Vírus Spora - Como remover?

 

Janeiro rebolou lentamente para o outro lado como um urso gigante num sono profundo quando pesquisadores de segurança detetaram uma das amostras mais complicadas de ransomware de 2017 até agora. O cripto-vírus Spora é uma infeção perversa, claramente criada por profissionais que colocaram os seus esforços e suor neste projeto. É distribuído através de campanhas de cartas de spam que atingem maioritariamente utilizadores que falam Russo: eles são as vítimas visadas para receber esta amostra. Apesar de explorar as mesmas estratégias que muitos outros membros precedentes da categoria ransomware, o vírus destaca-se com o seu processo de encriptação complexo e um website claramente desenhado para pagamento/desencriptação. Adicionalmente, é diferente de outros porque não apaga ou acrescenta extensões aos executáveis que codifica com algoritmos. Cada vítima infetada é marcada com um número de identificação que tem de ser usado no website Spora.bz para entrar. Talvez os piratas informáticos tenham assumido que construir um domínio menos convencional para pagamento/desencriptação resultaria em maiores hipóteses de receber a quantia de dinheiro exigida. O número de identificação que digita no campo de acesso irá automaticamente ler detalhes sobre a sua infeção: o mais importante é o número de ficheiros que são encriptados. Para mais informação, continue a ler este artigo.

Mais detalhes úteis sobre o vírus Spora e as suas características únicas

Na nossa experiência e longos anos de produzir artigos sobre infeções cibernéticas, enfrentámos muitas infeções. Hoje em dia, qualquer aspirante a pirata informático pode construir uma infeção ransomware pouco complicada, utilizando códigos abertos. Contudo, de vez em quando, programadores comprometidos criam obras-primas que são dolorosas de contemplar pela sua complexidade. O ransomware Spora é definitivamente uma dessas infeções que vem com um estrondo, mostrando aos pesquisadores de segurança que terão de o visar de forma eficiente para encontrar uma cura. Esta infeção espalha-se em cartas de e-mail, com executáveis anexados que irão começar processos do Spora após serem abertos. Surpreendentemente, o ransomware não visa muitos ficheiros, mas fica-se pelos tipos mais populares que estão presentes em qualquer computador. De facto, porquê preocupar-se em visar centenas de tipos de ficheiros quando os populares sãos os mais presentes nos dispositivos? O vírus Spora irá tentar afetar documentos Word, ficheiros PDF, fotos, ficheiros ZIP e RAR e etc. O ficheiro .KEY implementa um processo de encriptação extremamente complexo. Não vamos entrar em grandes detalhes. Ainda assim, devemos mencionar que uma combinação de algoritmos RSA e AES para encriptação são explorados neste processo para garantir que pesquisadores de segurança têm muito poucas hipóteses de criar um desencriptador gratuito. O vírus Spora também destruirá todas as Shadow Volume Copies para diminuir ainda mais a possibilidade de recolha de ficheiros.

Foi descoberto que o ransomware funciona com três executáveis. Em primeiro lugar, após ser executado, coloca o ficheiro close.js, presumivelmente, na pasta Temp. Após isso, a este ficheiro é acrescentado um executável adicional, responsável por um processo de encriptação de sucesso. Não tem um título específico e pode ser criado de forma diferente para cada vítima. O terceiro ficheiro que pode ser atribuído ao vírus Spora é um executável do tipo .docx que irá despoletar uma mensagem, sugerindo que “o Word não consegue abrir o ficheiro porque o formato do ficheiro não corresponde à sua extensão.” Já mencionámos que o website de pagamento/desencriptação do vírus Spora é um pouco diferente. As vítimas infetadas têm de introduzir os seus números de identificação de forma a acederem à versão completa do website. Isso significa que se não tiver sido comprometido com o Spora, não será convidado para este site de festas. Contudo, introduzir a combinação de ID não será suficiente: irá também ter de adicionar o ficheiro .KEY no website. Apenas então será o website capaz de gerar preços para a desencriptação, dependendo do número de ficheiros que tiver sido encriptado. Em adição a oferecer a desencriptação completa e restauro completo do sistema, os piratas informáticos estão definitivamente a espremer tudo o que conseguirem desta oportunidade. As pessoas podem comprar imunidade de outras infeções ransomware que serão criadas por estes programadores vis. Isso indica que planeiam gerar vírus ransomware adicionals no futuro. Na foto seguinte, pode ver um exemplo de uma carta maliciosa (em Inglês).

Uma estratégia tão complicada para encriptação: há alguma hipótese para vencer o vírus Spora?

