ExPetr/Petya/NotPetya/Petrwrap không phải mã độc tống tiền?

Các chuyên gia bảo mật của Kaspersky Lab vừa đưa ra kết luận mới về mã độc ExPetr đang hoành hành từ ngày 27/6 sau khi trải qua các nghiên cứu đánh giá. ExPetr/Petya không phải mã độc tống tiền như mọi người đã nghĩ. – Theo Secure List.

Theo nhóm chuyên gia, mã độc ExPetr/Petya không phải thuộc dòng mã độc tống tiền bởi những chiêu thức tấn công hết sức đáng ngờ, bởi không thể giải mã ổ đĩa dữ liệu của nạn nhân, dù cho họ có trả tiền chuộc đi nữa. Nhóm đưa đến giả thuyết rằng, kẻ tấn công vốn không tấn công bằng mã độc tống tiền mà thực chất là thiết kế một wiper giả dạng mã độc tống tiền mà thôi.

Người dùng có thể xem các dữ liệu kỹ thuật chi tiết sau đây. Đầu tiên để giải mã ổ đĩa của nạn nhân, kẻ tấn công sẽ phải cần installation ID (dịch nôm na là ID cài đặt).

Trong các phiên bản trước của các mã độc tống tiền tương tự như Petya/Mischa/GoldenEye, installation ID sẽ chứa các thông tin quan trọng để làm key giải mã. Sau khi gửi thông tin này cho kẻ tấn công thì chúng có thể chiết xuất key giải mã bằng key cá nhân của chúng.

Dưới đây là cách mà mã độc ExPetr tạo installation ID:

Mã installation ID này được thiết lập bởi tính năng CryptGenRandom, nói một cách đơn giản thì tính năng này tạo nên các dữ liệu ngẫu nhiên.

Bộ đệm sau chứa dữ liệu được tạo ngẫu nhiên theo định dạng “BASE58” được mã hóa.

Nếu so sánh những mã ngẫu nhiên này và mã installation ID hiển thị ở hình đầu tiên, thì rõ ràng là chúng giống nhau. Trong những cài đặt bình thường thì mã này sẽ chứa dữ liệu mã hóa và sử dụng làm key giải mã. Đối với mã độc ExPetr, mã ID trên màn hình ngẫu nhiên chỉ là những mã ngẫu nhiên đớn thuần.

Điều này đồng nghĩa với việc kẻ tấn công sẽ không thể chiết xuất thông tin giải mã từ những mã ngẫu nhiên hiển thị trên màn hình của nạn nhân, kết quả là nạn nhân sẽ không thể giải mã được những dữ liệu của mình khi sử dụng installation ID này.

Vậy tất cả điều này có nghĩa gì? Thứ nhất, đây là tin cực xấu đối với nạn nhân, kể cả những nạn nhân đã liều mình trả tiến chuộc cho bọn tội phạm, họ sẽ không thể lấy lại được những dữ liệu đã mất. Thứ hai, điều này củng cố lý thuyết rằng mục tiêu chính của cuộc tấn công ExPetr không phải là động cơ tài chính mà là phá hoại hệ thống của nạn nhân.

Một chuyên gia của Comae Technologies tên Matt Suiche cũng có cùng kết luận tương tự.

Minh Hương