Những ngày gần đây nhu cầu cứu dữ liệu từ người dùng liên quan đến việc dữ liệu trong máy tính bị lây nhiễm mã độc Ransomware loại mã độc mã hóa tập tin, dẫn đến tình trạng không thể phục hồi các tập tin đã bị mã hóa ngày càng cao. Do đó mình đưa ra bài này để mọi người biết về loại mã độc này.
1. Tìm hiểu về ransomware ???
Ransomware là cách gọi tên của dạng mã độc có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file.
Các thành viên của Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn là một phương pháp đáng tin cậy nhằm bảo vệ các dữ liệu nhạy cảm. Tội phạm mạng đã lợi dụng công nghệ này và tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng. Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được. Và bọn chúng thường tống tiền người dùng để trao đổi chìa khóa bí mật này. Nguy hiểm ở chỗ, chỉ duy nhất chìa khóa bí mật này mới có thể giải mã được và phục hồi dữ liệu.
Các chuyên gia của Kaspersky Lab nhận dạng các trường hợp bị nhiễm nhiều nhất tại Việt Nam là do một thành viên của Ransomware – Trojan-Ransom.Win32.Onion gây nên nhưng trước đó ý tưởng về nó đã xuất hiện cách đây hơn 2 thập kỉ và trường hợp đầu tiên trên thế giới được ghi nhận là vào năm 1989.
2. Trường hợp nhiễm ransomware đầu tiên trên thế giới được ghi nhận là xuất hiện trên đĩa mềm 1989
Chúng ta có thể nghĩ ransomware là một phát minh hiện đại, nhưng trên thực tế thì nó đã xuất hiện từ rất lâu.
Vào tháng 12 năm 1989, Eddy Willems lúc đó hiện đang làm việc tại một công ty bảo hiểm của Bỉ, khi ông cho đĩa mềm vào máy tính của công ty. Ngay lập tức nó đưa ra bảng câu hỏi về nguy cơ lây nhiễm HIV/AIDS, ông hoàn thành bảng câu hỏi và cũng không nghĩ nhiều về nó. Nhưng sau đó vài ngày, máy tính của Willems bị khóa lại và nó yêu cầu gửi 189 USD vào hộp thư bưu điện ở Panama, máy in thậm chí còn in ra một bản hóa đơn.
Eddy Willems và chiếc đĩa mềm chứa ransomware đầu tiền trên thế giới
Hiện tại Willems đang là nhà nghiên cứu bảo mật của Công ty an ninh mạng G Data, cho biết.
Có khả năng ngoài Willems còn có hàng ngàn người khác trên khắp thế giới đã nhận được chiếc đĩa chứa mã độc. Đây được coi là trường hợp đầu tiên của ransomware. Chúng ta có thể nghĩ rằng ransomware là một phát minh hiện đại, nhưng ý tưởng và “sự thành công” của nó đã xuất phát từ cách đây hơn hai thập kỷ.
Tại Anh, những người đứng đằng sau thứ được gọi là ransomware AIDS đã gửi đĩa mềm chứa mã độc cho độc giả của tạp chí PC Business World. Nó đã lén sửa đổi các tập tin trên ổ cứng của nạn nhân và khi máy tính được khởi động lại một vài lần thì mã độc này đã khóa máy tính của nạn nhân và đưa ra một thông báo yêu cầu thanh toán.
Tệp tin README do ransomware này thông báo: ”Bạn nên ngừng sử dụng máy tính này vì phần mềm đã hết hạn. Bạn cần gia hạn việc thuê phần mềm trước khi sử dụng lại máy tính này”. Ransomware AIDS không thực sự mã hóa nội dung của các tập tin mà chỉ mã hóa tên của các tệp. Để có thể sử dụng lại máy tính chỉ cần restore máy mặc dù khá khó khăn.
Jim Bates, nhà phân tích của Virut Bulletin cho biết: ”Việc khôi phục lại có thể đạt được một khi biết được bảng mã hóa mở rộng của tệp tin”. Ông đưa ra hai chương trình miễn phí để loại bỏ ransomware này. Willems cũng đã tìm ra cách để loại bỏ chúng từ máy tính của mình.
Ngay sau đó, Willems bật TV và biết được rằng ông không phải là người duy nhất nhận được chiếc đĩa mềm độc hại này. Các nhà điều tra sau đó đã xác định tiến sĩ Joseph Popp là người đứng sau loại ransomware AIDS.
Sau này, đĩa mềm chứa ransomeware AIDS trở thành một phần trong bộ sưu tập đáng giá về lĩnh vực bảo mật thông tin. Willem cũng treo bản sao của ông trên tường. Nhờ có ransomeware AIDS, ông đã thực sự quan tâm đến virus máy tính và ông quyết định đi theo lĩnh vực bảo mật.
