Spora ransomware - новий вірус trojan-шифрувальник

1. Опис вірусу шифрувальника spora ransomware
2. Як вірус вимагач spora шифрує файли
3. Як лікувати комп'ютер і видалити вимагач spora ransomware
4. Де скачати дешифратор spora ransomware
5. Як розшифрувати і відновити файли після вірусу spora ransomware
6. Касперський, eset nod32 і інші в боротьбі з шифрувальником Trojan-Ransom.Win32.Spora
7. Методи захисту від вірусу шифрувальника
8. Відео c 100% розшифровкою і відновленням файлів

Місяць тому зіткнувся з черговим шедевром вірусоделов, який виявився не схожий на все те, що я бачив раніше. Я розповім вам про просунутому вірус здирників-шифрувальники spora ransomware, про способи розшифровки файлів і лікуванні. Хакери розробили принципово новий підхід до розлучення користувачів на пристойні гроші. Далі розповім про все по порядку.

Опис вірусу шифрувальника spora ransomware

Розповім докладно про те, що це таке - spora ransomware. Назвати його просто вірусом шифрувальником, подібно раніше відомим vault , da_vinci_code , enigma , no_more_ramsom язик не повертається. По суті це цілий програмний комплекс, що складається з:

1. Безпосередньо вірусу, який шифрує призначені для користувача файли.
2. Сайту для взаємодії з інструментами розшифровки.
3. Модуля прийому оплати в біткоіни.
4. Чату для техпідтримки постраждалим.

Все зроблено на дуже високому технічному рівні, починаючи від самого трояна-здирника, закінчуючи самим сайтом. Робота щодо шифрування файлів зроблена дуже акуратно і непомітно. Якщо раніше шифрувальники замінювали розширення файлу, що відразу вказувало на те, що файл зашифрували, то тепер кріптолокер діє хитріше - він шифрує файли, не змінюючи назву файлів і їх розширення. Це дозволяє йому залишатися непомітним до тих пір, поки він не закінчить свою роботу. Особливо це актуально з мережевими дисками, де відразу не здогадаєшся, що йде шифрування, якщо працюють з файлами різні користувачі по мережі.

Але я забігаю вперед. Розповім про все по порядку, починаючи від зараження комп'ютера, закінчуючи варіантами розшифровки і відновлення файлів.

Важливе зауваження зроблю відразу ж. Даний шифрувальник шифрує в тому числі і мережеві диски, до яких зможе дістатися. Як тільки запідозрили на комп'ютері вірус - відразу ж відключайте його від мережі. А краще зовсім вимкніть.

Як вірус вимагач spora шифрує файли

Починається все, як завжди з усіма вірусами шифрувальником - з листа на пошту. Лист це буде спеціально підібрано за змістом, щоб максимально нагадувати робочу переписку, якщо розсилка ведеться по корпоративній базі поштових скриньок. Наприклад, там може бути прохання від якогось контрагента звірити бухгалтерські документи, або подивитися рахунок фактуру, або щось ще. Якщо розсилка йде з особистих скриньок користувачів, то воно буде замасковано під лист від ощадбанку, податкової або якийсь ще популярної в народі служби.

Головне завдання такого листа - змусити користувача запустити вкладення. У випадку з spora, як додаток до буде zip архів, усередині якого файл з розширенням. hta. Після запуску цього файлу, в тимчасовій директорії користувача створюється новий файл з розширенням .js, в який записується зашифрований JScript і виконується. Сам скрипт з вірусом зашифрований стандартними системними алгоритмами, щоб його не виявили антивіруси.

Після виконання скрипта, в тимчасовій директорії користувача C: \ Users \ user \ AppData \ Local \ Temp з'являться два файли:

• 4a0f17b9936.exe
• doc_113fce.docx

Імена файлів швидше за все в кожному конкретному випадку будуть різними, але за типом будуть такі ж. Перше це виконуваний файл, який і є шифрувальником. Відразу після створення, він запускається і починає свою чорну роботу щодо шифрування файлів.

Якщо у вас включений UAC, то ви побачите запит на виконання файлу. Вірус намагається видалити всі тіньові копії, а для цього потрібно підтвердження. Якщо не підтвердите запуск файлу, то вважайте, що вам пощастило, і ваші тіньові копії залишаться. А якщо підтвердіть виконання, або якщо у вас взагалі відключений UAC, то ваші тіньові копії будуть видалені командою:

vssadmin.exe delete shadows / all / quiet

Другий файл є пустушкою, який замаскований під файл формату word, але при цьому відкривається з помилкою.

