Инструкция по удалению вируса Spora. Как расшифровать файлы .Spora

Последние несколько лет эксперты пытаются привлечь внимание общественности к возросшей активности нежелательных программ и, в особенности, вирусов – вымогателей. Эти вирусы отличаются довольно сложной структурой, а их создание и дальнейшее обслуживание требует времени и определенных навыков. Каждый такой вирус, даже если он не отличается сложностью, представляет из себя серьезную проблему для своих жертв, так как современные алгоритмы шифрования практически невозможно взломать. Единственная надежда жертв – дождаться пока борцы с вирусами смогут взломать код вируса и извлечь мастер-ключ, или весь список ключей шифрования. В этой статье мы поговорим о вирусе Spora, который считается одним из самых опасных в 2017 году.

 

Spora вирус

 

Вирус Spora принадлежит к категории шифрующего ransomware, то есть он, проникнув на компьютер пользователя, шифрует его файлы и требует выкуп за их расшифровку. Скорее всего, вирус был создан русскими хакерами и ориентирован именно на русский сегмент Интернета. Это можно утверждать потому что, хоть вирус и оснащен инструкциями на русском, английском и французском языках, больше всего жертв именно из России, хотя отчеты о заражении поступают изо всех стран мира. Кроме того, вирусы такого типа обычно требуют довольно крупные суммы выкупа. Так, вирусы Cerber и Locky в разные времена требовали от 0.5 до 3 BTC, то есть, по текущему курсу, приблизительно от $500 до $3000. Среднестатистический российский пользователь не станет платить такую сумму ради того, чтобы расшифровать свои файлы. Spora, в свою очередь, требует с обычного пользователя лишь $79 за полную расшифровку.

 

Spora вирус

 

Помимо сложной структуры самого вируса и алгоритмов шифрования, есть еще один знак, указывающий на то, что вирус Spora был эксплуатируется опытной командой мошенников, которые имеют большой опыт в создании ransomware и работе с ним. Это сайт вируса. Чаще всего хакеры не особенно стараются, создавая сайты для своих вирусов, и наделяют их лишь минимальным функционалом, но в случае со Spora мы видим совсем другую картину. Сайт довольно качественный, и на нём есть много вариантов услуг по расшифровке, на любой вкус:

 

  • Полная расшифровка данных - $79
  • Полная расшифровка данных - $79
  • Очистка компьютера от вируса и остаточных файлов после уплаты выкупа - $20
  • Расшифровка одного файла - $30
  • Бесплатное восстановление двух файлов (очевидно, для того, чтобы продемонстрировать, что мошенники могут восстановить файлы).

 

На сайте работает техническая поддержка, сотрудники которой оперативно отвечают на задаваемые вопросы. Кроме того, хакеры предлагают жертвам вируса возврат части уплаченной суммы в том случае, если жертва прокомментирует одну из популярных статей по борьбе с вирусом, и скажет что лучший выход – заплатить выкуп. Все эти факты говорят о том, что мошенники нацелились на долгую эксплуатацию вируса, и намерены заработать с его помощью еще очень много денег. Наша же с вами задача – не дать им этого сделать.

Как Spora проникает на ПК и шифрует данные

Теперь перейдём непосредственно к технической информации. Вирус проникает на компьютеры с помощью старого-доброго спама по электронной почте. Этот способ предпочитают все без исключения создатели ransomware, и создатели Spora не стали исключением. Есть несколько шаблонов писем, которые рассылаются тысячам пользователей. В основном письма ориентированы на то, чтобы заинтересовать сотрудников офисов, и замаскированы под счета, прайс-листы, резюме сотрудников, жалобы и прочую деловую документацию. К письмам, естественно, прикладывается заархивированный файл, на первый взгляд выглядящий как документ Word или таблица Excel. Файлы имеют расширение .HTA, а пользователи видят лишь название, так как показ расширений файлов по умолчанию отключен. Файлы называются ……..DOC.HTA, ……….XLSX.HTA или ……..PDF.HTA, где точки это случайно выбранное название файла, такое как “Счёт за металлопрокат” или “График работы на следующий месяц”. Когда пользователь распаковывает и запускает HTA файл, из него извлекается javascript файл close.js, который создает исполняемый файл со случайным названием и запускает его. Именно этот файл и является ядром вируса, и он немедленно приступает к шифрованию. Помимо этого, при нажатии на HTA файл запускается и файл docx, для того чтобы отвлечь внимание пользователя. При запуске файл выдаёт ошибку, и пользователь думает, что файл был поврежден при передаче или при архивации.

