ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

www.tuoitre.vn -   29/06/2017 02:00:00 3324

Các chuyên gia bảo mật của Kaspersky Lab vừa đưa ra kết luận mới về mã độc ExPetr đang hoành hành từ ngày 27/6 sau khi trải qua các nghiên cứu đánh giá. ExPetr/Petya không phải mã độc tống tiền như mọi người đã nghĩ. – Theo Secure List.

ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Theo nhóm chuyên gia, mã độc ExPetr/Petya không phải thuộc dòng mã độc tống tiền bởi những chiêu thức tấn công hết sức đáng ngờ, bởi không thể giải mã ổ đĩa dữ liệu của nạn nhân, dù cho họ có trả tiền chuộc đi nữa. Nhóm đưa đến giả thuyết rằng, kẻ tấn công vốn không tấn công bằng mã độc tống tiền mà thực chất là thiết kế một wiper giả dạng mã độc tống tiền mà thôi.

Người dùng có thể xem các dữ liệu kỹ thuật chi tiết sau đây. Đầu tiên để giải mã ổ đĩa của nạn nhân, kẻ tấn công sẽ phải cần installation ID (dịch nôm na là ID cài đặt).

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Trong các phiên bản trước của các mã độc tống tiền tương tự như Petya/Mischa/GoldenEye, installation ID sẽ chứa các thông tin quan trọng để làm key giải mã. Sau khi gửi thông tin này cho kẻ tấn công thì chúng có thể chiết xuất key giải mã bằng key cá nhân của chúng.

Dưới đây là cách mà mã độc ExPetr tạo installation ID:

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Mã installation ID này được thiết lập bởi tính năng CryptGenRandom, nói một cách đơn giản thì tính năng này tạo nên các dữ liệu ngẫu nhiên.

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Bộ đệm sau chứa dữ liệu được tạo ngẫu nhiên theo định dạng “BASE58” được mã hóa.

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Nếu so sánh những mã ngẫu nhiên này và mã installation ID hiển thị ở hình đầu tiên, thì rõ ràng là chúng giống nhau. Trong những cài đặt bình thường thì mã này sẽ chứa dữ liệu mã hóa và sử dụng làm key giải mã. Đối với mã độc ExPetr, mã ID trên màn hình ngẫu nhiên chỉ là những mã ngẫu nhiên đớn thuần.

Điều này đồng nghĩa với việc kẻ tấn công sẽ không thể chiết xuất thông tin giải mã từ những mã ngẫu nhiên hiển thị trên màn hình của nạn nhân, kết quả là nạn nhân sẽ không thể giải mã được những dữ liệu của mình khi sử dụng installation ID này.

Vậy tất cả điều này có nghĩa gì? Thứ nhất, đây là tin cực xấu đối với nạn nhân, kể cả những nạn nhân đã liều mình trả tiến chuộc cho bọn tội phạm, họ sẽ không thể lấy lại được những dữ liệu đã mất. Thứ hai, điều này củng cố lý thuyết rằng mục tiêu chính của cuộc tấn công ExPetr không phải là động cơ tài chính mà là phá hoại hệ thống của nạn nhân.

Một chuyên gia của Comae Technologies tên Matt Suiche cũng có cùng kết luận tương tự.

ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Minh Hương

TIN CÙNG CHUYÊN MỤC

Người dùng Việt Nam đã có thể dùng VPN k...

11/09/2023 08:00:00 82
Trước đây, người dùng phải sử dụng VPN thông qua nhiều phần mềm khác nhau, bất kể tính hợp lệ hay an...

Kaspersky: Cyber Immunity là chìa khóa b...

30/08/2023 08:00:00 665
Tuần lễ An ninh mạng lần thứ 9 của Kaspersky tiết lộ cách AI sẽ “phá vỡ” thế giới và làm thế nào để ...

Lướt web an toàn, Google hiện đã mặc địn...

30/08/2023 12:00:00 1.180
Nó cũng giúp các gia đình dễ dàng truy cập quyền kiểm soát của phụ huynh trực tiếp từ giao diện tìm ...

Lỗ hổng WinRAR mới có thể cho phép tin t...

29/08/2023 08:00:00 927
Một lỗ hổng bảo mật có mức độ nghiêm trọng cao đã được tiết lộ trong tiện ích WinRAR. Lỗ hổng này có...

Tin tặc hack 2 kính viễn vọng hiện đại n...

29/08/2023 12:00:00 761
Hiện các cơ quan có thẩm quyền và các bên liên quan vẫn chưa rõ nguồn gốc và bản chất của các cuộc t...

Microsoft đẩy mạnh cập nhật phiên bản 23...

28/08/2023 12:00:00 690
Microsoft cho biết bản vá October 2023 Patch Tuesday sẽ là bản cập nhật bảo mật cuối cùng cho 21H2.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