Spora 勒索软件病毒. 如何移除? (卸载指南)

加布里埃·豪尔 评价 - - | 类型:勒索软件
12

Spora 勒索软件把目标瞄向世界各地的计算机用户

Spora 病毒似乎将成为勒索软件世界的下一个大玩家。至目前为止,恶意软件的分析人员把它称为“至今最复杂的勒索软件”。第一次被发现于 1 月 10 日,Spora 勒索软件以加密数据的木马程序 出现,当时它只以俄语与受害者沟通。然而,在操作几个星期后,它就开始在整个互联网走动。令人惊讶的是,这个恶意程序使用了完全不同以及非常复杂的加密计算法,而且似乎已经免疫。

很明显的,病毒通过创建 RSA 密钥,然后使用一个新生成的 AES 密钥来加密它,以此创建 .KEY 文件的内容。此外,它也使用被加入病毒可执行文件里的公钥来加密 AES 密钥,最后再将它们都保存在 .KEY 里。这个恶意软件的加密过程比较没这么复杂:它们是被一个已被 RSA 密码加密的 AES 密钥加密的(不幸的是,对于 Spora 勒索软件移除,我们无法这么说)。这个病毒目前的目标只是 23 个文件扩展名字:

.backup, .xlsx, .docx, .rtf, .dwg, .cdr, .cd, .mdb, .1cd, .odt, .pdf, .psd, .dbf, .doc, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .xls.

具有以上这些扩展名字的文件将被一个长加密密钥(公钥)加密,该私钥将会被发送到犯罪分子的远程伺服器,并保存在那儿直到受害者同意支付赎金。

勒索字条提供了如何转移款项的指示,该字条通常是保存在桌面上。 一般来说,这些指示会把用户带到一个含有更多指示的网站—— Spora 赎金的付款网站。让人感到惊奇的是这个勒索软件的创建者在这些付款网上展示了他们卓越的编码技巧。

此外, 他们的用户支援让经验最丰富的安全专家都感到惊讶。付款网站的数量已经迅速增加,现在你可以找到 10 个用来收集非法赎金的网站,包括 spora[.]bz、spora[.]one、spora[.]hk 等等.

这个付款网站  不同于典型的勒索软件病毒所指向的网站,因为它为受害者提供了很多选项——你可以用 $20 移除 Spora 病毒、$30 还原文件,甚至支付 $50 以在表面上对勒索软件攻击免疫。然而,如果受害者想要完整的还原配套,他必须支付 $79。请记住,病毒可能会对不同的受害者要求更高或较低的赎金。事实上,这样广泛的选择将“免费增值”模式提升到一个新的水平。

你可能已经听说过传统的勒索软件,包括 Cerber 勒索软件会建议在一个或两个已被加密的小文件上试用,以证明该解密工具是存在的,只是被保存在骗子秘密的伺服器而已,但是这个新的病毒将整个赎金的价格分为几个部分,为受害者提供单独的服务。病毒创建者只收取以比特币 支付的款项。该付款网站于 1 月 16 日已经提升,加入了“帮助”页面。该网站也提供了公众的通信窗口、已经完成的交易表,以及其他一些细节,这些都以用户友好的介面 呈现。

无论如何,该恶意软件肯定不是友善的,因为它只想从受害者骗取金钱 。为了取得该解密密钥,受害者被要求支付赎金,并将 .KEY 文件通过付款网站发送给骗子。如果你已经被这个病毒攻击,请确保你即刻将它删除。高度建议使用类如 ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus 的工具以成功移除 Spora。

我是如何感染 Spora 的?

Spora 勒索软件目前通过带有受感染 HTA 文件的恶意电邮活动传播,这些令人厌恶的文件有双重扩展,比如 PDF.HTA,而真正的扩展被隐藏着,以让受害者认为 .DOC 是真正的扩展。让我们提醒你,HTA 文件是 HTML 可执行文件格式,因此当受害者打开它时,它会将 close.js JavaScript 文件下载到名为 %Temp% 的系统文件夹。

同时,感染通过提取可执行文件并打开它以自我激活。这个可执行文件是负责数据加密过程的主文件。同时,HTA 文件会打开一个显示错误讯息的 DOCX 文件,声称文件无法打开。当受害者注意这个可疑的错误时,勒索软件就加密了系统中的所有文件。

Malspam 是目前用来分布 Spora 的主要技巧。起初,这个威胁只用俄语,该误导性的电邮使用了这个主题: Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta. (英文:”The copy of scan _ 10 Jan 2017. Written and signed by the chief accountant”,中文:“扫描的副本_2017年 1 月 10 日。

由总会计师编写及签名。”). 然而,你应该记住的是这个勒索软件不断在变化,它肯定会使用不同的主题行。当然,不同的恶意软件会使用不同的技巧,比如漏洞攻击包、木马程序、钓鱼网站等等也是在预料之内的。我们劝你在网上浏览及访问可疑网站时要非常小心。如果你不想被骗安装可疑的软件或恶意软件更新,你最好不要从你从没访问过的网站安装任何程序。

Spora 勒索软件移除

如果你使用可信的反恶意软件,你可以轻易移除 Spora 病毒。然而,重要的是该反恶意软件的开发者在背后做了些什么,因此如果你没持有这种软件,我们建议你安装 Reimage。如果你想要使用不同的程序,你可以在“软件”部阅读软件的详细综述后轻易地选取一个。

