安全研究人員發(fā)現(xiàn)了一種新式勒索軟件，該軟件被命名為Spora，能夠進(jìn)行強(qiáng)離線文件解密，贖金支付模式也有了許多創(chuàng)新。

目前為止，該惡意軟件針對(duì)的是俄語(yǔ)用戶，但其作者也開(kāi)發(fā)了英語(yǔ)版的解密門(mén)戶，意味著他們有可能不久之后就將業(yè)務(wù)擴(kuò)張到其他國(guó)家。

Spora吸引安全人員關(guān)注的原因就是，它能夠不通過(guò)C&C服務(wù)器就加密文件，而且每個(gè)受害者的解密密鑰還各不相同。傳統(tǒng)勒索軟件為每個(gè)被加密的文件產(chǎn)生一個(gè)AES密鑰，然后用C&C服務(wù)器產(chǎn)生的RSA公鑰來(lái)加密這些AES密鑰。

RSA之類的公鑰加密體制，依賴由一個(gè)公鑰和一個(gè)私鑰組成的密鑰對(duì)。被公鑰加密的文件，只能被相對(duì)應(yīng)的私鑰解密。

大多數(shù)勒索軟件都會(huì)在植入后與C&C服務(wù)器聯(lián)系，請(qǐng)求產(chǎn)生RSA密鑰對(duì)。公鑰被下載到受害電腦上，但私鑰是從不離開(kāi)服務(wù)器的，一直在攻擊者的掌控之中。這個(gè)私鑰，就是受害者得支付贖金獲取的了。

勒索軟件在安裝后與互聯(lián)網(wǎng)上的服務(wù)器通信的問(wèn)題在于：它給攻擊者創(chuàng)建的是弱連接。比如說(shuō)，如果服務(wù)器被安全公司檢測(cè)到，防火墻封鎖了該服務(wù)器，加密過(guò)程就無(wú)法啟動(dòng)了。

有些勒索軟件能進(jìn)行所謂的離線加密，但是他們對(duì)所有受害者都用同一個(gè)硬編碼到惡意軟件里的RSA公鑰。這種方式給攻擊者帶來(lái)的不利之處在于：交給其中一個(gè)受害者的解密工具，對(duì)所有受害者都有效——因?yàn)樗麄円补蚕硗粋€(gè)私鑰。

Spora的創(chuàng)造者解決了這個(gè)問(wèn)題！

該惡意軟件確實(shí)包含有硬編碼的RSA公鑰，但只是用來(lái)加密每個(gè)受害者本機(jī)產(chǎn)生的唯一AES密鑰的。該AES密鑰又用于加密同樣是受害者本機(jī)生成的唯一RSA公私密鑰對(duì)中的私鑰。最后，受害者RSA公鑰被用于加密單個(gè)文件加密所用的AES密鑰。

換句話說(shuō)，Spora的創(chuàng)造者在其他勒索軟件的基礎(chǔ)上，又再加了一輪AES和RSA加密。

如果受害者想付贖金，必須將他們那些被加密的AES密鑰，上傳到攻擊者的支付網(wǎng)站。攻擊者再用他們的主RSA私鑰解密之，并連同解密工具一并返還給受害者。

解密器就用該AES密鑰，來(lái)解密受害者本機(jī)產(chǎn)生的唯一RSA私鑰，再用這私鑰解密恢復(fù)每個(gè)文件所需的AES密鑰。

通過(guò)這種方式，Spora可以不用到C&C服務(wù)器就完成加解密，避免了主密鑰的泄露。

經(jīng)過(guò)評(píng)估，Spora操作加解密的方法，如果沒(méi)有該惡意軟件作者的私鑰，是無(wú)法恢復(fù)被加密的文件的。

Spora的其他方面也突出于別的勒索軟件。比如說(shuō)，它實(shí)現(xiàn)了一套系統(tǒng)，可以針對(duì)不同類型的受害者索要不同的贖金。

受害者不得不上傳到贖金支付網(wǎng)站的密鑰文件中，也包含有被感染計(jì)算機(jī)上收集來(lái)的身份標(biāo)識(shí)信息，比如唯一的勒索行動(dòng)編號(hào)。

這意味著，如果攻擊者針對(duì)公司企業(yè)發(fā)起Spora勒索行動(dòng)，他們可以知道該次行動(dòng)的受害者什么時(shí)候?qū)?huì)嘗試他們的解密服務(wù)。這樣一來(lái)，他們就可以自動(dòng)調(diào)整為消費(fèi)者、公司，甚至全球不同地區(qū)的受害者應(yīng)支付的贖金額度。

而且，除了文件解密，Spora團(tuán)伙還提供其他單獨(dú)定價(jià)的服務(wù)。比如，“免疫”——確保該惡意軟件不再感染某計(jì)算機(jī)；或者“清除”——解密文件后將惡意軟件卸載。打包價(jià)也是有的，比單獨(dú)購(gòu)買(mǎi)3種服務(wù)便宜些。

贖金支付網(wǎng)站本身也設(shè)計(jì)得十分專業(yè)。它有一個(gè)集成的實(shí)時(shí)聊天功能，還有拿到折扣的可能性。據(jù)觀察，攻擊者幾乎是秒回聊天消息。

所有這些都表明：Spora是個(gè)專業(yè)的資金充盈的勒索軟件運(yùn)營(yíng)活動(dòng)。目前為止，Spora索要的贖金額度比其他勒索軟件都要少，有可能是其背后的團(tuán)伙想要快速樹(shù)立自己的品牌。

Spora通過(guò)流氓電子郵件附件傳播，附件偽裝成俄語(yǔ)國(guó)家常用會(huì)計(jì)軟件的發(fā)票，后綴名為.HTA (HTML應(yīng)用)，包含有惡意JavaScript代碼。