勒索軟件幾乎每周都會(huì)增加新的“家族成員”,，這類威脅的影響力不斷上升。Emsisoft（奧地利的信息安全公司,，主營業(yè)務(wù)有反惡意軟件,、互聯(lián)網(wǎng)安全、應(yīng)急響應(yīng),、移動(dòng)安全等）的研究員致力于發(fā)現(xiàn)與分析新型威脅,，對(duì)于這個(gè)名為Spora的勒索軟件也不例外。2017年1月10日該勒索軟件首次在ID-Ransomware上被發(fā)現(xiàn),，因其特有的功能以及高水準(zhǔn)的技術(shù)與展示界面引起了我們的注意,。本文不但會(huì)介紹Spora的內(nèi)部工作原理，還將介紹其索取贖金的現(xiàn)代化商業(yè)模式,。

走近Spora

Spora由C語言編寫而成并使用UPX可執(zhí)行打包程序打包,。與大多數(shù)勒索軟件不同，Spora不會(huì)對(duì)其加密的文件進(jìn)行重命名,，因此沒有特定的文件擴(kuò)展名,。感染系統(tǒng)時(shí)，它會(huì)給出一個(gè)精心設(shè)計(jì)的基于HTML的贖金說明和一個(gè).KEY文件,。兩個(gè)文件的基本名稱與勒索軟件分配給每個(gè)用戶的ID相同,。贖金說明是用俄語表示的：

俄語版的贖金說明

譯成英文的贖金說明

點(diǎn)擊你的ID,，系統(tǒng)會(huì)自動(dòng)鏈接到他們的網(wǎng)站：

點(diǎn)擊勒索說明后網(wǎng)站用戶將被重定向

英文版的贖金支付頁面

其中有幾點(diǎn)很快引起了研究人員的注意,。首先,，網(wǎng)站界面的制作十分專業(yè)，美觀程度也很高,；其次,，與其他勒索軟件不同，它要求的贖金相對(duì)較低,。稍后會(huì)解釋原因,。另外，該勒索軟件提供給受害者各種“包”的功能也很有意思,。你可以選擇只恢復(fù)文件,，或者同時(shí)支付刪除勒索軟件并不再受到二次攻擊的額外費(fèi)用。這是Spora勒索軟件所特有的,，以前從來沒有遇到過類似情況,。該網(wǎng)站還設(shè)有一個(gè)聊天框，可以與犯罪分子直接溝通,，雖不是首創(chuàng),，但這種現(xiàn)象也不常見。據(jù)觀察,，犯罪分子的答復(fù)速度也很快,。

Spora勒索軟件是如何威脅用戶的,？

目前,，Spora主要通過郵件欺騙俄羅斯用戶，它把郵件內(nèi)容偽裝成是1C（在俄羅斯和很多前蘇聯(lián)國家中十分流行的會(huì)計(jì)軟件）的發(fā)票,。郵件中能看到的文件名是“Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta”,，翻譯過來的意思是“掃描件_ 2017年1月10日。由總會(huì)計(jì)師簽字,。出自1C.a01e743_pdf.hta”,，這里利用兩個(gè)擴(kuò)展名的方式試圖欺騙用戶這是一個(gè)PDF格式的發(fā)票，但實(shí)際是HTA文件,。

HTA文件即HTML應(yīng)用程序,，它允許任何人都能用HTML和各種腳本語言編寫桌面應(yīng)用程序。就好比你的瀏覽器沒有能夠防止網(wǎng)站篡改系統(tǒng)的安全機(jī)制,。HTML應(yīng)用程序在Windows上支持的兩種腳本語言是JScript和VBScript,，兩者均在Spora中被使用。

當(dāng)用戶雙擊HTA文件時(shí)，它將在％TEMP％中創(chuàng)建一個(gè)名為close.js的新文件,，然后將編碼的腳本寫入該文件,。最后執(zhí)行JScript文件：

