.
-
1 solis: Atsāknē datoru līdz Safe Mode with Networking
Windows 7 / Vista / XP- Klikšķini uz Start → Shutdown → Restart → OK.
- Kad dators kļūst aktīvs, sāciet spiest F8 vairākas reizes līdz Jūs redzat Advanced Boot Options logu.
-
Izvēlieties Safe Mode with Networking no saraksta
Windows 10 / Windows 8- Nospiediet Power, kad parādas pieslēgšanās logs. Tad nospiediet un turiet Shift (atrodas uz tastatūras) un klikšķiniet uz Restart..
- Tagad izvēlieties Troubleshoot → Advanced options → Startup Settings un beidzot nospiediet Restart.
-
Kad dators kļust aktīvs, izvēlieties Enable Safe Mode with Networking iekš Startup Settings loga.
-
2 solis: Noņem Spora
Pieslēdzies Jūsu inficētajam lietotājam un atveriet meklētāju. Lejupielādējiet RestoroIntego vai jebkuru citu pretvīrusu programmu. Atjauniniet to pirms pilnas sistēmas skenēšanas un noņemiet visus ļāunprātīgos failus, kas saistīti ar izpirkumu pieprasošo programmu un pabeidziet Spora noņemšanu.
Ja izpirkumu pieprasoša programma bloķē Safe Mode with Networking, pamēģiniet nākošo metodi.
Noņem Spora lietojot System Restore
Ja atsāknēšana uz drošo režīmu ar tīklošanu nespēja darboties jūsu labā, jūs varat pamēģināt sistēmas atjaunošanas opciju, lai bloķētu vīrusu. Tad veiciet pilnu sistēmas skenēšanu ar pretspiegošanas programmatūru, jo sistēmas atjaunošana nenoņem ļaunprātīgos failus no jūsu datora, tā tikai bloķē izspiedējvīrusu.
-
1 solis: Atsāknē datoru līdz Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klikšķini uz Start → Shutdown → Restart → OK.
- Kad dators kļūst aktīvs, sāciet spiest F8 vairākas reizes līdz Jūs redzat Advanced Boot Options logu.
-
Izvēlieties Command Prompt no saraksta
Windows 10 / Windows 8- Nospiediet Power, kad parādas pieslēgšanās logs. Tad nospiediet un turiet Shift (atrodas uz tastatūras) un klikšķiniet uz Restart..
- Tagad izvēlieties Troubleshoot → Advanced options → Startup Settings un beidzot nospiediet Restart.
-
Kad dators kļust aktīvs, izvēlieties Enable Safe Mode with Command Prompt iekš Startup Settings loga.
-
2 solis: Atjaunojiet rūpnīcas iestatījumus
-
Kad parādās Command Prompt, ievadietcd restore un noklikšķiniet uz Enter.
-
Tad ierakstiet Enter un vēlreiz nospiediet Enter .
-
Kad parādās jauns logs, klikškini uz Next un izvēlieties atjaunošanas laiku pirms inficēšanas ar Spora. Pēc tam klišķiniet uz Next.
-
Tagad klikškini uz Yes, lai sāktu sistēmas atjaunošanu.
-
Kad parādās Command Prompt, ievadietcd restore un noklikšķiniet uz Enter.
Papildus informācija: Atjauno savus datus
Iepriekš izklāstītie padomi ir paredzēti tam, lai palīdzētu tev noņemt Spora no tava datora. Lai atjaunotu šifrētos failus, mēs rekomendējam sekot viruss.lv drošības ekspertu sagatavotajai instrukcijai.Ir dažas datu atjaunošanas metodes, kas varētu jums palīdzēt atkopt zudušos failus. Zemāk jūs varat atrast šo metožu aprakstus.
Ja tavi faili tika šifrēti ar Spora, tu vari izmantot dažādus veidus ,lai tos atjaunotu:
Data Recovery Pro
Data Recovery Pro/Datu atjaunošanas programma var palīdzēt jums atjaunot dažus no jūsu zudušajiem failiem, tāpēc jums nevajadzētu laist garām iespēju un pamēģiniet to:
- Lejupielādēt Data Recovery Pro;
- Seko Data Recovery uzstādīšanas soļiem un instalē programmu savā datorā;
- Uzsāc programmu un uzsāc datora skenēšanu, lai atrastu Spora izspiedējprogrammatūras šifrētos failus;
- Atjauno tos.
Visbeidzot, JUms vajadzētu padomāt par aizsardzību pret šifrēšanas-izpirkumu pieprasošām programmām. Lai pasargātu Jūsu datoru no Spora un citām kaitīgām programmām, izmantojiet pretvīrusa programmas kā RestoroIntego, SpyHunter 5Combo Cleaner vai Malwarebytes