安全研究人員發(fā)現(xiàn)了一種新式勒索軟件,該軟件被命名為Spora,能夠進行強離線文件解密,贖金支付模式也有了許多創(chuàng)新。
目前為止,該惡意軟件針對的是俄語用戶,但其作者也開發(fā)了英語版的解密門戶,意味著他們有可能不久之后就將業(yè)務(wù)擴張到其他國家。
Spora吸引安全人員關(guān)注的原因就是,它能夠不通過C&C服務(wù)器就加密文件,而且每個受害者的解密密鑰還各不相同。傳統(tǒng)勒索軟件為每個被加密的文件產(chǎn)生一個AES密鑰,然后用C&C服務(wù)器產(chǎn)生的RSA公鑰來加密這些AES密鑰。
RSA之類的公鑰加密體制,依賴由一個公鑰和一個私鑰組成的密鑰對。被公鑰加密的文件,只能被相對應(yīng)的私鑰解密。
大多數(shù)勒索軟件都會在植入后與C&C服務(wù)器聯(lián)系,請求產(chǎn)生RSA密鑰對。公鑰被下載到受害電腦上,但私鑰是從不離開服務(wù)器的,一直在攻擊者的掌控之中。這個私鑰,就是受害者得支付贖金獲取的了。
勒索軟件在安裝后與互聯(lián)網(wǎng)上的服務(wù)器通信的問題在于:它給攻擊者創(chuàng)建的是弱連接。比如說,如果服務(wù)器被安全公司檢測到,防火墻封鎖了該服務(wù)器,加密過程就無法啟動了。
有些勒索軟件能進行所謂的離線加密,但是他們對所有受害者都用同一個硬編碼到惡意軟件里的RSA公鑰。這種方式給攻擊者帶來的不利之處在于:交給其中一個受害者的解密工具,對所有受害者都有效——因為他們也共享同一個私鑰。
Spora的創(chuàng)造者解決了這個問題!
該惡意軟件確實包含有硬編碼的RSA公鑰,但只是用來加密每個受害者本機產(chǎn)生的唯一AES密鑰的。該AES密鑰又用于加密同樣是受害者本機生成的唯一RSA公私密鑰對中的私鑰。最后,受害者RSA公鑰被用于加密單個文件加密所用的AES密鑰。
換句話說,Spora的創(chuàng)造者在其他勒索軟件的基礎(chǔ)上,又再加了一輪AES和RSA加密。
如果受害者想付贖金,必須將他們那些被加密的AES密鑰,上傳到攻擊者的支付網(wǎng)站。攻擊者再用他們的主RSA私鑰解密之,并連同解密工具一并返還給受害者。
解密器就用該AES密鑰,來解密受害者本機產(chǎn)生的唯一RSA私鑰,再用這私鑰解密恢復(fù)每個文件所需的AES密鑰。
通過這種方式,Spora可以不用到C&C服務(wù)器就完成加解密,避免了主密鑰的泄露。
經(jīng)過評估,Spora操作加解密的方法,如果沒有該惡意軟件作者的私鑰,是無法恢復(fù)被加密的文件的。
Spora的其他方面也突出于別的勒索軟件。比如說,它實現(xiàn)了一套系統(tǒng),可以針對不同類型的受害者索要不同的贖金。
受害者不得不上傳到贖金支付網(wǎng)站的密鑰文件中,也包含有被感染計算機上收集來的身份標(biāo)識信息,比如唯一的勒索行動編號。
這意味著,如果攻擊者針對公司企業(yè)發(fā)起Spora勒索行動,他們可以知道該次行動的受害者什么時候?qū)L試他們的解密服務(wù)。這樣一來,他們就可以自動調(diào)整為消費者、公司,甚至全球不同地區(qū)的受害者應(yīng)支付的贖金額度。
而且,除了文件解密,Spora團伙還提供其他單獨定價的服務(wù)。比如,“免疫”——確保該惡意軟件不再感染某計算機;或者“清除”——解密文件后將惡意軟件卸載。打包價也是有的,比單獨購買3種服務(wù)便宜些。
贖金支付網(wǎng)站本身也設(shè)計得十分專業(yè)。它有一個集成的實時聊天功能,還有拿到折扣的可能性。據(jù)觀察,攻擊者幾乎是秒回聊天消息。
所有這些都表明:Spora是個專業(yè)的資金充盈的勒索軟件運營活動。目前為止,Spora索要的贖金額度比其他勒索軟件都要少,有可能是其背后的團伙想要快速樹立自己的品牌。
Spora通過流氓電子郵件附件傳播,附件偽裝成俄語國家常用會計軟件的發(fā)票,后綴名為.HTA (HTML應(yīng)用),包含有惡意JavaScript代碼。
京公網(wǎng)安備 11010502049343號