本文讲的是无需连接命令控制服务器的Spora 有可能成为勒索软件之王,安全研究人员发现了一种新式勒索软件,该软件被命名为Spora,能够进行强离线文件解密,赎金支付模式也有了许多创新。
目前为止,该恶意软件针对的是俄语用户,但其作者也开发了英语版的解密门户,意味着他们有可能不久之后就将业务扩张到其他国家。
Spora吸引安全人员关注的原因就是,它能够不通过C&C服务器就加密文件,而且每个受害者的解密密钥还各不相同。传统勒索软件为每个被加密的文件产生一个AES密钥,然后用C&C服务器产生的RSA公钥来加密这些AES密钥。
RSA之类的公钥加密体制,依赖由一个公钥和一个私钥组成的密钥对。被公钥加密的文件,只能被相对应的私钥解密。
大多数勒索软件都会在植入后与C&C服务器联系,请求产生RSA密钥对。公钥被下载到受害电脑上,但私钥是从不离开服务器的,一直在攻击者的掌控之中。这个私钥,就是受害者得支付赎金获取的了。
勒索软件在安装后与互联网上的服务器通信的问题在于:它给攻击者创建的是弱连接。比如说,如果服务器被安全公司检测到,防火墙封锁了该服务器,加密过程就无法启动了。
有些勒索软件能进行所谓的离线加密,但是他们对所有受害者都用同一个硬编码到恶意软件里的RSA公钥。这种方式给攻击者带来的不利之处在于:交给其中一个受害者的解密工具,对所有受害者都有效——因为他们也共享同一个私钥。
Spora的创造者解决了这个问题!
该恶意软件确实包含有硬编码的RSA公钥,但只是用来加密每个受害者本机产生的唯一AES密钥的。该AES密钥又用于加密同样是受害者本机生成的唯一RSA公私密钥对中的私钥。最后,受害者RSA公钥被用于加密单个文件加密所用的AES密钥。
换句话说,Spora的创造者在其他勒索软件的基础上,又再加了一轮AES和RSA加密。
如果受害者想付赎金,必须将他们那些被加密的AES密钥,上传到攻击者的支付网站。攻击者再用他们的主RSA私钥解密之,并连同解密工具一并返还给受害者。
解密器就用该AES密钥,来解密受害者本机产生的唯一RSA私钥,再用这私钥解密恢复每个文件所需的AES密钥。
通过这种方式,Spora可以不用到C&C服务器就完成加解密,避免了主密钥的泄露。
经过评估,Spora操作加解密的方法,如果没有该恶意软件作者的私钥,是无法恢复被加密的文件的。
Spora的其他方面也突出于别的勒索软件。比如说,它实现了一套系统,可以针对不同类型的受害者索要不同的赎金。
受害者不得不上传到赎金支付网站的密钥文件中,也包含有被感染计算机上收集来的身份标识信息,比如唯一的勒索行动编号。
这意味着,如果攻击者针对公司企业发起Spora勒索行动,他们可以知道该次行动的受害者什么时候将会尝试他们的解密服务。这样一来,他们就可以自动调整为消费者、公司,甚至全球不同地区的受害者应支付的赎金额度。
而且,除了文件解密,Spora团伙还提供其他单独定价的服务。比如,“免疫”——确保该恶意软件不再感染某计算机;或者“清除”——解密文件后将恶意软件卸载。打包价也是有的,比单独购买3种服务便宜些。
赎金支付网站本身也设计得十分专业。它有一个集成的实时聊天功能,还有拿到折扣的可能性。据观察,攻击者几乎是秒回聊天消息。
所有这些都表明:Spora是个专业的资金充盈的勒索软件运营活动。目前为止,Spora索要的赎金额度比其他勒索软件都要少,有可能是其背后的团伙想要快速树立自己的品牌。
Spora通过流氓电子邮件附件传播,附件伪装成俄语国家常用会计软件的发票,后缀名为.HTA (HTML应用),包含有恶意JavaScript代码。