HTA下載器的內(nèi)容

JScript是加密的,、模糊化的,，能夠防止利用自定義算法和CryptoJS的檢測(cè)。如果去除模糊化,，你會(huì)發(fā)現(xiàn)一個(gè)BASE64的編碼字符串,，其中包含惡意軟件的可執(zhí)行文件。該腳本的目的是解碼上述字符串并將以下兩個(gè)文件放入用戶的％TEMP％文件夾：

doc_6d518e.docx

81063163ded.exe

JScript dropper會(huì)嘗試打開或執(zhí)行這兩個(gè)文件,，然后退出,。第一個(gè)文件是包含無效數(shù)據(jù)的文檔，會(huì)在用戶打開WordPad或Word時(shí)顯示錯(cuò)誤：

偽造的損壞文件

我們認(rèn)為該步驟的主要目的是轉(zhuǎn)移受害者注意力,，讓他們覺得無法正常打開預(yù)期文檔是因?yàn)樵撐臋n在傳輸時(shí)遭到損壞。損壞的文檔可能不會(huì)讓用戶懷疑剛剛運(yùn)行的是惡意的HTA文件,。第二個(gè)文件是實(shí)際上對(duì)數(shù)據(jù)進(jìn)行加密的勒索軟件,。

Spora密鑰生成與加密

Spora使用的是RSA與AES的混合算法加密受害者數(shù)據(jù)。在某系統(tǒng)上實(shí)現(xiàn)加密需要用到Windows上的CryptoAPI,。惡意軟件編寫者的公共RSA密鑰是嵌入在使用硬編碼AES密鑰的惡意軟件可執(zhí)行程序中的,，當(dāng)Spora進(jìn)入某系統(tǒng)時(shí)，首先查找并解密該公共RSA密鑰,。一旦該密鑰成功導(dǎo)入,，惡意軟件會(huì)創(chuàng)建一個(gè)新的1024位RSA密鑰組，我們將其稱為受害者的RSA密鑰組,，由私鑰和公鑰組成,。該惡意軟件還將生成一個(gè)新的256位的AES密鑰來加密受害者的私人RSA密鑰。一旦受害者的私人RSA密鑰被加密,，惡意軟件編寫者的公共RSA密鑰會(huì)對(duì)新的AES密鑰進(jìn)行加密,。所有密鑰材料和其它相關(guān)信息隨后會(huì)保存在.KEY文件中。

加密系統(tǒng)文件時(shí)Spora首先會(huì)生成一個(gè)新的256位per-file AES密鑰,。該per-file密鑰最多加密文件的前5MB,。完成后，惡意軟件使用受害者的公共RSA密鑰加密該per-file密鑰,，并將加密的per-file密鑰添加到加密文件中,。

這個(gè)過程一開始看起來比較復(fù)雜，但實(shí)際上這種惡意軟件能夠脫離命令和控制服務(wù)器進(jìn)行操作,，避免了惡意軟件感染期間的信息交互過程以及被刪除的風(fēng)險(xiǎn),。這也就意味著Spora能夠在沒有網(wǎng)絡(luò)連接的情況下完成加密活動(dòng)。另外，它也能夠繞過其它勒索軟件的缺點(diǎn),。拿DMA Locker 3舉例,，其惡意軟件編寫者的公鑰直接加密per-file密鑰，這會(huì)導(dǎo)致針對(duì)一個(gè)人的解密器同時(shí)用于同一攻擊行動(dòng)中其他受害者的問題,。

但是,，Spora的加密方式也存在一定問題：如果沒有惡意軟件編寫者的私鑰則無法恢復(fù)加密文件。

告訴我你是誰,，我再告訴你需要支付的金額

前面已經(jīng)提到過,，Spora很多方面都和其它勒索軟件有所不同。他們進(jìn)入系統(tǒng)后的第一項(xiàng)行動(dòng)就是進(jìn)行加密程序,，在當(dāng)今的勒索軟件領(lǐng)域中,，即使是像Cerber這樣有影響力的專業(yè)項(xiàng)目，他們的第一次迭代也存在著持續(xù)的風(fēng)險(xiǎn)性,。另外Spora還有一個(gè)獨(dú)特的定價(jià)模式來確定受害者需要支付的金額,。

