安全研究人员发现了一种新式勒索软件，该软件被命名为Spora，能够进行强离线文件解密，赎金支付模式也有了许多创新。

目前为止，该恶意软件针对的是俄语用户，但其作者也开发了英语版的解密门户，意味着他们有可能不久之后就将业务扩张到其他国家。

Spora吸引安全人员关注的原因就是，它能够不通过C&C服务器就加密文件，而且每个受害者的解密密钥还各不相同。传统勒索软件为每个被加密的文件产生一个AES密钥，然后用C&C服务器产生的RSA公钥来加密这些AES密钥。

RSA之类的公钥加密体制，依赖由一个公钥和一个私钥组成的密钥对。被公钥加密的文件，只能被相对应的私钥解密。

大多数勒索软件都会在植入后与C&C服务器联系，请求产生RSA密钥对。公钥被下载到受害电脑上，但私钥是从不离开服务器的，一直在攻击者的掌控之中。这个私钥，就是受害者得支付赎金获取的了。

勒索软件在安装后与互联网上的服务器通信的问题在于：它给攻击者创建的是弱连接。比如说，如果服务器被安全公司检测到，防火墙封锁了该服务器，加密过程就无法启动了。

有些勒索软件能进行所谓的离线加密，但是他们对所有受害者都用同一个硬编码到恶意软件里的RSA公钥。这种方式给攻击者带来的不利之处在于：交给其中一个受害者的解密工具，对所有受害者都有效——因为他们也共享同一个私钥。

Spora的创造者解决了这个问题！

该恶意软件确实包含有硬编码的RSA公钥，但只是用来加密每个受害者本机产生的唯一AES密钥的。该AES密钥又用于加密同样是受害者本机生成的唯一RSA公私密钥对中的私钥。最后，受害者RSA公钥被用于加密单个文件加密所用的AES密钥。

换句话说，Spora的创造者在其他勒索软件的基础上，又再加了一轮AES和RSA加密。

如果受害者想付赎金，必须将他们那些被加密的AES密钥，上传到攻击者的支付网站。攻击者再用他们的主RSA私钥解密之，并连同解密工具一并返还给受害者。

解密器就用该AES密钥，来解密受害者本机产生的唯一RSA私钥，再用这私钥解密恢复每个文件所需的AES密钥。

通过这种方式，Spora可以不用到C&C服务器就完成加解密，避免了主密钥的泄露。

经过评估，Spora操作加解密的方法，如果没有该恶意软件作者的私钥，是无法恢复被加密的文件的。

Spora的其他方面也突出于别的勒索软件。比如说，它实现了一套系统，可以针对不同类型的受害者索要不同的赎金。

受害者不得不上传到赎金支付网站的密钥文件中，也包含有被感染计算机上收集来的身份标识信息，比如唯一的勒索行动编号。

这意味着，如果攻击者针对公司企业发起Spora勒索行动，他们可以知道该次行动的受害者什么时候将会尝试他们的解密服务。这样一来，他们就可以自动调整为消费者、公司，甚至全球不同地区的受害者应支付的赎金额度。

而且，除了文件解密，Spora团伙还提供其他单独定价的服务。比如，“免疫”——确保该恶意软件不再感染某计算机；或者“清除”——解密文件后将恶意软件卸载。打包价也是有的，比单独购买3种服务便宜些。

赎金支付网站本身也设计得十分专业。它有一个集成的实时聊天功能，还有拿到折扣的可能性。据观察，攻击者几乎是秒回聊天消息。

所有这些都表明：Spora是个专业的资金充盈的勒索软件运营活动。目前为止，Spora索要的赎金额度比其他勒索软件都要少，有可能是其背后的团伙想要快速树立自己的品牌。

Spora通过流氓电子邮件附件传播，附件伪装成俄语国家常用会计软件的发票，后缀名为.HTA (HTML应用)，包含有恶意JavaScript代码。