早在今年勒索软件大范围肆虐之前,就有安全研究人员发现了一种新式勒索软件,该软件被命名为Spora,能够进行离线文件解密,赎金支付模式也有了许多创新。目前为止,该恶意软件在国内只是暂露苗头,全世界范围内主要针对的是俄语用户,但其作者也开发了英语版的解密门户,意味着他们有可能不久之后就将业务扩张到其他国家。
Spora吸引安全人员关注的原因就是,它能够不通过C&C服务器就加密文件,而且每个受害者的解密密钥还各不相同。传统勒索软件为每个被加密的文件产生一个AES密钥,然后用C&C服务器产生的RSA公钥来加密这些AES密钥。RSA之类的公钥加密体制,依赖由一个公钥和一个私钥组成的密钥对。被公钥加密的文件,只能被相对应的私钥解密。大多数勒索软件都会在植入后与C&C服务器联系,请求产生RSA密钥对。公钥被下载到受害电脑上,但私钥是从不离开服务器的,一直在攻击者的掌控之中。这个私钥,就是受害者得支付赎金获取的了。
勒索软件在安装后与互联网上的服务器通信的问题在于:它给攻击者创建的是弱连接。比如说,如果服务器被安全公司检测到,防火墙封锁了该服务器,加密过程就无法启动了。有些勒索软件能进行所谓的离线加密,但是他们对所有受害者都用同一个硬编码到恶意软件里的RSA公钥。这种方式给攻击者带来的不利之处在于:交给其中一个受害者的解密工具,对所有受害者都有效——因为他们也共享同一个私钥。
Spora的创造者解决了这个问题!
该恶意软件确实包含有硬编码的RSA公钥,但只是用来加密每个受害者本机产生的唯一AES密钥的。该AES密钥又用于加密同样是受害者本机生成的唯一RSA公私密钥对中的私钥。最后,受害者RSA公钥被用于加密单个文件加密所用的AES密钥。换句话说,Spora的创造者在其他勒索软件的基础上,又再加了一轮AES和RSA加密。如果受害者想付赎金,必须将他们那些被加密的AES密钥,上传到攻击者的支付网站。攻击者再用他们的主RSA私钥解密之,并连同解密工具一并返还给受害者。解密器就用该AES密钥,来解密受害者本机产生的唯一RSA私钥,再用这私钥解密恢复每个文件所需的AES密钥。
通过这种方式,Spora可以不用到C&C服务器就完成加解密,避免了主密钥的泄露。经过评估,Spora操作加解密的方法,如果没有该恶意软件作者的私钥,是无法恢复被加密的文件的。
Spora的其他方面也突出于别的勒索软件。比如说,它实现了一套系统,可以针对不同类型的受害者索要不同的赎金。受害者不得不上传到赎金支付网站的密钥文件中,也包含有被感染计算机上收集来的身份标识信息,比如唯一的勒索行动编号。这意味着,如果攻击者针对公司企业发起Spora勒索行动,他们可以知道该次行动的受害者什么时候将会尝试他们的解密服务。这样一来,他们就可以自动调整为消费者、公司,甚至全球不同地区的受害者应支付的赎金额度。
而且,除了文件解密,Spora团伙还提供其他单独定价的服务。比如,“免疫”——确保该恶意软件不再感染某计算机;或者“清除”——解密文件后将恶意软件卸载。打包价也是有的,比单独购买3种服务便宜些。
赎金支付网站本身也设计得十分专业。它有一个集成的实时聊天功能,还有拿到折扣的可能性。据观察,攻击者几乎是秒回聊天消息。
所有这些都表明:Spora是个专业的资金充盈的勒索软件运营活动。目前为止,Spora索要的赎金额度比其他勒索软件都要少,有可能是其背后的团伙想要快速树立自己的品牌。Spora通过流氓电子邮件附件传播,附件伪装成俄语国家常用会计软件的发票,后缀名为.HTA (HTML应用),包含有恶意JavaScript代码。
就是因为该病毒的完美赎金支付-赎回文件体系,想要在该病毒攻击下保护好自己的文件不受损失变得异常困难,而带有Acronis Active Protection 主动防护技术的安克诺斯产品可以自动检测Spora勒索病毒并且自动恢复加密的文件,操作如下:
Acronis Active Protection 检测到 Spora 勒索病毒:
Acronis Active Protection 阻止Spora 勒索病毒
Acronis Active Protection 恢复感染的文件:
关于安克诺斯
通过AnyData引擎驱动的技术,以及优秀的镜像技术,安克诺斯能够为所有文件、应用程序和操作系统提供在任何环境下(包括虚拟,物理,云和移动环境)方便、完整、安全的备份服务。
公司成立于2002年,安克诺斯为全球超过145个国家的500万个人用户及50万家企业用户提供数据保护服务。拥有超过100项专利,安克诺斯产品被Network Computing、TechTarget和IT Professional 评为年度最佳产品。其产品涵盖众多功能,包括迁移,克隆和复制等。