Willems nói ” Ransomware AIDS đã hoàn toàn thay đổi cuộc đời tôi” và ông cũng rất muốn cảm ơn tiến sĩ Joseph Popp, người đã tạo ra loại ransomware này.
Nhiều năm sau, khoảng 2005 – 2006, hacker đã phát triển các mẫu khác về ransomware như Gpcode, Krotten và Cryzip. Nhà nghiên cứu về phần mềm độc hại Vesselin Bontchev nói.” Kỷ nguyên mới của ransomware bắt đầu với Crytolocker vào năm 2013 và hacker đã chuyển sang sử dụng bitcoin cho phép thanh toán ở mức độ ẩn danh cao”. Đến nay thì ransomware đã phát triển thành rất nhiều biến thể khác nhau và tổng hợp một số dạng dưới đây:
ALCATRAZ LOCKER
Alcatraz Locker là một ransomware strain đã được quan sát lần đầu vào giữa tháng 11 năm 2016. Để mã hóa các file của người dùng, ransomware này sử dụng mã hóa AES 256 kết hợp với mã hóa Base64.
Tên file thay đổi: Các tệp được mã hóa có đuôi “.Alcatraz”.
APOCALYPSE
Apocalypse là một hình thức ransomware đầu tiên được phát hiện vào tháng 6 năm 2016. Đây là những dấu hiệu nhiễm trùng:
Tên file thay đổi: Hasrypted , .FuckYourData , .locked , .Encryptedfile , hoặc .SecureCrypted đến cuối tên tập tin. (Thí dụ, Thesis.doc = Thesis.doc.locked )
BADBLOCK
BadBlock là một hình thức ransomware đầu tiên được phát hiện vào tháng 5 năm 2016. Đây là những dấu hiệu nhiễm trùng:
Tên file thay đổi: BadBlock không đổi tên tệp của bạn.
BART
Bart là một hình thức ransomware đầu tiên được phát hiện vào cuối tháng 6 năm 2016. Đây là những dấu hiệu nhiễm trùng:
Tên file thay đổi: Bart thêm .bart.zip đến cuối tên tập tin. (Ví dụ, Thesis.doc = Thesis.docx.bart.zip ) Đây là các kho lưu trữ ZIP được mã hóa có chứa các tệp gốc.
CRYPT888
Crypt888 (còn gọi là Mircop) là một hình thức ransomware đầu tiên được phát hiện vào tháng 6 năm 2016. Đây là những dấu hiệu nhiễm trùng:
Tên file thay đổi: Crypt888 cho biết thêm Lock. Đến đầu tên tập tin. (Ví dụ Thesis.doc = Lock.Thesis.doc )
CRYPTOMIX (OFFLINE)
CryptoMix (còn gọi là CryptFile2 hoặc Zeta) là một chủng ransomware được phát hiện đầu tiên vào tháng 3 năm 2016. Vào đầu năm 2017, một biến thể mới của CryptoMix, được gọi là CryptoShield nổi lên. Cả hai biến thể mã hóa tập tin bằng cách sử dụng mã hóa AES256 với một khóa mã hóa duy nhất được tải về từ một máy chủ từ xa. Tuy nhiên, nếu máy chủ không có sẵn hoặc nếu người dùng không kết nối internet, ransomware sẽ mã hóa các tập tin bằng khóa cố định (“khóa ngoại tuyến”).
Quan trọng : Công cụ giải mã được cung cấp chỉ hỗ trợ các tệp được mã hóa sử dụng “khoá ngoại tuyến”. Trong trường hợp khóa ngoại tuyến không được sử dụng để mã hóa tệp, công cụ của chúng tôi sẽ không thể khôi phục các tệp và không sửa đổi tệp sẽ được thực hiện.
Tên file thay đổi: Các tệp được mã hóa sẽ có một trong các phần mở rộng sau: .CRYPTOSHIELD , .rdmk , .lesli , .scl , .cdd , .rmd hoặc .rscl .
CRYSIS
CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma) là một chủng ransomware đã được quan sát từ tháng 9 năm 2015. Nó sử dụng AES-256 kết hợp với mã hóa không đối xứng RSA-1024.
Tên file thay đổi: Các tệp được mã hóa có nhiều phần mở rộng khác nhau, bao gồm:
.johnycryptor @ hackermail.com.xtbl ,
.ecovector2 @ aol.com.xtbl ,
.systemdown @ india.com.xtbl ,
.Vegclass @ aol.com.xtbl ,
. {Milarepa.lotos@aol.com} .CrySiS ,
. {Greg_blood@india.com} .xtbl ,
. {Savepanda@india.com} .xtbl ,
. {Arzamass7@163.com} .xtbl ,
. {3angle@india.com} .dharma ,
. {Tombit@india.com} .dharma
FINDZIP
FindZip là một chủng ransomware đã được quan sát vào cuối tháng 2 năm 2017. Ransomware này lây lan trên Mac OS X (phiên bản 10.11 trở lên). Mã hóa dựa trên việc tạo các tệp ZIP – mỗi tệp mã hoá là tệp lưu trữ ZIP, có chứa tài liệu gốc.
