DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Đã có chìa khóa để giải mã Prometheus ransomware
Công ty bảo mật Đài Loan - CyCraft đã phát hành một ứng dụng miễn phí giúp các nạn nhân khôi phục và giải mã một số tệp bị mã hóa bởi ransomware Prometheus.
Ransomware Prometheus được phát hiện lần đầu tiên vào tháng 2 năm nay, băng đảng ransomware gây chú ý bằng việc tuyên bố có liên kết với băng đảng REvil khét tiếng.
CyCraft cung cấp công cụ dưới dạng mã nguồn mở trên Github, trình giải mã hoạt động bằng cách sử dụng kỹ thuật brute-forcing các khóa mã được sử dụng để mã khóa dữ liệu của người dùng.
Chuyên gia bảo mật cho biết: "ransomware Prometheus sử dụng mật mã Salsa20 với một mật khẩu ngẫu nhiên được tạo ra dựa trên hàm tickcount để mã hóa tệp. Kích thước của mật khẩu ngẫu nhiên là 32 byte và mọi ký tự đều là ký tự hiển thị. Do mật khẩu sử dụng hàm tickcount làm chìa khóa, chúng tôi có thể xác định được nó thông qua tấn công brute-forcing."
Tuy nhiên, công cụ này chỉ có thể giải mã các tệp có kích thước nhỏ. Dường như việc công bố công cụ giải mã đã có tác động nhất định đến hoạt động của nhóm tin tặc đứng đằng sau Prometheus. Ngày hoạt động cuối cùng của nhóm này (ngày 13 tháng 7) trùng với ngày công cụ giải mã được phát hành. Hiện tại, băng đảng ransomware này đã ngừng hoạt động.
Ransomware Prometheus được phát hiện lần đầu tiên vào tháng 2 năm nay, băng đảng ransomware gây chú ý bằng việc tuyên bố có liên kết với băng đảng REvil khét tiếng.
CyCraft cung cấp công cụ dưới dạng mã nguồn mở trên Github, trình giải mã hoạt động bằng cách sử dụng kỹ thuật brute-forcing các khóa mã được sử dụng để mã khóa dữ liệu của người dùng.
Chuyên gia bảo mật cho biết: "ransomware Prometheus sử dụng mật mã Salsa20 với một mật khẩu ngẫu nhiên được tạo ra dựa trên hàm tickcount để mã hóa tệp. Kích thước của mật khẩu ngẫu nhiên là 32 byte và mọi ký tự đều là ký tự hiển thị. Do mật khẩu sử dụng hàm tickcount làm chìa khóa, chúng tôi có thể xác định được nó thông qua tấn công brute-forcing."
Tuy nhiên, công cụ này chỉ có thể giải mã các tệp có kích thước nhỏ. Dường như việc công bố công cụ giải mã đã có tác động nhất định đến hoạt động của nhóm tin tặc đứng đằng sau Prometheus. Ngày hoạt động cuối cùng của nhóm này (ngày 13 tháng 7) trùng với ngày công cụ giải mã được phát hành. Hiện tại, băng đảng ransomware này đã ngừng hoạt động.
Theo: therecord