18/09/2018, 11:20

Công cụ giải mã mới dành cho mã độc tống tiền CryptXXX V3

Các nhà nghiên cứu đã vô hiệu hóa thành công mã độc tống tiền CryptXXX phiên bản 3, phát hành một công cụ giải mã các tệp tin bị khóa và bổ sung tính năng vào RannohDecryptor – bộ công cụ miễn phí trong dự án No Ransom (Không trả tiền chuộc) của Kaspersky Lab. Trước đó các nhà nghiên cứu đã có ...

Các nhà nghiên cứu đã vô hiệu hóa thành công mã độc tống tiền CryptXXX phiên bản 3, phát hành một công cụ giải mã các tệp tin bị khóa và bổ sung tính năng vào RannohDecryptor – bộ công cụ miễn phí trong dự án  No Ransom (Không trả tiền chuộc) của Kaspersky Lab.

Trước đó các nhà nghiên cứu đã có thể giải mã một phần các tệp tin CryptXXX v3 nhưng hiện tại toàn bộ dữ liệu đều có thể khôi phục bình thường. Bộ công cụ RannohDecryptor giáng đòn mạnh mẽ vào tin tặc đứng đằng sau mã độc CryptXXX – loại mã độc được coi là đang hoạt động mạnh mẽ nhất trong họ mã độc tống tiền. Xấp xỉ một phần tư nạn nhân bị nhiễm CryptXXX tại Hoa Kì, Nga, Đức và Nhật Bản.

Vào tháng 4, các nhà nghiên cứu đã phát hành một công cụ giải mã cho CryptXXX v1. Tin tặc đã cập nhật mã độc thông minh hơn và sung thêm tính năng đánh cắp thông tin người dùng vào tháng 6. Với CryptXXX v.2, mã nguồn đã được nâng cấp nhưng vẫn tồn tại lỗ hổng giúp Kaspersky Lab giải mã thành công và tiếp đén là CryptXXX v.3.

Mã độc CryptXXX là một DLL (thư viện liên kết động) viết bằng ngôn ngữ Delphi và sử dụng các thuật toán mã hóa khác nhau tấn công dữ liệu của người dùng. Kaspersky Lab đã mô tả 3 phương thức mã hóa của mã độc sử dụng bao gồm RC4 dành cho khóa giải mã, RC4 và RSA mã hóa nội dung tệp tin. Các tệp tin bị mã hóa có phần mở rộng  .crypt, .cryp1.crypz. CryptXXX v3 chứa một mô đun có tên stiller.dll có khả năng đánh cắp hơn 130 loại tài khoản khác nhau trong máy tính của nạn nhân. Số tiền chuộc mà tin tặc yêu cầu người dùng trả lên tới 1.3 bitcoin (~ 1,000 đô la).

Kaspersky Lab đã phát hành hàng chục khóa giải mã dành cho các biến thể của mã độc tống tiền CoinVault, TeslaCrypt, Wildfire và Crybola. Danh sách bộ công cụ giải mã chi tiết tại No Ransom website.

THN

0