安全研究人員發現了一種新式勒索軟件，該軟件被命名為Spora，能夠進行強離線文件解密，贖金支付模式也有了許多創新。

　　目前為止，該惡意軟件針對的是俄語用戶，但其作者也開發了英語版的解密門戶，意味著他們有可能不久之后就將業務擴張到其他國家。

　　Spora吸引安全人員關注的原因就是，它能夠不通過C&C服務器就加密文件，而且每個受害者的解密密鑰還各不相同。傳統勒索軟件為每個被加密的文件產生一個AES密鑰，然后用C&C服務器產生的RSA公鑰來加密這些AES密鑰。

　　RSA之類的公鑰加密體制，依賴由一個公鑰和一個私鑰組成的密鑰對。被公鑰加密的文件，只能被相對應的私鑰解密。

　　大多數勒索軟件都會在植入后與C&C服務器聯系，請求產生RSA密鑰對。公鑰被下載到受害電腦上，但私鑰是從不離開服務器的，一直在攻擊者的掌控之中。這個私鑰，就是受害者得支付贖金獲取的了。

　　勒索軟件在安裝后與互聯網上的服務器通信的問題在于：它給攻擊者創建的是弱連接。比如說，如果服務器被安全公司檢測到，防火墻封鎖了該服務器，加密過程就無法啟動了。

　　有些勒索軟件能進行所謂的離線加密，但是他們對所有受害者都用同一個硬編碼到惡意軟件里的RSA公鑰。這種方式給攻擊者帶來的不利之處在于：交給其中一個受害者的解密工具，對所有受害者都有效——因為他們也共享同一個私鑰。

　　Spora的創造者解決了這個問題！

　　該惡意軟件確實包含有硬編碼的RSA公鑰，但只是用來加密每個受害者本機產生的唯一AES密鑰的。該AES密鑰又用于加密同樣是受害者本機生成的唯一RSA公私密鑰對中的私鑰。最后，受害者RSA公鑰被用于加密單個文件加密所用的AES密鑰。

　　換句話說，Spora的創造者在其他勒索軟件的基礎上，又再加了一輪AES和RSA加密。

　　如果受害者想付贖金，必須將他們那些被加密的AES密鑰，上傳到攻擊者的支付網站。攻擊者再用他們的主RSA私鑰解密之，并連同解密工具一并返還給受害者。

　　解密器就用該AES密鑰，來解密受害者本機產生的唯一RSA私鑰，再用這私鑰解密恢復每個文件所需的AES密鑰。

　　通過這種方式，Spora可以不用到C&C服務器就完成加解密，避免了主密鑰的泄露。

　　經過評估，Spora操作加解密的方法，如果沒有該惡意軟件作者的私鑰，是無法恢復被加密的文件的。

　　Spora的其他方面也突出于別的勒索軟件。比如說，它實現了一套系統，可以針對不同類型的受害者索要不同的贖金。

　　受害者不得不上傳到贖金支付網站的密鑰文件中，也包含有被感染計算機上收集來的身份標識信息，比如唯一的勒索行動編號。

　　這意味著，如果攻擊者針對公司企業發起Spora勒索行動，他們可以知道該次行動的受害者什么時候將會嘗試他們的解密服務。這樣一來，他們就可以自動調整為消費者、公司，甚至全球不同地區的受害者應支付的贖金額度。

　　而且，除了文件解密，Spora團伙還提供其他單獨定價的服務。比如，“免疫”——確保該惡意軟件不再感染某計算機；或者“清除”——解密文件后將惡意軟件卸載。打包價也是有的，比單獨購買3種服務便宜些。

　　贖金支付網站本身也設計得十分專業。它有一個集成的實時聊天功能，還有拿到折扣的可能性。據觀察，攻擊者幾乎是秒回聊天消息。

　　所有這些都表明：Spora是個專業的資金充盈的勒索軟件運營活動。目前為止，Spora索要的贖金額度比其他勒索軟件都要少，有可能是其背后的團伙想要快速樹立自己的品牌。

　　Spora通過流氓電子郵件附件傳播，附件偽裝成俄語國家常用會計軟件的發票，后綴名為.HTA (HTML應用)，包含有惡意JavaScript代碼。

責任編輯：韓希宇