ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

www.tuoitre.vn -   29/06/2017 02:00:00 2984

Các chuyên gia bảo mật của Kaspersky Lab vừa đưa ra kết luận mới về mã độc ExPetr đang hoành hành từ ngày 27/6 sau khi trải qua các nghiên cứu đánh giá. ExPetr/Petya không phải mã độc tống tiền như mọi người đã nghĩ. – Theo Secure List.

ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Theo nhóm chuyên gia, mã độc ExPetr/Petya không phải thuộc dòng mã độc tống tiền bởi những chiêu thức tấn công hết sức đáng ngờ, bởi không thể giải mã ổ đĩa dữ liệu của nạn nhân, dù cho họ có trả tiền chuộc đi nữa. Nhóm đưa đến giả thuyết rằng, kẻ tấn công vốn không tấn công bằng mã độc tống tiền mà thực chất là thiết kế một wiper giả dạng mã độc tống tiền mà thôi.

Người dùng có thể xem các dữ liệu kỹ thuật chi tiết sau đây. Đầu tiên để giải mã ổ đĩa của nạn nhân, kẻ tấn công sẽ phải cần installation ID (dịch nôm na là ID cài đặt).

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Trong các phiên bản trước của các mã độc tống tiền tương tự như Petya/Mischa/GoldenEye, installation ID sẽ chứa các thông tin quan trọng để làm key giải mã. Sau khi gửi thông tin này cho kẻ tấn công thì chúng có thể chiết xuất key giải mã bằng key cá nhân của chúng.

Dưới đây là cách mà mã độc ExPetr tạo installation ID:

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Mã installation ID này được thiết lập bởi tính năng CryptGenRandom, nói một cách đơn giản thì tính năng này tạo nên các dữ liệu ngẫu nhiên.

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Bộ đệm sau chứa dữ liệu được tạo ngẫu nhiên theo định dạng “BASE58” được mã hóa.

 ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Nếu so sánh những mã ngẫu nhiên này và mã installation ID hiển thị ở hình đầu tiên, thì rõ ràng là chúng giống nhau. Trong những cài đặt bình thường thì mã này sẽ chứa dữ liệu mã hóa và sử dụng làm key giải mã. Đối với mã độc ExPetr, mã ID trên màn hình ngẫu nhiên chỉ là những mã ngẫu nhiên đớn thuần.

Điều này đồng nghĩa với việc kẻ tấn công sẽ không thể chiết xuất thông tin giải mã từ những mã ngẫu nhiên hiển thị trên màn hình của nạn nhân, kết quả là nạn nhân sẽ không thể giải mã được những dữ liệu của mình khi sử dụng installation ID này.

Vậy tất cả điều này có nghĩa gì? Thứ nhất, đây là tin cực xấu đối với nạn nhân, kể cả những nạn nhân đã liều mình trả tiến chuộc cho bọn tội phạm, họ sẽ không thể lấy lại được những dữ liệu đã mất. Thứ hai, điều này củng cố lý thuyết rằng mục tiêu chính của cuộc tấn công ExPetr không phải là động cơ tài chính mà là phá hoại hệ thống của nạn nhân.

Một chuyên gia của Comae Technologies tên Matt Suiche cũng có cùng kết luận tương tự.

ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Minh Hương

TIN CÙNG CHUYÊN MỤC

Chuyên gia Kaspersky: Số lượng mã độc đà...

24/11/2022 08:00:00 4
Trong Quý 3/2022, các nhà nghiên cứu tại Kaspersky nhận thấy sự gia tăng mạnh mẽ của mã độc đào tiền...

Công cụ Facebook ẩn cho phép xoá email h...

09/11/2022 08:00:00 3
Facebook dường như đã âm thầm tung ra một công cụ cho phép người dùng xóa thông tin liên hệ của họ, ...

Nửa đầu 2022: Việt Nam ghi nhận tấn công...

08/11/2022 08:00:00 281
Mặc dù phần mềm độc hại thường nhắm vào dữ liệu cá nhân nhưng các tổ chức, doanh nghiệp với chính sá...

Kaspersky đồng hành Dynamic UEH Innovati...

07/11/2022 08:00:00 272
Với mục tiêu đồng hành và lan toả tinh thần khởi nghiệp đến thế hệ sinh viên trẻ, Kaspersky đã hân h...

Cảnh báo thiết bị lây nhiễm phần mềm giá...

04/11/2022 08:00:00 10
Một chiến dịch phần mềm gián điệp Android đã được phát hiện tấn công các cá nhân nói tiếng Ba Tư bằn...

130 kho lưu trữ mã nguồn GitHub đã bị ti...

03/11/2022 08:00:00 4
Dịch vụ lưu trữ tệp Dropbox vào thứ ba đã tiết lộ rằng họ là nạn nhân của một chiến dịch lừa đảo cho...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