安全研究人员发现了一个新的赎金软件,称为Spora,可以执行强大的离线文件加密,并为赎金支付模型带来几个“创新”。
迄今为止,恶意软件已针对俄语用户,但其作者还创建了一个英语版的解密门户,这表明他们很快就会扩大他们对其他国家的攻击。
[进一步阅读:战斗勒索软件:清新看Windows Server方法]Spora脱颖而出,因为它可以加密文件而无需联系命令和控制(CNC)服务器,并以仍然允许每个受害者具有唯一解密密钥的方式执行此操作。
传统的赎金软件程序为每个加密文件生成AES(高级加密标准)密钥,然后使用CNC服务器生成的RSA公钥加密这些密钥。
RSA等公钥加密依赖于由公钥和私钥组成的密钥对。无论使用一个公钥加密哪个文件,只能使用其相应的私钥解密。
大多数ransomware程序在它们“安装在计算机上并请求生成RSA密钥对后联系命令和控制服务器。公钥将下载到计算机,但私钥永远不会离开服务器并留在攻击者中。这是受害者支付获得访问权限的关键。
在安装勒索瓶安装后,在Internet上到达服务器的问题是它为攻击者创建了薄弱的链接。例如,如果服务器由安全公司已知并被防火墙阻止,则加密过程不会启动。
一些赎金软件程序可以执行所谓的离线加密,但它们使用与所有受害者的恶意软件相同的RSA公钥。这种攻击者方法的缺点是给予一个受害者的解密器工具将为所有受害者工作,因为它们也共享相同的私钥。
根据安全公司EMSISOFT的研究人员,Spora创作者已经解决了这个问题.Mocsisoft的研究人员分析了该计划的加密程序。
恶意软件确实包含一个硬编码的RSA公钥,但这用于加密为每个受害者提供本地生成的唯一AES密钥。然后,此AES密钥用于从公共私有RSA密钥对中加密私钥,该对每个受害者也是本地生成和唯一的。最后,受害者的公共RSA密钥用于加密用于加密inpidual文件的AES键。
换句话说,Spora创建者已经向现在添加了另一个赎金软件程序的第二轮AES和RSA加密。
当受害者想要支付赎金时,他们必须将加密的AES钥匙上传到攻击者“付款网站。然后,攻击者将使用主RSA私钥解密它并将其返回给受害者 - 可能捆绑在解密器工具中。
解密器将使用此AES密钥解密本地生成的受害者的唯一RSA私钥,然后将用于解密恢复文件所需的每文件AES键。
通过这种方式,Spora可以在没有命令和控制服务器的情况下运行,并避免释放为所有受害者工作的主密钥,Emsisoft研究人员在博客文章中表示。“不幸的是,在评估Spora执行加密后,无法恢复加密文件而无需访问恶意软件作者的私钥。”
Spora的其他方面也将其与其他赎金软件操作相结合。例如,其创作者已经实施了一个系统,使他们能够为不同类型的受害者提出不同的赎金。
受害者必须上传在付款网站上的加密密钥文件还包含由恶意软件收集的关于受感染的计算机收集的识别信息,包括唯一的广告系列ID。
这意味着,如果攻击者发起专门针对业务的Spora分销活动,他们将能够判断该活动的受害者何时会尝试使用他们的解密服务。这使他们可以自动调整消费者或组织的赎金金额,甚至是世界各地的受害者。
此外,除了文件解密之外,Spora Gang还提供了单独定价的其他“服务”,例如“免疫力”,这确保了恶意软件不会再次感染计算机,或者“删除”,或者“删除”,也将删除该程序解密文件后。他们还提供完整的包裹,受害者可以购买所有三个价格。
付款网站本身是精心设计的,看起来很专业。它有一个集成的实时聊天功能和折扣的可能性。从Emsisoft研究人员观察到的内容,攻击者迅速响应消息。
所有这一切都指向Spora是一项专业且资金良好的运作。观察到到目前为止所观察的赎金值低于其他团伙的那些,这可能表明该威胁背后的集团想要快速建立自己。
到目前为止,研究人员看到Spora通过流氓电子邮件附件分发,这些附件从俄罗斯和其他俄语国家流行的会计软件计划发票。附件是包含恶意JavaScript代码的.hta(HTML应用程序)文件的形式。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。