Elimină virusul Spora (Instrucţiuni de înlăturare) - aug. 2017 actualizat

Ce este Virusul de tip ransomware Spora?

Ransomware-ul Spora ţinteşte utilizatorii de PC din întreaga lume

Se pare că virusul Spora va fi următorul jucător important din lumea ransomware. Până acum, analiştii de malware îl numesc „cel mai sofisticat ransomware din toate timpurile”. Descoperit prima dată pe 10 ianuarie, ransomware-ul Spora pare a fi un troian de criptare date , care a început să comunice cu victimele sale doar în limba rusă.

Totuşi, după câteva săptămâni a început să călătorească prin întreaga lume virtuală. Surprinzător, acest program maliţios utilizează un algoritm de criptare complet diferit şi extrem de complicat, ce pare a fi imun. Aparent, virusul creează conţinutul fişierului .KEY creând cheia RSA, criptând-o cu o nouă cheie AES, generată.

În plus, criptează cheia AES cu o cheie publică introdusă în fişierul executabil al virusului, după care le salvează în .KEY. Rutina de criptare a datelor pentru acest malware este mai puţin complicată: fişierele sunt criptate folosind o cheie AES criptată cu cifrul RSA (din nefericire, nu putem spune acelaşi lucru şi despre eliminarea ransomware-ului Spora). Momentan, virusul ţinteşte doar 23 de extensii de fişier:

.backup, .xlsx, .docx, .rtf, .dwg, .cdr, .cd, .mdb, .1cd, .odt, .pdf, .psd, .dbf, .doc, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .xls.

Fişierele care au aceste extensii sunt securizate cu o cheie de criptare lungă (cheia publică); între timp, cheia privată este trimisă pe serverele criminalilor şi este păstrată acolo până când victima este de acord să plătească recompensa. Instrucţiuni despre cum se transferă plata sunt oferite în nota de recompensă, care de obicei, este salvată pe ecran.

În mod normal, aceste instrucţiuni trimit victima către un loc care conţine şi mai multe instrucţiuni – site-ul de plată oficial al lui Spora. Surprinzător, autorii acestui ransomware demonstrează abilităţi excelente de programare pe website-urile lor de plată.

În plus, suportul pentru utilizatori a surprins foarte mult chiar şi pe cei mai experimentaţi experţi din securitate. Numărul de site-uri de plată a crescut rapid, iar acum pot fi găsite 10 site-uri care sunt folosite pentru a colecta recompense ilegale, inclusiv spora[.]bz, spora[.]one, spora[.]hk, şi altele.

Site-ul de plată diferă de website-urile către care direcţionează în mod normal viruşii de tip ransomware, deoarece oferă o varietate de opţiuni victimei – cineva poate elimina virusul Spora pentru 20 de dolari, poate restaura fişierele pentru 30 de dolari şi chiar poate plăti 50 de dolari pentru imunitate contra atacurilor ransomware.

Totuşi, dacă victima doreşte să primească un pachet complet de restaurare, trebuie să plătească 79 de dolari. Reţineţi că virusul poate cere recompense mai mici sau mai mari de la diferite victime. De fapt, o astfel de varietate de opţiuni aduce modelul „freemium” la un alt nivel.

Probabil deja aţi auzit de tradiţionalul ransomware, inclusiv ransomware-ul Cerber, care sugerează să încercaţi unealta de decriptare pe unul sau două fişiere mai mici deja criptate pentru a demonstra că unealta de decriptare există şi că se află pe serverul secret al escrocilor, însă acest virus nou sparge recompensa completă în mai multe bucăţi, oferind victimelor să achiziţioneze servicii separate.

Autorii virusului accepta plata doar în moneda Bitcoin . Pe 16 ianuarie, website-ul de plată a fost îmbunătăţit, şi a fost adăugată pagina „Ajutor”. De asemenea, site-ul are o fereastră publică de comunicare, un tabel de tranzacţii deja efectuate, şi alte detalii mici care fac din site o interfaţă foarte prietenoasă cu utilizatorul .

Indiferent, malware-ul cu siguranţă nu este prietenos cu utilizatorul deoarece vrea să ia bani de la victimă. Pentru a obţine cheia de decriptare, victimelor li se cere să plătească recompensa şi să trimită fişierul .KEY escrocilor prin intermediul site-ului de plată. Dacă aţi fost lovit de către acest virus, asiguraţi-vă că îl ştergeţi imediat. Este recomandat să utilizaţi unelte precum FortectIntego sau SpyHunter 5Combo Cleaner pentru a-l elimina cu succes pe Spora.

Cum am fost infectat cu Spora?

În mod curent, ransomware-ul Spora este distribuit prin intermediul campaniilor maliţioase de email ce conţin fişiere infecţioase de tip HTA. Aceste fişiere hidoase au extensii duble, de exemplu PDF.HTA şi extensia lor reală este ascunsă astfel încât victima să creadă că .DOC este adevărata extensie.

Să vă reamintim că fişierul HTA este un format de fişier HTML executabil, iar atunci când victima îl deschide, va descărca un fişier JavaScript, close.js, în dosarul de sistem numit %temp%. Aici, infecţia se va activa extrăgând un fişier executabil şi deschizându-l.

Fişierul executabil este principalul fişier responsabil pentru procedura de criptare a datelor. În acelaşi timp, fişierul HTA deschide un fişier DOCX, care arată un mesaj de eroare care spune că fişierul nu poate fi deschis. În timp ce victima se uită la această eroare dubioasă, ransomware-ul va cripta toate fişierele din sistem.

Spamarea maliţioasă este momentan, cea mai utilizată tehnică de distribuire a lui Spora. La început, când această ameninţare era doar în limba rusă, email-urile înşelătoare foloseau un astfel de subiect: Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta. (În română ar fi: „Copie scanată_10 Ian 2017. Scrisă şi semnată de către contabilul şef”).

Totuşi, acum ar trebui să reţineţi că acest ransomware continuă să se modifice şi cu siguranţă va utiliza alte subiecte. Desigur, ne putem aştepta şi la diferite trucuri de distribuire, de exemplu, prin kituri de exploatare, troiani, website-uri de phishing şi aşa mai departe.

Vă sfătuim să fiţi atenţi atunci când navigaţi pe internet şi să priviţi cu suspiciune site-urile de internet necunoscute. Dacă nu doriţi să fiţi înşelat în a instala software-uri chestionabile sau actualizări de software maliţioase, mai bine nu instalaţi nimic de pe website-urile pe care nu le-aţi vizitat vreodată.

Eliminarea ransomware-ului Spora

Puteţi elimina destul de uşor virusul Spora dacă utilizaţi un software anti-malware de încredere. Totuşi, contează ce dezvoltatori lucrează în spatele software-ului anti-malware pe care îl utilizaţi, deci, dacă nu aveţi unul, vă recomandăm să instalaţi FortectIntego. Dacă doriţi să utilizaţi un program diferit, puteţi alege cel care vă place după ce citiţi recenziile detaliate din secţiunea Software.

Reţineţi că aveţi de a face cu un virus de tip ransomware, deci poate încerca să vă blocheze programele anti-malware şi antivirus atunci când încercaţi să îl eliminaţi din sistem. Dacă aveţi de a face cu o astfel de problemă, vă recomandăm să porniţi calculatorul în Safe Mode with Networking înainte să lansaţi software-ul anti-spyware.

Dacă această opţiune nu funcţionează, continuaţi eliminarea ransomware-ului Spora cu ajutorul metodei Sytem Restore.