Spora.bz

Spora.bz

Spora.bz ist eine Entschlüsselungsseite der ausgeklügelten Schadsoftware namens Spora Ransomware. Benutzer, denen eine einmalige ID gegeben wurde, und die auf die Zahlungsseite zugreifen können, indem sie sie in das Eingabefeld ENTER YOUR ID CODE (GEBEN SIE IHREN ID-CODE EIN) eingeben, haben zweifellos diese Ransomware-Infektion auf ihrem Computer installiert. Die Spora Ransomware ist nichts weiter als eine dateiverschlüsselnde Bedrohung, die mit der Absicht in Computer eindringt, alle Dateien von Benutzern zu verschlüsseln. Sie tut dies, um Benutzern Geld aus der Tasche zu ziehen. Die Seite Spora.bz, wurde, wie Sie wahrscheinlich bereits verstanden haben, von Cyberschurken erstellt, damit Benutzer das Geld leichter überweisen können. Da Benutzer feststellen, dass die aller wertvollsten Dateien mit Dateierweiterungen wie .pdf, .docx, .sqlite, .accdb, .zip, .rar, .backup, .xls, .doc, .xlsx, .rtf, .odt, und .mdb verschlüsselt wurden, sind sie bereit, den geforderten Geldbetrag zu bezahlen, um sie wiederbekommen. Tatsächlich werden nicht alle Dateien von der Spora Ransomware angegriffen. Sie belässt Dateien mit den folgenden Strings in ihren Dateipfaden unverschlüsselt: games (Spiele), program files (x86) (Programme (x86)), program files (Programme) und windows. Offensichtlich versucht sie, einen ernsten Schaden am Computer zu verhindern, damit Benutzer auf Spora.bz zugreifen und das Geld überweisen können. Das Verschlüsselungsverfahren dieser Bedrohung scheint laut den Experten bei entfernenspyware.de äußerst kompliziert zu sein, sodass es leider nicht möglich sein wird, die Dateien auf eine andere Art und Weise zu entschlüsseln. Natürlich versuchen wir hier nicht, Benutzer zu ermutigen, den Cyberkriminellen, die die Spora Ransomware entwickelt haben, Geld zu überweisen.

Sobald alle lokalen und Netzwerk-Dateien verschlüsselt sind, legt die Spora Ransomware drei Dateien in das betroffene System ab. Die erste Datei ist .KEY, deren Name die einmalige ID enthält. Die zweite ist .LST, die höchstwahrscheinlich verwendet wird, um die Dateien von Benutzern zu verschlüsseln. Die letzte, die in das System abgelegt wird, ist die .HTML-Datei und wird für die Benutzer automatisch geöffnet (sie enthält einen Ausführungspunkt (PoE)). Sie ermöglicht Benutzern, auf die Entschlüsselungsseite zuzugreifen. Sie müssen nur die einmalige ID in das Login-Feld auf Spora.bz eingeben. Experten meinen, dass diese Domain ein TOR-Gateway ist, das zu einer versteckten TOR-Website führt, was sie jedoch noch nicht zu etwas Besonderem macht. Der Entschlüsselungsdienst auf Spora.bz ist laut Malware-Analysten äußerst interessant. Man hat festgestellt, dass Benutzer zuerst die .KEY-Datei auf Spora.bz hochladen müssen, um ihren Computer mit der Entschlüsselungswebsite zu synchronisieren. Wenn die Synchronisation erfolgreich ist, wird den Opfern erlaubt, die bevorzugte Option zu wählen: Vollständige Wiederherstellung, Immunität, Entfernung, Dateiwiederherstellung und die kostenlose Wiederherstellung von zwei Dateien. Benutzer sollten die Option der vollständigen Wiederherstellung wählen und 79 USD (der Preis könnte (bis zu 280 USD) höher sein) in Bitcoins überweisen, um alle ihre Dateien entschlüsselt zu bekommen. Um ehrlich zu sein, könnte dies der einzige Weg sein, die Dateien zurückzuerhalten, weil diese Computer-Infektion starke Verschlüsselungsalgorithmen verwendet und auch die Schattenvolumenkopien der Dateien löscht, den Windows Startup Repair deaktiviert und die BootStatus Policy ändert, nachdem sie die Verschlüsselung der Dateien beendet hat, um Benutzern keine Möglichkeit zu lassen, die verschlüsselten Daten ohne eine Bezahlung zu entschlüsseln. Tatsächlich gibt es noch eine Möglichkeit, die Dateien ohne den Entschlüsselungsschlüssel wiederherzustellen. Benutzer, die eine Sicherungskopie von wertvollen Dateien besitzen und sie außerhalb des Computers aufbewahren, können diese wiederherstellen, nachdem sie die Spora Ransomware aus ihrem Computer gelöscht haben.

