解码新型勒索病毒Spora ，通过IE、Flash漏洞等方式传播

生成ID代码

字符替换
b)加密的勒索状态相关数据，其中包括：SubRSA私钥、加密日期、系统用户名、地域信息、勒索病毒标记、加密各种类型文件的数量。数据使用其运行时生成的AES密钥进行加密，之后将该密钥用MasterRSA公钥进行加密之后将加密的AES密钥数据放与整体数据尾部，最后再用Base64算法进行一次加密防止数据被截断。数据内容如下图所示：
描述页面中数据存放的结构

构造数据的代码
3.根据其记录的加密文件路径列表进行文件加密，每个文件加密是都会生成一份独立的AES密钥，进行文件加密后使用SubRSA公钥对AES密钥进行加密，再将加密后的AES密钥数据计算crc32，将两个数据按描述顺序拼接后，放置到被加密文件数据尾部，病毒在加密过程中会计算加密的AES密钥存放位置与最后四个字节的crc32值相符，如果相符说明已经进行过加密，不再进行重复加密。被加密的文件数据最小为0×20个字节，最多为0×500000个字节。如下图所示：

被加密的文件数据结构

加密文件

判断是否被加密

文件数据加密
4.删除系统还原点。删除注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\IsShortcut，使快捷方式不再具有左下角的特殊标记，为此后的病毒流程做准备。

代码展示
5.打开勒索病毒描述页面。
6.将本地磁盘根目录、桌面和网络共享中的文件夹放入具有隐藏文件属性的勒索病毒，并将这些文件夹隐藏，之后创建同名的快捷方式。每次点击这些快捷方式后，会执行一段控制台命令，除了打开同名文件夹外，还会运行勒索病毒，从而达到其持续加密和局域网传播的目的。病毒为了执行时更加隐蔽，其会将同目录下的勒索病毒拷贝到%temp%目录进行执行，即使%temp%目录中的勒索病毒执行时被安全软件查杀也不会影响其事先构造的目录结构，依然可以驻留在用户计算机中。由于将前面流程中已经把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\IsShortcut键值删除，所以其快捷方式图标与目录图标完全相同。如下图所示：

创建与目录同名的快捷方式

快捷方式中包含的命令行

释放快捷方式代码
四、相关样本