Cảnh báo virus mã hoá dữ liệu Gpcode cực kỳ nguy hiểm
Một khi Trojan này đột nhập thành công vào PC nó sẽ ngay lập tức mã hóa các tệp tin. Tổng cộng Gpcode có thể mã hóa tới 143 loại tệp tin khác nhau như .bak, .doc, .jpg, .pdf… Các tệp tin sau khi bị mã hóa sẽ được thêm từ “_CRYPT” vào trong tên, còn bản gốc sẽ bị hủy bỏ. Không những thế, trojan sau khi hoàn thành nhiệm vụ cũng “tự tử” luôn nhằm tránh bị phát hiện.
Sau đó, trên màn hình PC hiển thị thông điệp sau: “Các tệp tin dữ liệu của anh/chị đã bị mã hóa bằng thuật toán 1024-bit RSA. Để khôi phục lại anh/chị cần phải mua phần mềm giải mã. Xin hãy liên hệ với chúng tôi qua địa chỉ email [email protected], để mua phần mềm này”.
Trojan đã được Kaspersky phát hiện sau khi nó bắt đầu phát tán không lâu. Tuy nhiên, hãng bảo mật này đã không thể phá được thuật toán mã hóa mà Gpcode đã sử dụng. Đáng chú ý khóa mã mà Gpcode sử dụng lại được tạo ra bằng chính công cụ Enhanced Cryptographic Provider tích hợp sẵn trong hệ điều hành Microsoft Windows.
“Chúng tôi không thể giải mãi được các tệp tin đã bị mã hóa. RSA 1024-bit là một thuật toán mã hóa cực mạnh, rất khó có thể phá được. Chúng tôi chỉ có trong tay khóa công khai chứ không có khóa bí mật, nên không thể giải mã được các tệp tin đã bị mã hóa”.Cuối cùng Kaspersky đã phải lên tiếng kêu gọi sự trợ giúp của cộng đồng. “Đây thực sự là một thách thức rất lớn. Chúng tôi ước tính phải cần đến khoảng 15 triệu PC cao cấp vận hành liên tục trong khoảng một năm mới đủ sức phá được khóa bảo mật 1024-bit này,” Aleks Gostev – chuyên gia phân tích mã độc hàng đầu của Kaspersky – cho biết.
“Chính vì thế mà chúng tôi kêu gọi các bạn – các chuyên gia mã hóa, các tổ chức khoa học, tổ chức chính phủ, hãng bảo mật, chuyên gia nghiên cứu bảo mật… hãy cùng chung sức với chúng tôi để chiến đấu với Gpcode”.
Kể từ khi Gpcode xuất hiện cho đến nay nó đã liên tục được tin tặc cải tiến và không ngừng ứng dụng kỹ thuật mã hóa mới.
Cách khắc phục
Sau nhiều ngày nghiên cứu, Kaspersky đã tìm được một giải pháp giúp người dùng lấy lại các file đã bị mã hóa mà không phải trả tiền: Dùng công cụ nguồn mở Photorec (download về theo giấy phép GPL). “Hoàn toàn có thể khôi phục lại các file đã bị xóa nếu như sau khi phát hiện vấn đề, PC vẫn chưa bị tắt hoặc bị khởi động lại. Nếu 2 điều này xảy ra rồi thì tỷ lệ thành công sẽ thấp hơn”.
Dù người dùng đã sử dụng Photorec để khôi phục các file đã bị Gpcode xóa mất thì họ vẫn phải kết hợp sử dụng thêm một ứng dụng do Kaspersky phát triển giúp khôi phục không chỉ file mà cả tên đầy đủ của file như trước khi bị virus này mã hóa. Ngoài ra, ổ đĩa cứng của PC phải chưa có thay đổi gì về cấu trúc dữ liệu.
Kaspersky Lab cho biết, việc phá khóa mã RSA 1024 bit của Gpcode dường như là một điều bất khả thi trừ phi có được khóa mã cá nhân của chính người tạo ra mã khóa đó
15:00 | 15/07/2024
Các nhà nghiên cứu bảo mật tới từ công ty an ninh mạng XLab (Slovenia) mới đây đã phát hiện ra một mạng botnet mới có tên Zergeca được viết bằng ngôn ngữ Golang, có khả năng thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) một cách mạnh mẽ.
10:00 | 04/07/2024
Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
14:00 | 12/06/2024
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong thư mục Python llama_cpp_python có thể bị các tác nhân đe dọa khai thác để thực thi mã tùy ý.
09:00 | 24/05/2024
Ngày 14/5, Microsoft đã khắc phục một sự cố làm gián đoạn kết nối VPN trên các nền tảng máy khách và máy chủ sau khi cài đặt bản cập nhật bảo mật Windows tháng 4/2024.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024
