HOME > NEWS
新型勒索軟件Spora採用離線加密技術 偽裝字型更新、防毒軟件更難偵測

近日一款強力的新型勒索軟件Spora正在全球漫延,具備強力的離線檔案加密功能和革新的支付贖金模式,令網絡安全軟件難以偵測其不法行為,建議各卡巴斯基網絡安全產品的用戶盡速更新病毒定義,配合System Watcher即時監控功能讓惡意程式無所遁形。近日一款強力的新型勒索軟件Spora正在全球漫延,具備強力的離線檔案加密功能和革新的支付贖金模式,令網絡安全軟件難以偵測其不法行為,建議各卡巴斯基網絡安全產品的用戶盡速更新病毒定義,配合System Watcher即時監控功能讓惡意程式無所遁形。

離線加密避開偵測

Spora最獨特之處,是它無需要和黑客C&C伺服器有任何接觸的情況下,憑著多重複雜的加密過程,在離線的環境仍然能對受害者的檔案進行加密,而且每台裝置都需要獨一無二的解密金鑰才能夠恢復檔案的正常狀態。

相比傳統勒索軟件的進行模式,需要先為加密檔案產生AES鑰匙,然後利用C&C伺服器產生的RSA鑰匙對它進行加密,黑客則持有解開RSA加密的金鑰,藉此向受害者勒索贖款,但是此舉存在漏洞,因為只保安公司發現C&C伺服器並進行封鎖,加密程序便無法展開。亦因為Spora的行為有別於傳統,導致部份網絡安全軟件暫時無法有效封鎖。

新勒索模式販賣「增值服務」
如果受害者想支付贖金恢復檔案正常,他們需要把上載被加密的AES金鑰到黑客的支付平台,此舉不但使黑客避免放出解密的萬用金鑰,同時可以記錄受害人的資料,令黑客可以隨時調整不同對象的贖款價格。此外,Spora的黑客團隊更推出「增值服務」,除了正常的解密服務,還有額外的「移除」和「免疫」服務,全套服務一些購買還可以獲得折扣優惠。

多重滲透Chrome用戶需格外留神
Spora的傳播初期只有俄語版本,後來才有英語版出現,網絡罪犯透過附有偽裝為帳單附件的釣魚電郵散播,附件的副檔名是.HTA檔案並內含惡意程式的JavaScript代碼。另外亦有報導發現Spora專門針對Google Chrome用戶,透用釣魚網站訛稱用戶欠缺Hoefler Text字型而要求更新,其實是下載及安裝Spora勒索軟件,Chrome會警告用戶下載的執行程式檔案可能存在風險,用戶只要按下「Discard」選項便不會受到病毒感染。
chrome-alert

如果經勒索軟件Spora加密的檔案,現時無法進行免費解密,建議用戶採取預防勝於治療的心態進行防護,安裝可靠的防毒軟件,現時卡巴斯基實驗室的產品已經能夠偵測和攔截Spora,用戶也可以定時進行檔案備份,雙管齊下保護自己最重要的檔案文件。

資料來源:PC World、Forbes