ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

www.tuoitre.vn -   29/06/2017 02:00:00 3527

Các chuyên gia bảo mật của Kaspersky Lab vừa đưa ra kết luận mới về mã độc ExPetr đang hoành hành từ ngày 27/6 sau khi trải qua các nghiên cứu đánh giá. ExPetr/Petya không phải mã độc tống tiền như mọi người đã nghĩ. – Theo Secure List.

ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Theo nhóm chuyên gia, mã độc ExPetr/Petya không phải thuộc dòng mã độc tống tiền bởi những chiêu thức tấn công hết sức đáng ngờ, bởi không thể giải mã ổ đĩa dữ liệu của nạn nhân, dù cho họ có trả tiền chuộc đi nữa. Nhóm đưa đến giả thuyết rằng, kẻ tấn công vốn không tấn công bằng mã độc tống tiền mà thực chất là thiết kế một wiper giả dạng mã độc tống tiền mà thôi.

Người dùng có thể xem các dữ liệu kỹ thuật chi tiết sau đây. Đầu tiên để giải mã ổ đĩa của nạn nhân, kẻ tấn công sẽ phải cần installation ID (dịch nôm na là ID cài đặt).

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Trong các phiên bản trước của các mã độc tống tiền tương tự như Petya/Mischa/GoldenEye, installation ID sẽ chứa các thông tin quan trọng để làm key giải mã. Sau khi gửi thông tin này cho kẻ tấn công thì chúng có thể chiết xuất key giải mã bằng key cá nhân của chúng.

Dưới đây là cách mà mã độc ExPetr tạo installation ID:

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Mã installation ID này được thiết lập bởi tính năng CryptGenRandom, nói một cách đơn giản thì tính năng này tạo nên các dữ liệu ngẫu nhiên.

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Bộ đệm sau chứa dữ liệu được tạo ngẫu nhiên theo định dạng “BASE58” được mã hóa.

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Nếu so sánh những mã ngẫu nhiên này và mã installation ID hiển thị ở hình đầu tiên, thì rõ ràng là chúng giống nhau. Trong những cài đặt bình thường thì mã này sẽ chứa dữ liệu mã hóa và sử dụng làm key giải mã. Đối với mã độc ExPetr, mã ID trên màn hình ngẫu nhiên chỉ là những mã ngẫu nhiên đớn thuần.

Điều này đồng nghĩa với việc kẻ tấn công sẽ không thể chiết xuất thông tin giải mã từ những mã ngẫu nhiên hiển thị trên màn hình của nạn nhân, kết quả là nạn nhân sẽ không thể giải mã được những dữ liệu của mình khi sử dụng installation ID này.

Vậy tất cả điều này có nghĩa gì? Thứ nhất, đây là tin cực xấu đối với nạn nhân, kể cả những nạn nhân đã liều mình trả tiến chuộc cho bọn tội phạm, họ sẽ không thể lấy lại được những dữ liệu đã mất. Thứ hai, điều này củng cố lý thuyết rằng mục tiêu chính của cuộc tấn công ExPetr không phải là động cơ tài chính mà là phá hoại hệ thống của nạn nhân.

Một chuyên gia của Comae Technologies tên Matt Suiche cũng có cùng kết luận tương tự.

ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Minh Hương

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 23
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 31
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 29
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 24
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 17
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 26
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button