Spora vírus eltávolítása (eltávolítási instrukciók) - 2017. aug frissítése
Eltávolítási Útmutató - Spora vírus
Mi az, hogy Spora zsarolóvírus?
A Spora ransomware a világ minden PC-felhasználóját megcélozza
Úgy tűnik, hogy hamarosan a Spora vírus lesz a legújabb „nagyágyú” a zsarolóvírusok között. A malware-analízisek a „valaha volt legkifinomultabb zsarolóvírusának” nevezik. Az először január 10-én felbukkant Spora ransomware fájltitkosító trójai, amely először csak orosz nyelven szólt az áldozatokhoz. Pár hétnyi működés után azonban világkörüli útra indult.
A kártékony program teljesen új, rendkívül összetett titkosítási módszert használ, amely egyelőre teljesen immunis a feltörési kísérletekkel szemben. A vírus RSA kulcs segítségével hozza létre a .KEY fájl tartalmát, majd ezt egy AES kulccsal titkosítja. Ezt követően az AES kulcsot a vírus futtatható állományában lévő publikus kulcs segítségével kódolja, majd végül .KEY néven menti el.
A malware titkosítási folyamata viszonylag egyszerűbb: a fájlokat az AES és az RSA segítségével zárja le (sajnos a Spora eltávolítása nem ilyen egyszerű). A vírus jelenleg 23 kiterjesztést céloz meg, ezek a következők:
.backup, .xlsx, .docx, .rtf, .dwg, .cdr, .cd, .mdb, .1cd, .odt, .pdf, .psd, .dbf, .doc, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .xls.
Az ilyen kiterjesztéssel rendelkező fájlokat hosszú titkosítási kulccsal (a publikus kulccsal) zárja le, majd a privát kulcsot továbbítja a támadóknak, akik ezt csak váltságdíj fejében hajlandók átadni. A váltságdíj kifizetésére vonatkozó instrukciókat üzenetben közli, amely általában az Asztalon jön létre.
Az instrukciók általában további instrukciókat tartalmazó helyre mutatnak: a Spora fizetőoldalára. A fejlesztők meglepő módon a fizetőoldalon is kiváló programozási képességet bizonyítanak. Az áldozatok támogatását tekintve is meglepték még a legtapasztaltabb biztonsági szakértőket is.
A fizetőoldalak száma gyorsan nő, mostanra 10 különböző oldal létezik, amelyek a váltságdíj beszedésére szolgálnak, többek között a következők: spora[.]bz, spora[.]one, spora[.]hk.
A fizetőoldal abban tér el a legtöbb ransomware hasonló oldalától, hogy több lehetőséget is kínál az áldozatoknak: eltávolítható a Spora vírus 20 dollárért, visszaállíthatók a fájlok 30 dollárért, sőt, 50 dollárért állítólagos immunitás vásárolható a ransomware vírusokkal szemben. Ha az áldozat mindent megvenne, csak 79 dollárt kell fizetnie. Fontos, hogy különböző áldozatoktól akár különböző összegeket is kérhet.
Talán már hallott arról, hogy a hagyományos ransomware-ek, például a Cerber ransomware felajánlja az árult visszafejtő program kipróbálását egy-két kisebb titkosított fájlon, hogy bizonyítsa a program létezését és működését. Az új vírus azonban a teljes váltságdíjat kisebb összegekre bontja, lehetővé teszi különböző szolgáltatások vásárlását. A támadók csak bitcoin valutában fogadják el a váltságdíjat.
Január 16-án a weboldal továbbfejlődött, már „Help” lap is található rajta. Emellett kommunikációs ablakot is nyújt, megjeleníti a már lebonyolított tranzakciókat, valamint egyéb apróbb részeltekkel is „felhasználóbarátabbá” teszi a felületet.
Akárhogyis, egy malware nem a „barátunk”, ha pénzt próbál kizsarolni belőlünk. A visszafejtő kulcs megszerzéséhez az áldozatnak ki kell fizetnie a váltságdíjat, majd a .KEY fájlt el kell küldenie a weboldalon keresztül a támadóknak. Ha ön is a vírus áldozata, azt javasoljuk, hogy inkább törölje a fájlt. A Spora eltávolítását pedig a kiváló FortectIntego vagy SpyHunter 5Combo Cleaner segítségével végezze el.
Hogyan fertőzhet meg a Spora?
A Spora ransomware jelenleg kártékony e-mailek segítségével terjed, fertőző .HTA fájl formájában. A fájlok a fájlnévbe is kiterjesztést illesztenek (például PDF.HTA), hogy a gyanútlan áldozat például PDF-nek gondolja a csatolt fájlt.
A .HTA fájlok HTML futtatható állományok, megnyitáskor letöltik a close.js nevű JavaScript fájlt, majd a rendszer %Temp% mappájába helyezik. Itt a fájl megnyitásával a vírus aktiválja magát. Ez a futtatható fájl felelős az adatok titkosításáért. A .HTA fájl ezután egy .DOCX fájlt is megnyit, amely hibaüzenetet jelenít meg, mely szerint a fájlt nem lehet megnyitni. Amíg az áldozat ezt a hibaüzenetet olvassa, a ransomware titkosítja az adatokat.
A Spora főként kártékony e-mailekkel terjed. Mikor a vírus még csak oroszul tudott, ilyen címmel érkeztek az e-mailek: Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta. (Ezek magyarul: „Beolvasás másolata _ 10 Jan 2017. írta és aláírta a főkönyvelő”).
Fontos, hogy a vírus folyamatosan változik, a címek is minden bizonnyal ugyanígy változnak. Természetesen számíthatunk más terjesztési módszerekre is, például exploit kitekre, trójaiakra, adathalász weboldalakra és így tovább. Legyen óvatos az internet böngészése során, ne nyisson meg kétes weboldalakat. Jobb, ha nem telepít olyan programokat sem, amelyekre a weboldalak egyenesen megpróbálják rábeszélni – ezek is gyakran kétes, kártékony programok.
A Spora ransomware eltávolítása
Egy megbízható antimalware program segítségével a Spora könnyedén eltávolítható. Nem lényegtelen részlet, hogy kik fejlesztik a használt antimalware szoftvert, ezért ha még nincs ilyen programja, mi a következőt javasoljuk: FortectIntego. Ha más programot szeretne használni, tekintse át a Szoftverek menüpontunk részletes ismertetőit.
Ne feledje, hogy zsarolóvírussal van dolga, amely letilthatja az antimalware és antivírus programokat. Ha ez a helyzet, indítsa a számítógépet „Csökkentett mód hálózattal” üzemmódban, és így futtassa az antivírust. Ha ez a megoldás nem vált be, használja a Rendszer-visszaállításon alapuló módszert.
Manuális Eltávolítási Útmutató - Spora vírus
Spora eltávolítása ezzel: Safe Mode with Networking
A ransomware vírusok gyakran regisztrációs bejegyzéseket is létrehoznak/módosítanak, rengeteg fájlból állnak, időnként további malware-eket is letöltenek, ezért eltávolításuk nem egyszerű. Ha az ön antimalware programját is letiltja a Spora vírus, a következő lépések segítségével indítsa a számítógépet „Csökkentett mód hálózattal” üzemmódban, és így futtasson rendszervizsgálatot. Ezt követően ismételje meg a vizsgálatot a számítógépet szokásos módon indítva is.
-
Lépés 1: Indítsa a számítógépet Safe Mode with Networking módban
Windows 7 / Vista / XP- Kattintson a következőre: Start → Shutdown → Restart → OK.
- Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
- Válassza a listáról a következőt: Safe Mode with Networking
Windows 10 / Windows 8- Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
- Most a következőkre kattintson: Troubleshoot → Advanced options → Startup Settings, végül pedig ezt nyomja meg: Restart.
- Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Networking
-
Lépés 2: Spora törlés
Jelentkezzen be a fertőzött fiókba és indítson egy böngészőt. Töltsön le egy megbízható antispyware programot, például: FortectIntego. Telepítse, frissítse, majd futtasson vele teljes rendszervizsgálatot és távolítson el minden rosszindulatú fájlt, amely a ransomware-hez tartozik, majd fejezze be a behatoló (Spora) eltávolítását.
Próbálkozzon másik módszerrel, ha a ransomware blokkolja a következőt: Safe Mode with Networking
Spora eltávolítása ezzel: System Restore
Ha a csökkentett mód nem segített, próbálkozzon meg a Rendszer-visszaállítás módszerével. Ezt követően pedig ismét futtasson rendszervizsgálatot, mert a visszaállítás habár letiltja a vírust, a hozzá tartozó fájlokat nem távolítja el.
-
Lépés 1: Indítsa a számítógépet Safe Mode with Command Prompt módban
Windows 7 / Vista / XP- Kattintson a következőre: Start → Shutdown → Restart → OK.
- Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
- Válassza a listáról a következőt: Command Prompt
Windows 10 / Windows 8- Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
- Most a következőkre kattintson: Troubleshoot → Advanced options → Startup Settings, végül pedig ezt nyomja meg: Restart.
- Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Command Prompt
-
Lépés 2: Állítsa vissza a rendszerfájlokat és -beállításokat
- Miután megjelent a(z) Command Prompt ablak, írja be, hogy cd restore, majd kattintson arra, hogy Enter.
- Most írja be, hogy rstrui.exe, majd kattintson ismét arra, hogy Enter..
- Mikor megjelenik az új ablak, kattintson arra, hogy Next, majd válasszon egy Next fertőzést megelőző visszaállítási pontot.
- A rendszervisszaállítás indításához kattintson arra, hogy Yes.
+1: Az adatok visszaállítása
A fenti útmutató a bejutott Spora eltávolításában segít. A titkosított fájlok visszaállításához az avirus.hu biztonsági szakértőinek részletes útmutatóját érdemes követnie.Néhány adatmentési módszer talán segíthet visszaállítani a titkosított fájlokat. A módszerekhez tartozó lépéseket lentebb találja.
Több módszerrel is megkísérelheti a bejutott Spora által titkosított fájlok visszaállítását:
Data Recovery Pro
A Data Recovery Pro talán segíthet visszaállítani az elveszett fájlok egy részét.
- Data Recovery Pro letöltése;
- A letöltött Data Recovery telepítőjének lépéseit követve telepítse a szoftvert számítógépére;
- Indítsa el, és a vizsgálat segítségével gyűjtse össze a bejutott Spora zsarolóvírus által titkosított fájlokat;
- Állítsa vissza őket.
ShadowExplorer
A ShadowExplorer segítségével a fájlok korábban mentett változatait állíthatja vissza, ha a jelenlegiek megsérültek. A következő módon keresheti meg a titkosított fájlok előző változatait:
- Töltse le a következőt: Shadow Explorer (http://shadowexplorer.com/);
- A letöltött Shadow Explorer telepítési varázslóját követve telepítse a szoftvert számítógépére;
- Indítsa el a programot, majd a bal felső sarok legördülő listájából válassza ki a titkosított adatokat tároló lemezt. Ellenőrizze az elérhető mappákat;
- Kattintson jobb gombbal a visszaállítandó mappára, majd válassza az “Export” lehetőséget. Kiválaszthatja a visszaállítás célmappáját is.
A Spora ransomware-hez egyelőre nem készült ingyenes visszafejtő program
Fontos törődnie a crypto-ransomware vírusok elleni óvintézkedésekkel. Ha meg szeretné védeni számítógépét az olyan ransomware-ektől, mint a most tárgyalt Spora, használjon megbízható antispyware programot, például: FortectIntego, SpyHunter 5Combo Cleaner vagy Malwarebytes