Zum Zeitpunkt dieses Schreibens zielt die mit der Spora.bz verbundene Ransomware-Infektion vor allem auf Menschen ab, die in Russland leben, aber natürlich ist aufgrund der Verbreitungsmethode, die sie verwendet, kein Computer-Benutzer sicher. Forscher haben festgestellt, dass diese Schadanwendung zurzeit über Spam-E-Mails verbreitet wird. Diese E-Mails geben vor, harmlose Rechnungen zu sein, und werden als Anhänge in Form von .ZIP-Dateien angehängt. Diese Archive enthalten .HTA-Dateien (HTML-Anwendung) mit einer doppelten Dateinamenerweiterung, z. B. Dokument.doc, weil das Windows-Betriebssystem die Dateierweiterungen standardmäßig ausblendet. Eine doppelte Erweiterung wird verwendet, um Benutzer glauben zu lassen, dass es sicher sei, die Datei, die sie sehen, zu öffnen. Sobald eine Datei aus dem .zip-Archiv gestartet wird, erstellt die Spora Ransomware .exe-Dateien in %APPDATA%, %TEMP% und/oder %HOMEDRIVE%. Die Datei extrahiert dann auch eine weitere Datei, .docx, die beschädigt ist und eine Fehlermeldung anzeigt. Es sollte betont werden, dass diese ransomwareartige Infektion offline ausgeführt werden kann, ausgehend von der Beobachtung, dass sie keinen Netzwerkverkehr erzeugt.

Unabhängig davon, ob Sie das Lösegeld über Spora.bz bezahlen oder sich entscheiden, das Geld nicht an die Cyberkriminellen, die hinter der Spora Ransomware stehen, zu überweisen, müssen Sie diese Infektion aus Ihrem Computer löschen. Da sie .exe-, .key-, .lst- und .html-Dateien ablegt, wird ihre Entfernung nicht leicht, weil alle diese Dateien einzeln manuell gelöscht werden müssen. Wenn Sie die Spora.bz aus Ihrem Computer entfernen wollen, aber keine Zeit dafür haben, sollten Sie einen automatischen Malware-Entferner, wie z. B. SpyHunter, die gesamte Arbeit für Sie erledigen lassen. Benutzer sollten nicht vergessen, dass automatische Malware-Entferner nicht den Schlüssel zur Entschlüsselung der Dateien knacken können, der von der Ransomware verwendet wurde.

Löschen der Spora.bz-Ransomware-Infektion

  1. Drücken Sie Win+E, um den Windows Explorer zu starten.
  2. Finden Sie die Ausführungsdatei (.exe)mit einem Namen bestehend aus 10-Ziffern oder einer CLSID (z. B. XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.exe) in %APPDATA%, %TEMP%, und/oder %HOMEDRIVE% (geben Sie das Verzeichnis in das URL-Feld ein und drücken Sie die Eingabetaste, um es zu öffnen).
  3. Löschen Sie die Datei.
  4. Öffnen Sie %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup.
  5. Löschen Sie die .html-Datei mit dem Namen bestehend aus der einmaligen ID des Opfers.
  6. Gehen Sie zu %APPDATA%\Microsoft\Windows\Templates.
  7. Löschen Sie die Dateien [Einmalige ID].HTML, [Einmalige ID].KEY und [Einmalige ID].LST.
  8. Öffnen Sie %APPDATA% und wiederholen Sie Schritt 7.
  9. Entfernen Sie die .html- und .key-Datei mit den Namen bestehend aus dem einmaligen Schlüssel aus %USERPROFILE%\Desktop.
  10. Leeren Sie den Papierkorb und starten Sie den Computer neu.

Antwort schreiben