Він зроблений, швидше за все, для того, щоб заплутати користувача. Людина може подумати, що просто файл пошкодився. Це може спонукати його ще раз відкрити вкладення з листа, щоб переконатися, що лист не відкривається. Особливо кмітливі люди відправляють лист колегам з проханням перевірити, чи відкривається у них цей файл. Сам особисто спостерігав таку поведінку. В результаті шанси у вірусу-здирника виконати свою роботу збільшуються.

Після того, як вірус запустився і зашифрував всі файли, які зміг знайти, він створює 2 файли на робочому столі користувача:

• RU15C-ACXRT-RTZTZ-TOGTO.HTML
• RU15C-ACXRT-RTZTZ-TOGTO.KEY

Перший файл - html сторінка, яка автоматично запускається. Вона містить в собі коротку інформацію про те, що сталося на комп'ютері:

Всі ваші робочі і особисті файли були зашифровані. Для відновлення інформації, отримання гарантій і підтримки, коректний особистому кабінеті. 1. Тільки ми можемо відновити Ваші файли. Ваші файли були модифіковані за допомогою алгоритму RSA-1024. Зворотний процес відновлення називається дешифрування. Для цього необхідний Ваш унікальний ключ. Підібрати або "зламати" його неможливо. 2. Не звертайтеся до посередників! Всі ключі відновлення зберігаються тільки у нас, відповідно, якщо Вам хто-небудь запропонує відновити інформацію, в кращому випадку, він спершу купить ключ у нас, потім Вам продасть його з націнкою.

На сторінці є форма введення, куди вже введений ваш ідентифікатор, за допомогою якого ви можете авторизуватися на сайті https://spora.bz .

Другий файл необхідний для того, щоб ви змогли отримати дешифратор від зловмисників. Його потрібно зберегти, якщо ви розраховуєте розшифрувати файли.

Особливістю роботи даного вірусу шифрувальника є те, що йому для своєї роботи не потрібно доступ в інтернет. Після того, як ви його запустите з пошти, він почне свою роботу, навіть якщо у вас антивірус або firewall контролює підозрілий мережевий трафік.

Якщо ви побачили в своєму браузері описану вище сторінку, значить всі ваші файли вже зашифровані, хоча зовні здається, що все в порядку. Але при спробі відкрити файл, ви отримаєте помилку. Далі потрібно діяти акуратно і уважно, якщо хочете отримати свої дані назад. Шанси зробити це безкоштовно хоч і невеликі, але є.

Можна зайти в особистий кабінет зазначеного вище сайту і подивитися, як там все влаштовано.

Після зараження у вас є 5 днів, щоб сплатити розшифровку. Після цього, вона стане дорожче в 2 рази. Майте це на увазі, якщо зважитеся платити гроші. Я знаю, що багато хто платить, так як немає виходу, тому відразу попереджаю. Ціна через 5 днів реально буде в 2 рази вище.

Вражає набір послуг, які ви можете придбати в «магазині». Тут і імунітет від шифрувальника, і очищення комп'ютера. У вас є можливість розшифрувати 2 файли безкоштовно. Якщо у вас пропало не більше пари потрібних файлів, вважайте що вам пощастило, зможете їх розшифрувати. Але майте на увазі, що це не завжди спрацьовує. Якщо зловмисники порахують, що файл дуже цінний, то можуть відмовити в безкоштовної розшифровці.

На сайті передбачено чат з техподдержкой вірусу. Перший час не було обмеження на кількість повідомлень, тепер воно є - не більше п'яти. Так що уважно стежте за тим, що пишіть, якщо у вас реально є необхідність спілкуватися.

Ви можете тут же внести оплату за розшифровку. На сайті є докладні інструкції. Після зарахування грошей, інформація в особистому кабінеті зміниться.

Якщо гроші відразу не прийдуть, потрібно написати в техпідтримку, вони вручну перевірять надходження і підтвердять його. Масштаби діяльності, чесно кажучи, вражають. Дуже цікавий чат. Я прям зачитався, коли перший раз потрапив в особистий кабінет.

Як лікувати комп'ютер і видалити вимагач spora ransomware

Після того, як ви дізналися, що всі ваші файли зашифровані, потрібно визначитися, що ви будете робити далі. Якщо у вас є бекапи і розшифровка файлів вам не потрібно, то можна сміливо переходити до лікування комп'ютера і видалення вірусу. Як і всі інші віруси шифрувальники, видалити з системи його не важко. Та модифікація, що попалася мені, взагалі нічого особливого з системою не робила, ніде себе не прописувала - ні в реєстрі, ні в автозапуску. Все, що зробив вірус, це створив кілька файлів. 3 файлу в папці з профілем користувача C: \ Users \ user \ AppData \ Roaming:

• RU15C-ACXRT-RTZTZ-TOGTO.HTML - html сторінка з інформацією про зараження і вході в особистий кабінет на сайті зловмисників.
• RU15C-ACXRT-RTZTZ-TOGTO.KEY - файл з ключами, на основі яких можна купити дешифратор.
• RU15C-ACXRT-RTZTZ-TOGTO.LST - файл зі списком ваших зашифрованих файлів.

Ці ж 3 файлу будуть продубльовані в папці C: \ Users \ user \ AppData \ Roaming \ Microsoft \ Windows \ Templates. На робочому столі користувача будуть лежати перші два файли зі списку. Всі ці файли носять інформаційний характер і безпосередньої небезпеки не представляють. Сам вірус буде знаходитись у папці C: \ Users \ user \ AppData \ Local \ Temp. Ось список файлів звідти, що відносяться до spora:

• 4a0f17b9936.exe - безпосередньо вірус.
• close.js - javaScript-файл, який створює виконуваний файл з вірусом.
• doc_113fce.docx - підроблений документ.
• 1С.a01e743_рdf.hta - вкладення з пошти.

Цей список файлів становить безпосередню небезпеку і його в першу чергу треба видалити. Ні в якому разі не копіюйте ці файли на флешку або кудись ще. Якщо випадково запустите на іншому комп'ютері, то втратите і там всі дані. Якщо вам потрібно зберегти для подальшого розбору файли з вірусами, то додайте їх в зашифрований архів.

Видалення цих файлів досить для того, щоб позбутися від вірусу шифрувальника. Але хочу звернути увагу, що модифікації можуть бути різні. Я бачив в інтернеті інформацію про те, що цей вірус іноді поводиться як троян, створює копії системних папок у вигляді ярлика, приховує справжні системні папки, а у властивостях запуску ярликів додає себе. Таким чином, після розшифровки файлів, ваша карета знову може перетворитися на гарбуз.

Після ручного видалення вірусу, рекомендую скористатися безкоштовними інструментами від популярних антивірусів. Детальніше про це я вже розповідав раніше на прикладі вірусу no_more_ransom . Можете скористатися наведеними там рекомендаціями. Вони актуальні і для вірусу spora.

Я рекомендую після розшифровки файлів, відразу ж перевстановити систему Windows. Тільки це може дати 100% гарантію, що на комп'ютер очищений повністю.

Якщо вам необхідно за всяку ціну відновити зашифровані файли, а самостійно ви це зробити не можете, рекомендую відразу звертатися до професіоналів. Неправильні ваші дії можуть привести до того, що файли ви взагалі не зможете отримати назад. Як мінімум, вам потрібно зняти посекторний образ системи і зберегти його, перш ніж ви самі почнете щось робити. Як зробити образ системи розповідати не буду, це виходить за рамки даної статті.

Підведемо підсумок. Після того, як ваш комп'ютер був зашифрований, правильна послідовність дій для можливої ​​розшифровки файлів і лікування комп'ютера наступна:

1. Відключаємо комп'ютер від мережі.
2. Зберігаємо файли з розширенням .KEY і .LST.
3. Робимо повний посекторний образ дисків з інформацією, завантажившись з Live CD.
4. Видаляємо вірус з комп'ютера.
5. Пробуємо відновити файли самостійно.
6. Перевстановлюємо Windows.

Де скачати дешифратор spora ransomware

Перш ніж починати відновлювати файли самостійно, можна спробувати пошукати дешифратор для spora ransomware. існує сайт https://www.nomoreransom.org , На якому зібрані дешифратори для деяких шифрувальників. Можна спробувати щастя і перевірити, чи є там робочий дешифратор для spora, який дозволить дуже швидко і просто розшифрувати файли.

Відразу хочу попередити, що шансів знайти робочий дешифратор не багато, але раптом пощастить? Спроба не катування. Йдемо на сайт, на головній сторінці натискаємо на YES.