Conhecer a forma através da qual o vírus Spora escolhe encriptar os ficheiros da vítima, é bastante difícil afirmar que uma ferramenta de recuperação de ficheiros vai ser lançada em breve. Amostras complicadas como esta podem requerer mais análise antes de um desencriptador ser lançado. Aconselhamo-lo a manter-se calmo e racional: não seja enganado de forma a pagar aos piratas pela desencriptação. Contudo, deve restaurar 2 ficheiros gratuitamente: isto pode ajudar os pesquisadores de segurança a gerar uma ferramenta gratuita. Apesar deste vírus visar principalmente utilizadores que falem Russo por agora, podemos imaginá-lo a saltar rapidamente para outros meios quando for o tempo certo. Se estiver à pesca de conselhos, podemos indicar-lhe dois métodos mais prestáveis de se tornar imune a ransomware: armazene os seus ficheiros em unidades de armazenamento de reserva ou mantenha-os em localizações seguras. Se ficar infetado, não terá de se preocupar com a recuperação de ficheiros uma vez que os poderá recuperar a partir de outra fonte.

Táticas que o vírus Spora pode explorar para atingir dispositivos informáticos

Os criadores do ransomware Spora enviam cartas e-mail para pessoas aleatórias com anexos infeciosos. Executa o ficheiro anexado, irá permitir aos vírus começarem o seu trabalho sujo. Por esta razão, deve sempre manter as suas caixas de entrada livres de spam. Ainda assim, por vezes é extremamente difícil definir uma linha entre uma mensagem fiável e um esquema puro. Recomendamos que nunca abra cartas de fontes pouco familiares. Abra os anexos apenas após se ter certificado de que é seguro fazê-lo.

Uma vez que o vírus Spora apaga as Shadow Volume Copies e utiliza outros truques para complicar a desencriptação de ficheiros, temos pouco a oferecer neste campo. Contudo, deve eliminar o ransomware assim que possível. Reimage, Spyhunter ou Malwarebytes podem ajudá-lo neste processo.

Atualização de 24 de Janeiro, 2017. Tal como previmos, não demorou muito tempo até esta infeção ransomware visar pessoas de localizações diferentes da sua primeira seleção. Primeiro, as pessoas da Rússia foram os principais recetores destas cartas de spam maliciosas. Agora, as pessoas de vários países têm potencial de ser tornarem vítimas do vírus Spora. Adicionalmente, foi notado que o Spora pode ser transmitido por um servidor que espalha ransomwares gigantes como Cerber e Locky. Isto não pode acabar bem: por favor seja extremamente cauteloso uma vez que ainda não são conhecidos os países que serão adicionados à lista de alvos.

Atualização de 6 de Fevereiro, 2017. Peritos de segurança repararam que o vírus Spora incorporou uma nova estratégia para a sua distribuição. Agora, é espalhado através do Google Chrome, quando é pedido aos utilizadores que atualizem os seus navegadores. A janela EITest Chrome Font Update é a que vai presumivelmente ser aberta, mas os utilizadores não devem concordar com a sua instalação.

Atualização de 20 de Março, 2017. Graças à análise de pesquisadores de segurança, é agora muito mais fácil reconhecer a infeção Spora. Mais ainda, parece que um novo website foi incorporado por esta variante: Torrifyme.com.

Como remover Vírus Spora usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos


para Windows 7 / Vista/ XP
  • Iniciar → Encerrar → Reiniciar → OK.
  • Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
  • Escolha o Modo de Segurança com Janela de Comandos. Windows 7 enter safe mode

para o Windows 8 / 10
  • Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar. Windows 8-10 restart to safe mode
  • Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
  • Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque. Windows 8-10 enter safe mode

Restaurar os ficheiros e definições de Sistema.
  • Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
  • Depois digite rstrui.exe e pressione Enter novamente. CMD commands
  • Clique em “Próximo” na janela que apareceu.. Restore point img1
  • Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.Restore point img2
  • Para arrancar com o sistema clique em “Sim”. Restore point img3

2. Remoção complete do Spora vírus

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Reimage, Spyhunter e remova todos os ficheiros maliciosos relacionados com Spora ransomware.


3. Restaure os ficheiros afetados pelo Vírus Spora usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Spora vírus tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.Previous version


b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Shadow explorer

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas para remoção automática de Vírus Spora

 

Outras ferramentas

 
  0   0
    Spyhunter
  0   0
    Malwarebytes’ Anti-Malware
 
  Baixar Reimage para Spora vírus detecçãoNota: julgamento Reimage fornece detecção de parasita como Spora vírus e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

Capturas de tela Vírus Spora

 
           
     

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *