Ransomware Spora

Znany również jako: Spora (wirus)
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware

Czym jest Spora?

Spora to wirus typu ransomware dystrybuowany za pośrednictwem wiadomości Spam (szkodliwych załączników). Każdy złośliwy email zawiera plik HTA który po wykonaniu rozpakowuje plik JavaScript ("closed.js"), umieszczając go w folderze systemowym "%Temp%". Plik JavaScript wypakowuje plik wykonywalny z losową nazwą i uruchamia go. Plik wykonywalny następnie zaczyna szyfrować pliki za pomocą szyfrowania RSA. Należy zauważyć, że w przeciwieństwie do innych wirusów typu ransomware, Spora nie zmienia nazwy zaszyfrowanych plików. Wspomniany plik HTA rozpakowuje również plik DOCX. Ten plik jest uszkodzony, a tym samym będzie wyświetlany błąd po otwarciu. Jest to wykonywane w celu skłonienia ofiar do przypuszczeń, że pobieranie załączników wiadomości e-mail się nie powiodło. Po udanym szyfrowaniu Spora generuje pliki .html i .key (oba nazwane z wykorzystaniem losowych znaków), umieszczając je we wszystkich folderach zawierających zaszyfrowane pliki.

Jedną z głównych zalet Spora dla programistów jest możliwość pracy w trybie offline (bez połączenia z Internetem). Jak wspomniano powyżej, pliki są szyfrowane za pomocą algorytmu RSA (asymetrycznego algorytmu szyfrowania), a tym samym podczas szyfrowania generowany jest klucz publiczny (szyfrowania) i prywatny (deszyfrowania). Odszyfrowanie bez klucza prywatnego jest niemożliwe. Ponadto, klucz prywatny jest zaszyfrowany przy użyciu szyfrowania AES, co jest gorszą sytuacją. Ono również szyfruje pliki, a Spora wyłącza narzędzie naprawy uruchamiania Windows, usuwa kopie woluminów i zmienia status polityki uruchamiania. Plik HTML zawiera wiadomość z żądaniem okupu w języku rosyjskim, która wyszczególnia szyfrowanie i zachęca ofiary do wykonania wskazówek zawartych na stronie internetowej Spora. Aby odzyskać pliki, ofiary muszą rzekomo zapłacić okup. Wysokość okupu zależy od indywidualnej sytuacji i potrzeb ofiary. Pełne deszyfrowanie (w tym immunitet, usunięcie i odzyskanie pliku) jest w przybliżeniu równe kwocie pomiędzy 79 $ i 280 $, jednak ofiary mogą zdecydować się jedynie na odzyskanie plików, usunięcie ich lub otrzymanie immunitetu. W tych przypadkach cena jest obniżona. Ofiary mają również możliwość odszyfrowania dwóch plików za darmo. Okup należy uiścić w Bitcoinach, a ofiary mają ograniczony czas (termin zostanie podany na stronie internetowej Spora) na dokonanie wpłat. W przeciwnym razie klucze deszyfrujące zostaną trwale usunięte. Strona Spora jest zaawansowana w stosunku do innych wirusów tego samego typu. Zapewnia każdej ofierze konto zawierające portfel Bitcoin. Posiada również funkcje deszyfrowania, transakcji, kontaktu z programistami itp. W czasie pisania nie było znanych żadnych narzędzi zdolnych do odzyskania plików zaszyfrowanych przez ransomware Spora. Dlatego jedynym rozwiązaniem jest przywrócenie plików/systemu z kopii zapasowej.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

Spora decrypt instructions

Istnieją dziesiątki wirusów typu ransomware, które mają cechy podobne do Spora. Przykłady obejmują CTB-Locker, Cerber, Locky i wiele innych. Wszystkie szyfrują pliki i ​​żądają okupu. Pomiędzy wirusami typu ransomware istnieją tylko dwie główne różnice: 1) koszt deszyfrowania (który zwykle waha się od 500 $ i 1 500 $ w Bitcoinach) oraz; 2) rodzaj użytego algorytmu szyfrowania (symetryczny/asymetryczny). Wirusy typu ransomware są często są dystrybuowane za pośrednictwem sieci (P2P) peer-to-peer (np. torrentów, eMule itp.), 3) źródeł pobierania stron trzecich (stron z freeware do pobrania i stron internetowych z bezpłatnym hostingiem plików, FTP itp.), zainfekowanych plików dołączonych do wiadomości Spam, fałszywych narzędzi aktualizacji oprogramowania i koni trojańskich.

Podsumowanie zagrożenia:
NazwaSpora (wirus)
Typ zagrożeniaRansomware, wirus szyfrowania, blokada plików
ObjawyNie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików.
Metody dystrybucjiZainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy.
ZniszczenieWszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware.
Usuwanie

Aby wyeliminować Spora (wirus), nasi badacze malware zalecają przeskanowanie twojego komputera Spyhunter.
▼ Pobierz Spyhunter
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby usunąć malware, musisz zakupić pełną wersję Spyhunter.