请记住你正在面对的是勒索软件类型的病毒,在你尝试从系统将它移除时,它可能会尝试封锁你的反间谍软件和抗毒软件。如果你正面对这些问题,我们建议你在启动反间谍软件之前,试试重新开启你的计算机至“带有网络的安全模式”。如果这个选项无法操作,请在“系统还原”方法的协助下继续 Spora 勒索软件的移除。

我们可能会与我们所建议在网站上的任何产品结合。我们的使用协议里含有充分的详情。 通过下载任何所提供的反间谍软件的软件以移除Spora 勒索软件病毒,您同意遵守我们的隐私政策以及使用协议
现在就行动!
下载
Reimage (移除工具) 快乐
保证
下载
Reimage (移除工具) 快乐
保证
Microsoft Windows兼容 OS X兼容
如果失败了,该怎么办呢?
如果 Reimage 无法帮你移除感染,提交问题 我们的支援团队,并尽量提供详细信息。
建议使用 Reimage 来卸载 Spora 勒索软件病毒。 免费的扫描程序可以让你查看你的计算机是否受到感染。如果你需要移除恶意软件,你必须购买恶意软件移除工具 Reimage 的许可版。

欲获取更多有关这个程序的信息,请参考 Reimage 评价

欲获取更多有关这个程序的信息,请参考 Reimage 评价
提及 Reimage 的媒体
提及 Reimage 的媒体

手动Spora病毒移除指南:

使用 Safe Mode with Networking 来移除 Spora

Reimage 是一个检测恶意软件的工具。
你必须购买其正版以移除感染。
更多有关 Reimage

勒索软件病毒是非常难以移除的,因为通常它们会修改 Windows 注册表、以恶意文件弄乱系统,以及时常置放额外的恶意软件。如果你的反间谍软件程序被 Spora 病毒封锁了,请执行以下的步骤,并在扫描之前,重新开启你的计算机至“带有网络的安全模式”。当你在安全模式完成扫描过程后,你应该在正常模式里重复这些步骤。

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Networking

    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Safe Mode with Networking 选择 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking 选择 'Enable Safe Mode with Networking'
  • 步骤2: 移除 Spora

    请使用你那个已受感染的账户登录并打开网页浏览器。下载 Reimage 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个Spora 的移除过程。

如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。

使用 System Restore 来移除 Spora

Reimage 是一个检测恶意软件的工具。
你必须购买其正版以移除感染。
更多有关 Reimage

如果你无法重新开启至“带有网络的安全模式”,你可以尝试“系统还原”选项来封锁病毒。然后,请确保你使用反间谍软件运行完整的系统扫描,因为系统还原并没有消除你计算机上的恶意文件,它只是封锁勒索软件而已。

  • 步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. 点击 Start Shutdown Restart OK.
    2. 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
    3. 从列表中选择 Command Prompt 选择 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
    2. 现在选择 Troubleshoot Advanced options Startup Settings 然后再点击
    3. 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt 选择 'Enable Safe Mode with Command Prompt'
  • 步骤2: 将你的系统文件和设置还原
    1. 一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter输入不带引号的 'cd restore' 然后点击 'Enter'
    2. 现在输入 rstrui.exe 然后再点击 Enter 一次。. 输入不带引号的 'rstrui.exe' 然后点击 'Enter'
    3. 当显示新的窗口时,点击 Next 然后选择在 Spora 渗入之前的还原点,完成后点击 Next当 'System Restore' 窗口显示时,选择 'Next' 选择你的还原点然后点击 'Next'
    4. 现在请点击 Yes 以启动系统还原。 点击 'Yes' 并启动系统还原
    一旦你将系统还原到上一个日期,请下载 Reimage 然后使用它来扫描你的计算机,并确保 Spora 成功完整移除。

额外指示:恢复你的数据

以上的指南将帮你从你的计算机移除 Spora。欲恢复被加密的文件,我们建议使用由 wubingdu.cn 安全专家准备的详细指南。

有一些数据复原方法可能可以帮你还原丢失的文件,你可以在下方找到这些方法。

如果你的文件已被 Spora 加密,你可以使用几个方法来将它们还原:

Data Recovery Pro

Data Recovery Pro 可以帮你还原一些你丢失的文件,因此不要错失良机,请尝试:

以 ShadowExplorer 找出丢失的数据

如果最新的版本损坏了,ShadowExplorer 可以帮你找到之前保存的副本。这是如何找到被加密文件之前版本的快速教程:

  • 下载 Shadow Explorer (http://shadowexplorer.com/);
  • 按照 Shadow Explorer 安装向导然后将这个应用程序安装在你的计算机;
  • 启动程序然后移到左上角的下拉菜单并选择被加密数据的硬盘,查看那儿有些什么文件夹;
  • 右键点击你想要还原的文件夹然后选择 “Export”,你也可以选择你要将它储存的地方。

目前尚未有 Spora 勒索软件的解密软件。

最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止Spora 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirusMalwarebytes Anti Malware

关于作者

Gabriel E. Hall
Gabriel E. Hall

如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。

关于作者的更多信息

来源:http://www.2-spyware.com/remove-spora-ransomware-virus.html

其他语言的移除指南