 

Большинство современных ransomware обладает внушительным списком шифруемых расширений, причем некоторые списки насчитывают по 500 и более наименований. Spora способен зашифровать лишь файлы, сохраненные в таких расширениях: .xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup. Это позволяет хакерам снизить затраты на создание вируса, при этом почти не потеряв в эффективности, так как основные расширения в списке присутствуют. Еще одним отличием является отсутствие командного центра. Spora функционирует полностью автономно, не передавая никаких данных, и тем самым не давая возможности взломать их. Все отчеты сохраняются в key-файл, который сам пользователь должен будет загрузить на сайт мошенников для расшифровки данных. Вирус поражает лишь файлы в которых хранится какая-либо информация, оставляя системные файлы и файлы программ нетронутыми. Таким образом, даже после заражения, компьютер находится в рабочем состоянии и пользователь может им воспользоваться для уплаты выкупа. Вирус также удаляет теневые копии, чтобы для восстановления файлов нельзя было воспользоваться стандартными инструментами вроде Recuva или Shadow Explorer.

 

Шифрование осуществляется с помощью алгоритмов AES и RSA, что полностью исключает возможность расшифровки путём «брутфорса». Механизмы шифрования довольно сложны, и в простых выражениях их можно описать вот так:

 

  • Генерация ключа AES, генерация ключа RSA, ключ AES шифруется с помощью ключа RSA. Все полученные ключи сохраняются в файл key.
  • Для расшифровки хакеры используют приватный ключ, хранящийся у них. Сначала они расшифровывают AES ключ, который использовался для шифрования RSA ключа системы жертвы. Потом расшифровывают RSA ключ, вводят его в программу-расшифровщик и отсылают жертве.
  • Программа использует RSA ключ чтобы расшифровать AES ключи от каждого отдельного файла, а потом и сами файлы с помощью полученных ключей.

 

Для тех, кто не разбирается в таких вещах, всё выглядит очень запутанно, так что мы опишем ситуацию в одном предложении. Файлы, зашифрованные Spora, невозможно расшифровать до тех пор, пока кто-либо не взломает базу данных хакеров и не извлечет приватный ключ.

Как удалить Spora с компьютера

Что же остаётся делать жертве вируса? На данный момент у вас есть два выбора: заплатить вымогателям, тем самым дав им возможность и дальше осуществлять свою деятельность, или не платить, и удалив вирус с компьютера, подождать до тех пор, пока не будет создана программа для расшифровки. Есть еще третий вариант: вы можете загрузить заранее сделанные бэкапы. Если бэкапы делаются регулярно и хранятся на внешнем носителе, не подключенном к компьютеру или к сети – то урон от любого вируса будет минимальным. В таком случае вам нужно будет полностью удалить вирус с компьютера, несколько раз сканировать его различными антивирусами, и лишь после этого загрузить бэкап. Если вы не желаете ждать и готовы заплатить – следуйте указаниям мошенников. Если же вы готовы подождать некоторое время, и не дать хакерам заработать с вашей помощью – то следуйте инструкциям под этим параграфом. Удаление можно выполнить вручную, но это рекомендуется делать лишь опытным пользователям. Мы рекомендуем воспользоваться антивирусной программой Spyhunter, которая быстро справится с задачей, и полностью очистит систему от вредоносных файлов. Нажмите здесь, чтобы скачать SpyHunter и удалить вирус в автоматическом режиме.

 

Видео инструкция

 

 

 

Шаг 1. Запустить систему в безопасном режиме

  • Нажмите «Пуск»
  • Введите Msconfig и нажмите «Enter»

Запуск в безопасном режиме. Шаг 1

 

  • Выберите вкладку «Загрузка»

Запуск в безопасном режиме. Шаг 2

 

 

  • Выберите «Безопасная загрузка» и нажмите OK

Шаг 2. Показать все скрытые файлы и папки

    • Нажмите «Пуск»
    • Выберите «Панель управления»

Показать все скрытые файлы и папки. Шаг 1

 

    • Выберите «Оформление и персонализация»

Показать все скрытые файлы и папки. Шаг 2

 

    • Нажмите на «Параметры папок»
    • Перейдите во вкладку «Вид»
    • Выберите «Показывать скрытые файлы, папки и диски»

Показать все скрытые файлы и папки. Шаг 3

 

  • Нажмите OK

Шаг 3. Удалить файлы вируса

Проверьте следующие папки на предмет наличия в них файлов вируса:

  • %TEMP%
  • %APPDATA%
  • %ProgramData%

Шаг 4. Очистить реестр (для опытных пользователей)

  • Нажмите «Пуск»
  • Введите «Regedit.exe» и нажмите «Enter»
  • Проверьте папки автозапуска на наличие подозрительных записей:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • Аналогично для папки HKEY_CURRENT_USER
  • Удалите из этих папок вредоносные файлы

 

 

 

1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 [1 Голос]

Добавить комментарий

Защитный код
Обновить

Norton_scan_results

Google_SafeBrowsing_scan_results