Dlatego należy zachować ostrożność podczas pobierania plików/aplikacji z nieoficjalnych źródeł oraz otwierania plików otrzymanych z podejrzanych/nieznanych adresów e-mail. Ponadto, należy na bieżąco aktualizować zainstalowane oprogramowanie antywirusowe/antyspyware. Cyberprzestępcy są zdolni do wykorzystywania błędów/wad oprogramowania w celu zainfekowania systemu, a więc oprogramowanie nigdy nie powinno być aktualizowane za pośrednictwem narzędzi firm trzecich. Kluczem do bezpieczeństwa komputerowego jest ostrożność.

Polecamy również zapoznanie się z artykułem Emsisoft dotyczącym ransomware Spora.

Wiadomość z żądaniem okupu prezentowana w pliku HTML Spora:

Все Ваши рабочие и личные файлы были зашифрованы
Для восстановления информации, получения гарантий и поддержки,
следуйте инструкции в личном кабинете.
SPORA RANSOMWARE
1. Только мы можем восстановить Ваши файлы.
Ваши файлы были модифицированы при помощи алгоритма RSA-1024. Обратный процесс восстановления называется дешифрование. Для этого необходим Ваш уникальный ключ. Подобрать или "взломать" его невозможно.
2. Не обращайтесь к посредникам!
Все ключи восстановления хранятся только у нас, соответственно, если Вам кто-либо предложит восстановить информацию, в лучшем случае, он сперва купит ключ у нас, затем Вам продаст его с наценкой.
Если Вы не смогли найти Ваш ключ синхронизации
Нажмите здесь

Zrzuty ekranu strony internetowej ransomware Spora:

Spora website Russian variant Spora website English variant Spora website login Spora website Bitcoin wallet

Tekst prezentowany w stopce strony internetowej portfela Bitcoin Spora:

Poręczenie

----- ROZPOCZNIJ PODPISYWANIE ADRESU BITCOIN -----

1SporaxoosUPYPEizY46t8yquLfzyABRm

----- ZAKOŃCZ PODPISYWANIE ADRESU BITCOIN -----

----- POCZĄTEK PORĘCZENIA -----

Niniejszym potwierdzamy wygenerowany adres 1Gz5ocfBJkyBFaxPs16SNYHKXd2Ujb5fv9 w celu przeniesienia wszystkich kwot przychodzących na konto ID: 2B5ABB84C2B8CC

Usługa ta będzie dostępna tylko dla wszystkich Bitcoinów otrzymanych w ciągu 30 dni, począwszy od 11. stycznia 2017, 11:18 MSK z minimalną kwotą 0,0001 BTC.

Ten list jest podpisany cyfrowo przez naszego głównego księgowego: 1SporaxoosUPYPEizY46t8yquLfzyABRm

----- KONIEC PORĘCZENIA -----

----- ----- POCZĄTEK PODPISU CYFROWEGO

HLZtAnk9kAnVcHgAc + Hg / D77YR8rPmAL4uNmGzQtRhvheJCLtuzovfFdCXpIHAG3WUDOyS5aDcC8kefTqxr9 / f4 =

----- KONIEC PODPISU CYFROWEGO -----

Oto wygląd strony internetowej ransomware Spora:

Spora website English variant (GIF)

Zrzut ekranu plików zaszyfrowanych przez ransomware Spora (brak rozszerzenia):

Spora decrypt instructions

Typy plików obieranych za cel przez ransomware Spora::

.xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup

Usuwanie ransomware Spora:

Natychmiastowe automatyczne usunięcie Spora (wirus): Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Spora (wirus). Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Spora. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Spora).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Spora.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Spora są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Spora możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i Malwarebytes Anti-Ransomware, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Spora.)

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta używa zaawansowanej proaktywnej technologii, która monitoruje aktywność ransomare i natychmiast ją zatrzymuje – zanim dotrze do plików użytkownika.

malwarebytes anti-ransomware

  • Najlepszym sposobem na uniknięcie zniszczeń spowodowanych infekcjami ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji o internetowych rozwiązaniach kopii zapasowych i oprogramowaniu o odzyskiwaniu danych znajduje się Tutaj.

Inne narzędzia znane z usuwania ransomware Spora:

Źródło: https://www.pcrisk.com/removal-guides/10824-spora-ransomware

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Instrukcje usuwania w innych językach
Kod QR
Spora (wirus) kod QR
Kod QR (Quick Response Code) to odczytywalny maszynowo kod, który przechowuje adresy URL oraz inne informacje. Kod ten może być odczytywany za pomocą kamery w smartfonie lub tablecie. Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Spora (wirus) na swoim urządzeniu mobilnym.
Polecamy:

Pozbądź się Spora (wirus) dzisiaj:

▼ USUŃ TO TERAZ za pomocą Spyhunter

Platforma: Windows

Ocena redaktora dla Spyhunter:
Wybitny!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter.