Gennaio si rotolava lentamente dall’altro lato come farebbe un gigante orso in letargo quando i ricercatori per a sicurezza hanno rilevato uno degli esemplari di ransomware più complicati del 2017. Spora crypto-virus è un losca infezioni, chiaramente costruita da professionisti che hanno messo tutti i loro sforzi e sudore in questo progetto. Viene distribuito tramite una campagna di lettere di spam malevole rivolte principalmente agli utenti russi: sono loro le vittime designate per questo esemplare. Sebbene sfrutti la stessa strategia di altri predecessori appartenenti alla categoria dei ransomware, questo virus si erge per il suo complesso processo di codificazione e il sito di decodificazione/pagamento ben progettato. E’ differente dagli altri anche perché non rovina o allega alter estensioni agli eseguibili che codifica con gli algoritmi. Ogni vittima infettata viene contrassegnata con un numero ID che dovrà essere utilizzato sul sito Spora.bz per effettuare il login. Probabilmente gli hacker hanno ritenuto che costruire un dominio non convenzionale per la decodifica/pagamento avrebbe portato a maggiori probabilità di ricezione delle somme richieste. Il numero ID che andrai a digitare nel campo del login leggerà automaticamente tutti i dettagli della tua infezioni: la cosa più importante riguarderà il numero di file cifrati. Per maggior informazioni continua a leggere questo articolo.
Maggiori dettagli su Spora virus e la sua unicità
Nella nostra esperienze e in anni in cui produciamo articoli sulle infezioni informatiche, abbiamo incontrato molte infezioni. Oggigiorno, qualsiasi aspirante hacker può costruire un semplici ransomware utilizzando codici open source. Comunque sia, ogni tanto dei programmatori dedicati progettano dei capolavori dolorosi da guardare a causa della loro complessità. Spora ransomware è decisamente uno di questi che entra con un BANG, mostrando ai ricercatori per la sicurezza che dovranno impegnarsi per trovare una cura. Questa infezioni si diffonde tramite email, alla quale vengono allegati degli eseguibili che avvieranno i processi di Spora dopo essere stati lanciati. Sorprendentemente il ransomware non mira a molti file, ma colpisce i più popolati presenti in ogni computer. Perché disturbarsi a colpire centinaia di file quando quelli più popolari sono i più presenti nei dispositivi? Spora virus cerca di colpire i documenti Word, i file PDF, file ZIP e RAR etc. Il file .KEY file implementa un processo di codificazione molto complesso. Non scenderemo nel dettaglio. Nonostante ciò, dobbiamo menzionare che una combinazione degli algoritmi RSA e AES vengono sfruttati in questo processo per fare in modo che i ricercatori per a sicurezza abbiano poche probabilità di creare un decodificatore gratuito. Spora virus distrugge anche le copie di volume Shadow per diminuire ulteriormente le possibilità di recuperare i dati.
E’ stato scoperto che questo ransomware opera con tre eseguibili. All’inizio, dopo essere stato avviato, posiziona il file close.js, presumibilmente nella cartella Temp. Dopo di questo, questo file verrà unito ad un altro eseguibile responsabile per il processo di codificazione. Non ha un titolo specifico e può essere diverso per ogni vittima. Il terzo file che può essere assegnato a Spora virus è di tipo .docx, si tratta di un eseguibile che farà partire un messaggio nel quale ti verrà detto che “Word non può aprire il file perché questo formato non combacia con l’estensione del file”
Abbiamo già detto che il sito di pagamento/decodifica di Spora virus è leggermente diverso. Le vittime infette dovranno inserire il loro numero ID per accedere alla versione completa di questo sito. Questo significa che, se non fossi stato compromesso da Spora, non sarai invitato al party del suo sito. Comunque sia, digitare la combinazione dell’ID non sarà abbastanza: dovrai anche aggiungere il file .KEY nel sito. Solo allora il sito sarà in grado di generare i prezzi per la decodifica, basandosi sul numero dei file cifrati. Oltre ad offrirti la decodifica dei file e il ripristino completo del sistema, gli hacker ti offriranno un’altra opportunità. Si potrà acquistare l’immunità da altri ransomware che verranno creati da questi vii programmatori. Questo significa che hanno già in mente di generare altri ransomware in future. Nella foto seguente potrai vedere un esempio di questa malevola lettera (in inglese).
Una strategia così complicate per la cifratura: esiste una qualche possibilità di battere Spora virus?
