无需连接命令控制服务器的Spora 有可能成为勒索软件之王

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是无需连接命令控制服务器的Spora 有可能成为勒索软件之王,安全研究人员发现了一种新式勒索软件,该软件被命名为Spora,能够进行强离线文件解密,赎金支付模式也有了许多创新。

本文讲的是无需连接命令控制服务器的Spora 有可能成为勒索软件之王,安全研究人员发现了一种新式勒索软件,该软件被命名为Spora,能够进行强离线文件解密,赎金支付模式也有了许多创新。

目前为止,该恶意软件针对的是俄语用户,但其作者也开发了英语版的解密门户,意味着他们有可能不久之后就将业务扩张到其他国家。

image

Spora吸引安全人员关注的原因就是,它能够不通过C&C服务器就加密文件,而且每个受害者的解密密钥还各不相同。传统勒索软件为每个被加密的文件产生一个AES密钥,然后用C&C服务器产生的RSA公钥来加密这些AES密钥。

RSA之类的公钥加密体制,依赖由一个公钥和一个私钥组成的密钥对。被公钥加密的文件,只能被相对应的私钥解密。

大多数勒索软件都会在植入后与C&C服务器联系,请求产生RSA密钥对。公钥被下载到受害电脑上,但私钥是从不离开服务器的,一直在攻击者的掌控之中。这个私钥,就是受害者得支付赎金获取的了。

勒索软件在安装后与互联网上的服务器通信的问题在于:它给攻击者创建的是弱连接。比如说,如果服务器被安全公司检测到,防火墙封锁了该服务器,加密过程就无法启动了。

有些勒索软件能进行所谓的离线加密,但是他们对所有受害者都用同一个硬编码到恶意软件里的RSA公钥。这种方式给攻击者带来的不利之处在于:交给其中一个受害者的解密工具,对所有受害者都有效——因为他们也共享同一个私钥。

Spora的创造者解决了这个问题!

该恶意软件确实包含有硬编码的RSA公钥,但只是用来加密每个受害者本机产生的唯一AES密钥的。该AES密钥又用于加密同样是受害者本机生成的唯一RSA公私密钥对中的私钥。最后,受害者RSA公钥被用于加密单个文件加密所用的AES密钥。

换句话说,Spora的创造者在其他勒索软件的基础上,又再加了一轮AES和RSA加密。

如果受害者想付赎金,必须将他们那些被加密的AES密钥,上传到攻击者的支付网站。攻击者再用他们的主RSA私钥解密之,并连同解密工具一并返还给受害者。

解密器就用该AES密钥,来解密受害者本机产生的唯一RSA私钥,再用这私钥解密恢复每个文件所需的AES密钥。

通过这种方式,Spora可以不用到C&C服务器就完成加解密,避免了主密钥的泄露。

经过评估,Spora操作加解密的方法,如果没有该恶意软件作者的私钥,是无法恢复被加密的文件的。

Spora的其他方面也突出于别的勒索软件。比如说,它实现了一套系统,可以针对不同类型的受害者索要不同的赎金。

受害者不得不上传到赎金支付网站的密钥文件中,也包含有被感染计算机上收集来的身份标识信息,比如唯一的勒索行动编号。

这意味着,如果攻击者针对公司企业发起Spora勒索行动,他们可以知道该次行动的受害者什么时候将会尝试他们的解密服务。这样一来,他们就可以自动调整为消费者、公司,甚至全球不同地区的受害者应支付的赎金额度。

而且,除了文件解密,Spora团伙还提供其他单独定价的服务。比如,“免疫”——确保该恶意软件不再感染某计算机;或者“清除”——解密文件后将恶意软件卸载。打包价也是有的,比单独购买3种服务便宜些。

赎金支付网站本身也设计得十分专业。它有一个集成的实时聊天功能,还有拿到折扣的可能性。据观察,攻击者几乎是秒回聊天消息。

所有这些都表明:Spora是个专业的资金充盈的勒索软件运营活动。目前为止,Spora索要的赎金额度比其他勒索软件都要少,有可能是其背后的团伙想要快速树立自己的品牌。

Spora通过流氓电子邮件附件传播,附件伪装成俄语国家常用会计软件的发票,后缀名为.HTA (HTML应用),包含有恶意JavaScript代码。

原文发布时间为:一月 16, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/22308.html

相关文章
|
26天前
|
监控 Linux Shell
|
1月前
|
存储 安全 数据可视化
提升网络安全防御有效性,服务器DDoS防御软件解读
提升网络安全防御有效性,服务器DDoS防御软件解读
44 1
提升网络安全防御有效性,服务器DDoS防御软件解读
|
20天前
|
存储 Prometheus 监控
服务器监控软件Prometheus
【10月更文挑战第19天】
41 6
|
20天前
|
监控 数据可视化 BI
服务器监控软件Zabbix
【10月更文挑战第19天】
32 6
|
20天前
|
运维 监控 数据可视化
服务器监控软件Grafana
【10月更文挑战第19天】
23 4
|
20天前
|
运维 监控 Unix
服务器监控软件Nagios
【10月更文挑战第19天】
39 2
|
21天前
|
Prometheus 监控 Cloud Native
服务器监控软件
【10月更文挑战第18天】
23 1
|
1月前
|
IDE 网络安全 开发工具
IDE之vscode:连接远程服务器代码(亲测OK),与pycharm链接服务器做对比(亲自使用过了),打开文件夹后切换文件夹。
本文介绍了如何使用VS Code通过Remote-SSH插件连接远程服务器进行代码开发,并与PyCharm进行了对比。作者认为VS Code在连接和配置多个服务器时更为简单,推荐使用VS Code。文章详细说明了VS Code的安装、远程插件安装、SSH配置文件编写、服务器连接以及如何在连接后切换文件夹。此外,还提供了使用密钥进行免密登录的方法和解决权限问题的步骤。
423 0
IDE之vscode:连接远程服务器代码(亲测OK),与pycharm链接服务器做对比(亲自使用过了),打开文件夹后切换文件夹。
|
1月前
|
Apache 数据中心 Windows
将网站迁移到阿里云Windows系统云服务器,访问该站点提示连接被拒绝,如何处理?
将网站迁移到阿里云Windows系统云服务器,访问该站点提示连接被拒绝,如何处理?
|
1月前
|
弹性计算 安全 Windows
通过远程桌面连接Windows服务器提示“由于协议错误,会话将被中断,请重新连接到远程计算机”错误怎么办?
通过远程桌面连接Windows服务器提示“由于协议错误,会话将被中断,请重新连接到远程计算机”错误怎么办?