如前所述，由勒索軟件創(chuàng)建的.KEY文件不僅存有受害者的RSA私鑰,，還包含一些附加信息：

.KEY文件中未加密內(nèi)容

RSA私鑰部分是即時(shí)可見的，前面討論過其相關(guān)性,，但這里我們要強(qiáng)調(diào)的是后面的附加信息,。 RSA私鑰后面跟著系統(tǒng)感染的發(fā)生日期、受害者的用戶名和受感染系統(tǒng)的所在位置,。下一個(gè)值則是硬編碼標(biāo)識(shí)符,，只要受害者受到的是同一個(gè)我們所分析的Spora樣本的感染，那么他們的硬編碼標(biāo)識(shí)符均相同,。Spora編寫者將這些信息作為攻擊行動(dòng)的ID,，以此來跟蹤不同攻擊行動(dòng)的效益并向行動(dòng)發(fā)起者支付一定利潤，這表明Spora的運(yùn)營模式是勒索軟件即服務(wù)的形式,。

以下六個(gè)數(shù)值特別有趣,。選擇要加密的目標(biāo)時(shí),，Spora將根據(jù)其文件擴(kuò)展名分為六大類：

這些統(tǒng)計(jì)信息會(huì)作為六個(gè)數(shù)值的一部分包含在.KEY文件中，用于確定惡意軟件編寫者的勒索金額,。發(fā)起針對(duì)性攻擊之前,，我們已經(jīng)通過RDP看到了某些特定受害者的贖金價(jià)位。加密前攻擊者都會(huì)根據(jù)RDP來檢查服務(wù)器的擁有人以及其中所包含的文件內(nèi)容,。但Spora卻在這一步上發(fā)揮得淋漓盡致,，它不僅使這種策略能夠達(dá)到目標(biāo)，而且實(shí)現(xiàn)了完全的自動(dòng)化。這也就解釋了為什么我們測(cè)試系統(tǒng)的贖金價(jià)格這么低,，因?yàn)樗鼛缀鯖]有任何惡意軟件編寫者認(rèn)為有價(jià)值的文件,。

另外，.KEY內(nèi)容及統(tǒng)計(jì)信息也用于創(chuàng)建在每位用戶首次訪問Web面板時(shí)都需要鍵入的用戶ID,。一般的ID格式如下所示：

US741-85RZR-TRTZT-ZTFFT-ZYYYY

Spora ID始終顯示五個(gè)字符塊,，用連字符分隔。前兩個(gè)字符（US）是系統(tǒng)所在區(qū)域的雙字母國家/地區(qū)代碼,。接下來的5個(gè)字符（74185）是通過.KEY文件的未加密內(nèi)容計(jì)算出來的MD5哈希值的前5個(gè)字符,。接下來的字母（RZRTRTZTZTFFTZ）是利用簡單替換密碼編碼的.KEY文件的統(tǒng)計(jì)字符串。所有管道符號(hào)（|）都被替換為字母T,。以下代碼片段列舉了其它的替換字符：

Spora為用戶ID編碼時(shí)使用的字符替換表

如果最后一個(gè)區(qū)塊未滿5個(gè)字符，則使用Y字符填充,。這樣的話,，只要根據(jù)用戶ID就能成功跟蹤到Spora加密的文件數(shù)。我們目前正與ID Ransomware和No More Ransom等平臺(tái)合作,，通過上傳的贖金記錄中包含的標(biāo)識(shí)符來收集統(tǒng)計(jì)數(shù)據(jù),。