Spora fidye virüsü nedir, Spora fidye virüsünün şifrelediği dosyalar nasıl açılır?

alattin (17095) 7 yıl önce sordu

Spora fidye virüsü nedir?

Spora fidye virüsünün şifrelediği dosyalar nasıl açılır?

Toplam 1 cevap


alattin (17095) 7 yıl önce cevapladı

Spora fidye virüsü nedir, Spora fidye virüsünün şifrelediği dosyalar nasıl açılır?

Spora, farklı özellikleri olan yeni bir tür fidye virüsü.  Spora, diğer pek çok fidye virüsü gibi email yolu ile yayılıyor.  Spam emailler ile yayılan spora fidye virüsü .zip uzantılı bir dosya barındırıyor. .Zip dosyası açıldığı zaman bu sıkıştırılmış dosya içinden HTA uzantılı bir dosya çıkıyor. 

Bu ek dosyası içinden çıkan ve zararlı kodları barındıran dosya çifte uzantıya sahip.  Siparis.PDF.HTA veya Ekstre.DOC.HTA  gibi adlar ile gelen bu dosya, kurban bilgisayarda Windows işletim sisteminde "Bilinen dosya uzantılarını gizle" seçeneği seçili ise o zaman Siparis.PDF gibi görüntüleniyor. Bu da kullanıcıları yanılgıya düşürüyor ve dosyayı açmalarına neden oluyor.

Ek dosyası açıldığında spora fidye virüsü harekete geçiyor ve içinde barındırdığı zararlı kodları çalıştırıyor. İlk olarak adı close.js olan bir dosyayı  Temp klasöründe yaratıyor. Bu dosya da yine Temp klasöründe bir çalıştırılabilir dosya oluşturuyor.  Bu  dosya 34563efe.exe gibi rastgele adlandırılmış bir dosya.

.exe dosyası çalışmaya başladığında şifreleme işlemi başlamış oluyor. Arkaplanda şifreleme devam ederken  HTA dosyası bir docx dosyasını çalıştırıyor. Bu işlem sonrasında Word açılıyor ve ekrana dosyanın bozuk olduğuna dair bir mesaj geliyor. Bu  kullanıcıların email ekinin bozuk olduğunu düşünmelerini sağlamak için hazırlanmış bir senaryo.

Spora fidye virüsü, günümüzde karşılaştığımız Cryptolocker türevi fidye virüslerinden farklı olarak herhangi bir ağ trafigi yaratmıyor. Online bir sunucuya bilgi göndermiyor. Normalde Crytplocker türevi fidye virüsleri online bir sunucuya bağlanır ve bilgi aktarır.

Yine farklı bir şekilde Spora fidye virüsü az sayıda dosya türünü şifreliyor. Spora fidye virüsünün şifrelediği dosya türleri şunlar:

.xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup

 

Spora fidye virüsü diğer fidye virüsleri gibi dosya uzantılarını değiştirmiyor. Şifrelem işlemini hem yerel hem de ağ üzerindeki dosyalar üzerinde gerçekleştiriyor.

Yine Spora fidye virüsü bilgisayar açılışında sorun olmaması, bilgisayara zarar vermemek için aşağıdaki klasörlerde şifreleme yapmıyor:
 

games
program files (x86)
program files
windows

Şifreleme işlemi bittikten sonra spora fidye virüsü bilgisayardaki gölge kopyaları siliyor. Böylece sistem geri yükleme ile dosyaları kurtarmak mümkün olmuyor.

Son olarak masaüstüne .KEY dosyası bırakılıyor ve kullanıcının karşısına dosyaların şifrelendiğine dair bi mesaj geliyor.

Spora fidye virüsü şuan için sadece Rus kullanıcıları hedef alıyor.

Spora fidye virüsünün şifrelediği dosyalar nasıl açılır?

Şuan için Spora fidye virüsünün şifrelediği dosyaları açmanın bir yöntemi yok. Spora fidye virüsünün şifreleme algoritmasında şuan için bir açık bulunamadı. Fakat kendine has şifreleme algoritması kullanması sebebi ile Cryptolocker vakalarında olduğundan farklı olarak Spora için çözüm bulunma ihtimali daha yüksek gibi görünüyor.

Kaynak: Emsisoft