Вибираємо парочку зашифрованих файлів і відправляємо їх на сервер для підбору дешифратора.

Мені не пощастило. На момент написання статті дешифратор для spora ransomware був відсутній.

Список існуючих дешифраторів для шифрувальників можна подивитися в окремому розділі https://www.nomoreransom.org/decryption-tools.html . Можливо, коли-небудь там з'явиться щось і для spora. Наявність такої кількості готових дешифраторів дозволяє думати, що теоретично це можливо, хоча я і не дуже уявляю як це можливо з поточної реалізацією алгоритму шифрування.

Чи є ще можливість знайти робочий дешифратор для шифрувальника spora ransomware я не знаю. Думаю що ні. А якщо хтось буде пропонувати його продати, та ще й за невеликою ціною, то швидше за все це буде шахрай.

Ніколи не купуйте дешифратори, якщо вам попередньо не нададуть 100% гарантії його роботи на прикладі кількох, а ще краще за всіх файлів.

Як розшифрувати і відновити файли після вірусу spora ransomware

Що робити, коли вірус spora ransomware зашифрував ваші файли? Ви можете розшифрувати безкоштовно 2 файли в особистому кабінеті. Як це зробити показано у відео в кінці статті. Якщо вам цього мало, то читайте далі про те, як розшифрувати інші файли. Точніше не розшифрувати, а відновити. Технічна реалізація шифрування не дозволяє виконати розшифровку файлів без ключа або дешифратора, який є тільки у автора шифрувальника. Може бути є якийсь ще спосіб його отримати, але у мене немає такої інформації. Нам залишається тільки спробувати відновити файли підручними способами. До таких належить:

• Інструмент тіньових копій windows.
• Програми по відновленню видалених даних

Для початку перевіримо, чи включені у нас тіньові копії. Цей інструмент за замовчуванням працює в windows 7 і вище, якщо ви його не відключили вручну. Для перевірки відкриваємо властивості комп'ютера і переходимо в розділ захист системи.

Якщо ви під час зараження не підтвердили запит UAC на видалення файлів в тіньових копіях, то якісь дані у вас там повинні залишитися. Детальніше про цей запит я розповів на початку розповіді, коли розповідав про роботу вірусу.

Для зручного відновлення файлів з тіньових копій пропоную скористатися безкоштовною програмою для цього - ShadowExplorer . Завантажуйте архів, виймайте програму і запускайте.

Відкриється остання копія файлів і корінь диска C. У лівому верхньому кутку можна вибрати резервну копію, якщо у вас їх декілька. Перевірте різні копії на наявність потрібних файлів. Порівняйте по датах, де більш свіжа версія. У моєму прикладі нижче я знайшов 2 файли на робочому столі тримісячної давності, коли вони останній раз редагувалися.

Мені вдалося відновити ці файли. Для цього я їх вибрав, натиснув правою кнопкою миші, вибрав Export і вказав папку, куди їх відновити.

Ви можете відновлювати відразу папки за таким же принципом. Якщо у вас працювали тіньові копії і ви їх не видаляли, у вас досить багато шансів відновити все, або майже все файли, зашифровані вірусом. Можливо, якісь з них будуть більш старої версії, ніж хотілося б, але тим не менш, це краще, ніж нічого.

Якщо з якоїсь причини у вас немає тіньових копій файлів, залишається єдиний шанс отримати хоч щось із зашифрованих файлів - відновити їх за допомогою засобів відновлення видалених файлів. Для цього пропоную скористатися безкоштовною програмою Photorec .

Запускайте програму і вибирайте диск, на якому будете відновлювати файли. Запуск графічної версії програми виконує файл qphotorec_win.exe. Необхідно вибрати папку, куди будуть поміщатися знайдені файли. Краще, якщо ця папка буде розташовуватися не на тому ж диску, де ми здійснюємо пошук. Підключіть флешку або зовнішній жорсткий диск для цього.

Процес пошуку триватиме довго. В кінці ви побачите статистику. Тепер можна йти в зазначену раніше папку і дивитися, що там знайдено. Файлів буде швидше за все багато і велика частина з них будуть або пошкоджені, або це будуть якісь системні й марні файли. Але тим не менше, в цьому списку можна буде знайти і частина корисних файлів. Тут вже ніяких гарантій немає, що знайдете, то і знайдете. Найкраще, звичайно, відновлюються зображення.

