ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

www.tuoitre.vn -   29/06/2017 02:00:00 3439

Các chuyên gia bảo mật của Kaspersky Lab vừa đưa ra kết luận mới về mã độc ExPetr đang hoành hành từ ngày 27/6 sau khi trải qua các nghiên cứu đánh giá. ExPetr/Petya không phải mã độc tống tiền như mọi người đã nghĩ. – Theo Secure List.

ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Theo nhóm chuyên gia, mã độc ExPetr/Petya không phải thuộc dòng mã độc tống tiền bởi những chiêu thức tấn công hết sức đáng ngờ, bởi không thể giải mã ổ đĩa dữ liệu của nạn nhân, dù cho họ có trả tiền chuộc đi nữa. Nhóm đưa đến giả thuyết rằng, kẻ tấn công vốn không tấn công bằng mã độc tống tiền mà thực chất là thiết kế một wiper giả dạng mã độc tống tiền mà thôi.

Người dùng có thể xem các dữ liệu kỹ thuật chi tiết sau đây. Đầu tiên để giải mã ổ đĩa của nạn nhân, kẻ tấn công sẽ phải cần installation ID (dịch nôm na là ID cài đặt).

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Trong các phiên bản trước của các mã độc tống tiền tương tự như Petya/Mischa/GoldenEye, installation ID sẽ chứa các thông tin quan trọng để làm key giải mã. Sau khi gửi thông tin này cho kẻ tấn công thì chúng có thể chiết xuất key giải mã bằng key cá nhân của chúng.

Dưới đây là cách mà mã độc ExPetr tạo installation ID:

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Mã installation ID này được thiết lập bởi tính năng CryptGenRandom, nói một cách đơn giản thì tính năng này tạo nên các dữ liệu ngẫu nhiên.

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Bộ đệm sau chứa dữ liệu được tạo ngẫu nhiên theo định dạng “BASE58” được mã hóa.

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Nếu so sánh những mã ngẫu nhiên này và mã installation ID hiển thị ở hình đầu tiên, thì rõ ràng là chúng giống nhau. Trong những cài đặt bình thường thì mã này sẽ chứa dữ liệu mã hóa và sử dụng làm key giải mã. Đối với mã độc ExPetr, mã ID trên màn hình ngẫu nhiên chỉ là những mã ngẫu nhiên đớn thuần.

Điều này đồng nghĩa với việc kẻ tấn công sẽ không thể chiết xuất thông tin giải mã từ những mã ngẫu nhiên hiển thị trên màn hình của nạn nhân, kết quả là nạn nhân sẽ không thể giải mã được những dữ liệu của mình khi sử dụng installation ID này.

Vậy tất cả điều này có nghĩa gì? Thứ nhất, đây là tin cực xấu đối với nạn nhân, kể cả những nạn nhân đã liều mình trả tiến chuộc cho bọn tội phạm, họ sẽ không thể lấy lại được những dữ liệu đã mất. Thứ hai, điều này củng cố lý thuyết rằng mục tiêu chính của cuộc tấn công ExPetr không phải là động cơ tài chính mà là phá hoại hệ thống của nạn nhân.

Một chuyên gia của Comae Technologies tên Matt Suiche cũng có cùng kết luận tương tự.

ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Minh Hương

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 187
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 158
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 163
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 140
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 145
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 85
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