Tên file thay đổi: Các tệp được mã hóa sẽ có đuôi .crypt.
GLOBE
Globe là một chủng ransomware đã được quan sát từ tháng 8 năm 2016. Dựa trên biến thể, nó sử dụng phương pháp mã hóa RC4 hoặc Blowfish. Đây là những dấu hiệu nhiễm trùng:
Tên file thay đổi: Globe thêm một trong những phần mở rộng sau vào tên tệp: ” .ACRYPT “, ” .GSupport [0-9] “, ” .blackblock “, ” .dll555“, ” .duhust “, ” .exploit “, ” đông lạnh “,” .globe “,” .gsupport “,” .kyra “,” .purged “,” .raid [0-9] “,” .siri-down @ india.com“,” .xtbl “,” . Zendrz “,” .zendr [0-9] “, hoặc” .hnyear “. Hơn nữa, một số phiên bản của nó cũng mã hóa tên tệp.
HIDDENTEAR
HiddenTear là một trong những mã ransomware có nguồn mở đầu tiên được lưu trữ trên GitHub và có từ tháng 8 năm 2015. Kể từ đó, hàng trăm biến thể HiddenTear đã được sản xuất bởi những kẻ lừa đảo sử dụng mã nguồn gốc. HiddenTear sử dụng mã hóa AES.
Tên file thay đổi: Các tập tin được mã hóa sẽ có một trong các phần mở rộng sau đây: .locked , .34xxx , .bloccato , .BUGSECCCC , .Hollycrypt , .lock , .saeid , .unlockit , .razy , .mecpt , .monstro,. Lok ,. 암호화 됨 , .8lock8 , .fucked , .flyper , .kratos , .krypted , .CAZZO , .doomed .
JIGSAW
Jigsaw là một loại ransomware đã được khoảng từ tháng 3 năm 2016. Nó được đặt tên theo nhân vật phim “The Jigsaw Killer”. Một số biến thể của món chuộc này sử dụng hình ảnh của Jigsaw Killer trong màn hình tiền chuộc.
Tên file thay đổi: Các tệp được mã hóa sẽ có một trong các phần mở rộng sau: .kkk , .btc , .gws , .J , .encrypted , .porno , .payransom, .pornoransom , .epic , .xyz , .versiegelt , .encrypted , .payb,. Trả tiền , .payms , .paymds , .paymts , .paymst , .payrms , .payrmts , .paymrts , .paybtcs , .fun , .hush , .uk-dealer @ sigaint.org , hoặc .gefickt .
LEGION
Legion là một hình thức ransomware đầu tiên được phát hiện vào tháng 6 năm 2016. Đây là những dấu hiệu nhiễm trùng:
Tên file thay đổi: Legion thêm một biến thể của ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion hoặc . Centurion_legion @ aol.com $ .cbf vào cuối tên tệp. (Ví dụ Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion )
NOOBCRYPT
NoobCrypt là một ransomware strain đã được quan sát thấy từ cuối tháng 7 năm 2016. Để mã hóa các tập tin của người dùng, ransomware này sử dụng phương pháp mã hóa AES 256.
Tên file thay đổi: NoobCrypt không thay đổi tên tệp. Các tập tin được mã hóa không thể mở được bằng ứng dụng liên quan của chúng.
STAMPADO
Stampado là một dòng ransomware viết bằng công cụ tập lệnh AutoIt. Nó đã được khoảng từ tháng 8 năm 2016. Nó đang được bán trên web tối, và các biến thể mới tiếp tục xuất hiện. Một trong những phiên bản của nó còn được gọi là Philadelphia.
Tên file thay đổi: Stampado thêm vào phần mở rộng bị khóa vào các tệp được mã hóa. Một số biến thể cũng mã hóa tên tệp, vì vậy tên tệp mã hóa có thể trông giống như tài liệu.docx.locked hoặc 85451F3CCCE348256B549378804965CD8564065FC3F8.locked .
SZFLOCKER
SZFLocker là một hình thức ransomware đầu tiên được phát hiện vào tháng 5 năm 2016. Đây là những dấu hiệu nhiễm trùng:
Tên file thay đổi: SZFLocker thêm .szf đến cuối tên tập tin. (Thí dụ, Thesis.doc = Thesis.doc.szf )
TESLACRYPT
TeslaCrypt là một hình thức ransomware đầu tiên được phát hiện vào tháng Hai năm 2015. Đây là những dấu hiệu nhiễm trùng:
Tên file thay đổi: Phiên bản mới nhất của TeslaCrypt không đổi tên tệp của bạn.
Chúc các bạn thành công :)
Nguồn: Sưu tầm