Якщо результат вас не задовольнить, то є ще програми для відновлення видалених файлів. Нижче список програм, які я зазвичай використовую, коли потрібно відновити максимальну кількість файлів:

• R.saver
• Starus File Recovery
• JPEG Recovery Pro
• Active File Recovery Professional

Програми ці не безкоштовно, тому я не буду приводити посилань. При великому бажанні, ви зможете їх самі знайти в інтернеті.

Весь процес відновлення файлів докладно показаний в відео в самому кінці статті.

Касперський, eset nod32 і інші в боротьбі з шифрувальником Trojan-Ransom.Win32.Spora

Зараз старі модифікації вірусу визначаються антивірусами як Win32 / Filecoder.Spora.A, Win32 / Filecoder.NJI і д.р. Може змінюватися остання буква на b, f і т.д. Filecoder іноді замінюється на trojan. На жаль, все це може бути застосовано тільки до старих версій вірусів. Постійно виходять нові, які антивіруси не здатні швидко визначити.

Пробіжить по форумам популярних на сьогоднішній день антивірусів і подивимося, що вони можуть запропонувати в боротьбі з шифрувальником spora.

На жаль, як і раніше - НІЧОГО. Дивимося повідомлення з сайту forum.kasperskyclub.ru , Куди відправляють з офіційного форуму kaspersky робити заявки на лікування від вірусів.

Ось ще звідти ж https://forum.kasperskyclub.ru/index.php?showtopic=54138&p=795414

Ось який постраждав від такого ж вірусу spora на форумі dr.web . Відповідь техпідтримки доктора веба теж невтішний:

Розшифровка неможлива в даний момент. В майбутньому розшифровка малоймовірна, однак, якщо вона з'явиться - ми вам повідомимо.

Рекомендація: зверніться із заявою до територіального управління «К» МВС РФ;
Зразок заяви можете взяти тут http://legal.drweb.ru/templates

Щоб уникнути подібних проблем в подальшому, необхідно регулярно робити резервні копії важливих файлів.

Заглянув до ще одного великого гравця ринку антивірусних рішень - ESET NOD32, що там у нього є на тему spora ransomware. Як водиться, теж є згадки про настільки популярному зараз вірус. Ось велика тема звідти - зашифровано в Spora . Повідомлення адміністратора на 2-й сторінці обговорень:

Все як завжди з усіма попередніми шифрувальником, за винятком Енігми. Її обіцяли розшифровувати. А поточний немає і поки не передбачається. Так що тут кожен сам за себе.

Методи захисту від вірусу шифрувальника

Як захиститися від роботи шифрувальника і обійтися без матеріальної та моральної шкоди? Є кілька простих і ефективних рад:

1. Бекап! Резервна копія всю важливу інформацію. І не просто бекап, а бекап, до якого немає постійного доступу. Інакше вірус може заразити як ваші документи, так і резервні копії.
2. Ліцензійний антивірус. Хоча вони не дають 100% гарантії, але шанси уникнути шифрування збільшують. До нових версій шифрувальника вони найчастіше не готові, але вже через 3-4 дні починають реагувати. Це підвищує ваші шанси уникнути зараження, якщо ви не потрапили в першу хвилю розсилки нової модифікації шифрувальника.
3. Не відкривайте підозрілі вкладення в пошті. Тут коментувати нічого. Всі відомі мені шифрувальники потрапили до користувачів через пошту. Причому кожного разу придумуються нові хитрощі, щоб обдурити жертву.
4. Не відкривайте бездумно посилання, надіслані вам від ваших знайомих через соціальні мережі або месенджери. Так теж іноді поширюються віруси.
5. Включіть в windows відображення розширень файлів. Як це зробити легко знайти в інтернеті. Це дозволить вам побачити розширення файлу на вірус. Найчастіше воно буде .exe, .vbs, .src. У повседеневной роботі з документами вам навряд чи трапляються подібні розширення файлів.

На цьому у мене все. Будьте уважні за комп'ютером. Не відкривайте підозрілі файли, не переходьте по сумнівними посиланнями, робіть регулярно бекапи всю важливу інформацію.

Відео c 100% розшифровкою і відновленням файлів

Я записав відео, де на тестовій машині заразився вірусом, успішно відновив всі файли, вилікував комп'ютер і видалив вірус із системи.