用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



某公司服务器中了.Spora后缀勒索病毒,数据库成功修复

2020-11-12 17:40:40 13655 编辑:91数据恢复专家 来源:本站原创

什么是.Spora勒索病毒?

名称 Spora勒索病毒
威胁类型 勒索软件,加密病毒,文件柜
病征 无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名,例如my.docx.locked。要求赎金的消息显示在您的桌面上。网络犯罪分子要求支付赎金(通常以比特币支付)以解锁您的文件。
分配方式 受感染的电子邮件附件(宏),洪流网站,恶意广告。
损伤 所有文件都是加密的,未经勒索无法打开。可以将其他密码窃取木马和恶意软件感染与勒
 VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
Spora是一种勒索软件类型的病毒,通过垃圾邮件(恶意附件)分发。每个恶意电子邮件都包含一个HTA文件,该文件一旦执行便会提取Javascript文件(“closed.js”),并将其放置在系统的“%Temp%”文件夹中。Javascript文件提取具有随机名称的可执行文件并运行它。然后,可执行文件开始使用RSA加密对文件进行加密。请注意,与其他勒索软件类型的病毒不同,Spora不会重命名加密的文件。前面提到的HTA文件还提取DOCX文件。该文件已损坏,因此一旦打开将显示错误。这样做是为了欺骗受害者,使他们认为电子邮件附件的下载失败。成功加密后,Spora会生成一个.html.KEY文件(均使用随机字符命名),将它们放置在所有包含加密文件的文件夹中。Spora对开发人员 的主要优势之一是脱机工作的能力(无需Internet连接)。如上所述,使用RSA(非对称加密算法)对文件进行加密,因此,在加密过程中会生成公用(加密)和专用(解密)密钥。没有私钥的解密是不可能的。此外,私钥还使用AES加密技术进行加密,从而使情况更加糟糕。除加密文件外,Spora还禁用Windows启动修复,删除卷影副本,并更改BootStatusPolicy。HTML文件包含俄语的勒索消息,该消息详细说明了加密并鼓励受害者遵循Spora网站上提供的说明。要还原文件,受害者必须支付赎金。赎金的大小取决于每个人的情况和受害者的要求。完全解密(包括免疫,删除和文件还原)大约在$ 79到$ 280之间,但是,受害者可能会选择仅还原文件,删除文件或获得免疫。在这些情况下,价格会降低。还允许受害者免费解密两个文件。赎金必须以比特币支付,受害者必须有有限的时间(在Spora网站上有最后期限)才能付款,否则解密密钥将被永久删除。与其他相同类型的病毒相比,Spora的网站先进。它为每个受害者提供一个包含比特币钱包的帐户。它还具有解密,事务处理,联系开发人员等功能。VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

Spora勒索病毒是如何传播感染的?

目前,Spora主要通过伪装成1C发票的电子邮件来锁定俄罗斯用户,1C是俄罗斯和许多前苏联国家的流行会计软件。当前显示的文件名为“Скан-копия_ 10января2017г”。Составленоиподписаноглавнымбухгалтером。Скспортиз1С.a01e743_рdf.hta”将其翻译为“扫描副本_ 2017年1月10日”。由总会计师签署。从1C.a01e743_pdf.hta导出”。它使用双重扩展名,试图诱使用户相信这只是另一个PDF发票,而实际上它是HTA文件。HTA文件 是所谓的HTML应用程序。HTML应用程序的想法实质上是允许任何人使用HTML和各种脚本语言编写桌面应用程序。考虑一下您的浏览器,但没有阻止网站更改系统上任何内容的安全机制。Windows上的HTML应用程序支持的两种脚本语言是 JScript 和 VBScript,它们都在Spora中使用。VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

如何保护自己免受Spora勒索病毒感染?

如我们的勒索软件文章所述,最好的保护仍然是可靠且行之有效的备份策略,特别是因为Spora使用的加密是安全的,并且取回数据的唯一方法是通过勒索软件作者的帮助。除了定期备份外,您会很高兴听到Emsisoft Anti-Malware和Emsisoft Internet Security使用的行为阻止技术被证明是下一个最佳防御,因为它在文件执行之前就已经捕获了勒索软件,因此再次使我们的用户免受此攻击以及其他数百个勒索软件系列的攻击,而无需签名。VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

中了.Spora文件后缀的家族勒索病毒文件怎么恢复?

此后缀文件的修复成功率大概在90%~99%之间。VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
2.如果文件急需,可以添加91数据恢复服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案
VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

预防勒索病毒-日常防护建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;VvU91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:133-188-44580 166-6622-5144

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2