Conscendo il modo in cui Spora virus sceglie di cifrare i file delle vittime, è molto difficile dire se verrà presto rilasciato un tool per il recupero dei dati. Esemplari complicati come questo possono richiedere molte analisi prima che un decodificatore venga rilasciato. Ti consigliamo di restare calmo e razionale: non farti fregare e pagare gli hacker per la decodificazione. Comunque sia, dovresti ricevere il recupero di 2 file gratuitamente: questi potranno aiutare i ricercatori per la sicurezza a generare uno strumento gratuito. Sebbene il virus miri principalmente agli utenti russi in questo momento, possiamo vederlo saltare rapidamente in altri corsi quando il tempo sarà ottimale. Se stessi cercando dei consigli, possiamo indicarti i due metodi principali per diventare immuni ai ransomware: salvare i tuoi file in dischi di backup e tenerli in altre locazioni sicure. Se venissi infettato, non dovrai preoccuparti del recupero dati dato che sarai in grado di recuperarlo da un’altra fonte.
Tattiche che Spora virus sfrutta per raggiungere i dispositivi computerizzati
I creatori di Spora ransomware inviano email a persone causali con allegai infetti. Eseguendo il file allegato, permetterai al virus di iniziare il suo sporco lavoro. Per questa ragione dovresti tenere sempre pulita la tua casella dagli spam. Nonostante ciò, alcune volte è estremamente difficile capire se si tratta di un messaggio affidabile o di una truffa. Consigliamo quindi di non aprire mai email da fonti sconosciute. Apri gli allegati solo dopo esserti accertato che è sicuro farlo.
Dato che Spora virus cancella le copie di Volume Shadow e utilizza altri trucchetti per complicare la decodificazione dei file, abbiamo poco da offrirti in questo campo. Comunque sia, dovresti eliminare il ransomware non appena possibile. Spyhunter o Malwarebytes sono in grado di aiutarti in questo processo.
Aggiornamento del 24 gennaio 2017. Così come predetto, non ci è voluto molto affinché questo ransomware colpisse popolazioni dislocate in differente posizioni rispetto a quelle indicate come principale. Inizialmente, soltanto le persone proveniente dalla Russia dovevano essere i destinatari principali di queste lettere spam malevole. Inoltre, è stato notato che Spora viene diffuso tramite dei colossi ransomware come Cerber e Locky. Questo non può finire bene: preghiamo di essere particolarmente prudenti dato che non si è ancora a conoscenza di quali paesi verranno aggiunti alla lista di quelli da colpire.
Aggiornamento del 6 febbraio, 2017. Gli esperti della sicurezza hanno notato che il virus Spora ha adottato una nuova strategia per la sua distribuzione. Adesso viene diffuso tramite Google Chrome, quando l’utente richiede di aggiornare il browser. EITest Chrome Font Update è la finestra che presumibilmente verrà introdotto, e che l’utente non dovrebbe accettare di installare.
Aggiornamento del 20 marzo 2017. Grazie alle analisi condotte dai ricercatori per la sicurezza, adesso è molto più semplice riconoscere l’infezione Spora. Inoltre, sembra ce un altro sito sia stato incorporato da questa variante:Torifyme.com.
Come rimuovere Spora virus utilizzando il Ripristino di Sistema?
1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi
Per Windows 7 / Vista/ XP
- Start → Spegni → Riavvia → OK.
- Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
- Scegli la Modalità Provvisoria con Prompt di Comandi.
Per Windows 8 / 10
- Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia.
- Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
- Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.
2. Ripristinare i file di sistema e le impostazioni
- Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
- Successivamente digita rstrui.exe e premi nuovamente invio.
- Clicca “Avanti” nelle finestre che appariranno.
- Seleziona uno dei punti di ripristino disponibili prima che Spora ransomware si sia infiltrato nel tuo sistema e clicca su “Avanti”.
- Per avviare il ripristino di sistema clicca su "Si"
2. Rimozione complete di Spora virus
Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Spyhunter per rimuovere tutti i file malevoli collegati a Spora ransomware.
3. Ripristino dei file corrotti da Spora virus utilizzando le Copie Shadow
Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente Spora ransomware cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.
Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.
a) Versioni precedenti di WindowsClicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Strumenti di Malware rimozione automatica
(Win)
Nota: processo Spyhunter fornisce la rilevazione del parassita come Spora Virus e aiuta a la sua rimozione per libero. prova limitata disponibile, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: processo Combo Cleaner fornisce la rilevazione del parassita come Spora Virus e aiuta a la sua rimozione per libero. prova limitata disponibile,