早在今年勒索軟體大範圍肆虐之前，就有安全研究人員發現一種新式勒索軟體，該軟體被命名為Spora，能夠進行離線檔案解密，也有許多創新的贖金支付模式。目前為止，Spora在全世界範圍內主要針對俄語使用者，但其作者也開發了英語版的解密帳戶，意味著有可能在不久之後就將業務擴展到其他國家。
 
Spora讓安全人員關注的原因就是，它能夠不通過C&C伺服器就加密檔案，而且每個受害者的解密金鑰各不相同。傳統勒索軟體為每個被加密的檔案產生一個AES金鑰，然後用C&C伺服器產生的RSA公開金鑰來加密這些AES金鑰。RSA的公開金鑰加密體制，依賴由一個公開金鑰和一個私密金鑰組成的金鑰組。 被公開金鑰加密的檔，只能被相對應的私密金鑰解密。大多數勒索軟體都會在植入後與C&C伺服器聯繫，請求產生RSA金鑰組。公開金鑰被下載到受害電腦上，但私密金鑰是從不離開伺服器的，一直在攻擊者的掌控之中。這個私密金鑰，就是受害者必須支付贖金才可獲取。
 
勒索軟體在安裝後與網路上伺服器通信的問題在於：它給攻擊者創建的是弱連接。比如說，如果伺服器被安全公司檢測到，防火牆封鎖了該伺服器，加密過程就無法啟動了。有些勒索軟體能進行所謂的離線加密，但是他們對所有受害者都用同一個硬編碼到惡意軟體裡的RSA公開金鑰。這種方式給攻擊者帶來的不利之處在於：交給其中一個受害者的解密工具，對所有受害者都有效——因為他們也共用同一個私密金鑰。
Spora的創造者解決了這個問題！
 
該惡意軟體確實包含有硬式編碼RSA公開金鑰，但只是用來加密每個受害者本機產生的唯一AES金鑰。 該AES金鑰又用於加密同樣是受害者本機生成的唯一RSA公私金鑰組中的私密金鑰。最後，受害者RSA公開金鑰被用於加密單個檔加密所用的AES金鑰。換句話說，Spora的創造者在其他勒索軟體的基礎上，又再加了一輪AES和RSA加密。如果受害者想付贖金，必須將他們那些被加密的AES金鑰，上傳到攻擊者的支付網站。攻擊者再用他們的主RSA私密金鑰解密之，並連同解密工具一併返還給受害者。解密器就用該AES金鑰，來解密受害者本機產生的唯一RSA私密金鑰，再用這私密金鑰解密恢復每個檔所需的AES金鑰。
 
Spora透過這種方式，可以不用到C&C伺服器就完成加解密，避免了主金鑰的洩露。經過評估，Spora操作加解密的方法，如果沒有該惡意軟體作者的私密金鑰，是無法恢復被加密的檔的。
 
Spora在其他方面也比別的勒索軟體突出。比如說，它實現了一套系統，可以針對不同類型的受害者索要不同的贖金。受害者不得不上傳到贖金支付網站的金鑰檔中，也包含有被感染電腦上收集來的身份標識資訊，比如唯一的勒索行動編號。這說明如果攻擊者針對公司企業發起Spora勒索行動，他們可以知道該次行動的受害者什麼時候將會嘗試他們的解密服務。這樣一來，他們就可以自動調整為消費者、公司，甚至全球不同地區的受害者應支付的贖金額度。
 
而且，除了檔案解密，Spora還提供其他單獨定價的服務。 比如，「免疫」——確保該惡意軟體不再感染某電腦；或者「清除」——解密檔後將惡意軟體卸載。組合價也是有的，比單獨購買3種服務便宜些。贖金支付網站本身也設計得十分專業。它有一個即時聊天功能，還有拿到折扣的可能性。據觀察，攻擊者幾乎是秒回聊天訊息。
 
所有這些都表明：Spora是個專業且資金充足的勒索軟體營運活動。目前為止，Spora索價的贖金額度比其他勒索軟體都要少，有可能是其背後的團隊想要快速樹立自己的品牌。Spora透過電子郵件附件傳播，附件偽裝成俄語國家常用會計軟體的發票，檔名為.HTA (HTML應用)，包含有惡意JavaScript代碼。因為該病毒贖回檔案的完美贖金支付體系，想要在該病毒攻擊下保護好自己的檔案不受損失變得異常困難，而安克諾斯Acronis最新的Acronis Active Protection主動防護技術可以自動檢測Spora勒索病毒並且自動復原被加密的檔案，操作如下(以下為英文版介面操作範例)：
Acronis Active Protection 檢測到 Spora 勒索病毒： Acronis Active Protection 阻止Spora 勒索病毒 了解更多安克諾斯Acronis相關產品資訊與技術優勢，請洽台灣總代理 - 湛揚科技02-2735-3512，我們會提供您產品介紹與免費測試，讓您快速體驗安克諾斯Acronis強大有效的防護能力！
更多關於Acronis Active Protection™ 的運作方式請參閱https://www.t-tech.com.tw/ActiveProtection.php