WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Đã có thể giải mã mã độc tống tiền Petya
Các chuyên gia an ninh đã tìm ra phương pháp cho phép người dùng khôi phục dữ liệu từ máy tính bị nhiễm mã độc tống tiền Petya mà không phải trả tiền chuộc cho tội phạm mạng.
Petya bắt đầu xuất hiện từ tháng 3 khi được phát tán qua các email spam giả dạng các ứng dụng công việc. Petya nổi bật so với các mã độc tống tiền mã hóa tập tin khác là vì mã độc này ghi đè lên master boot record (MBR - nơi lưu trữ thông tin về phân vùng) của ổ cứng, khiến các máy tính bị lây nhiễm không thể khởi động hệ điều hành.
Mã độc này thay mã MBR hợp pháp của ổ đĩa, vốn để khởi động hệ điều hành, bằng mã sẽ mã hóa Bảng tập tin gốc (MFT) và hiển thị thông báo đòi tiền chuộc. MFT là một tập tin đặc biệt trên Hệ thống tập tin tiêu chuẩn của Windows (NTFS) chứa thông tin về tất cả các tập tin khác như: tên, kích thước và đường dẫn trên ổ cứng.
Nội dung thực sự của các tập tin không bị mã hóa, nhưng vì không có MFT, hệ điều hành không biết những tập tin này nằm ở đâu trên ổ đĩa. Sử dụng các công cụ phục hồi dữ liệu để tạo lại file có thể hiệu quả, nhưng không bảo đảm và tốn nhiều thời gian.
Một người trên mạng có tên leostone đã tạo ra một thuật toán crack khóa để khôi phục lại MFT và phục hồi các tập tin từ máy tính bị nhiễm Petya. Tuy nhiên, kỹ thuật này khá phức tạp.
Nhà nghiên cứu Fabian Wosar từ Emsisoft cũng tạo ra một công cụ đơn giản để giải mã tập tin bị Petya mã hóa. Tuy nhiên, vì máy tính bị lây nhiễm không thể khởi động Windows nữa, nên người dùng phải lấy ổ cứng ra khỏi máy tính bị ảnh hưởng và kết nối ổ cứng với một máy tính khác để chạy công cụ.
Dữ liệu được chiết xuất bởi công cụ này phải được nhập vào một ứng dụng Web do leostone tạo ra để crack khóa. Sau đó người dùng phải đặt ổ cứng bị ảnh hưởng trở lại máy tính ban đầu, khởi động và nhập khóa giải mã vào màn hình đòi tiền chuộc.
"Khi ổ cứng được giải mã, mã độc sẽ nhắc bạn khởi động lại máy tính và sau đó, máy tính sẽ khởi động bình thường", BleepingComputer.com cho biết.
Theo PCWorld
Petya bắt đầu xuất hiện từ tháng 3 khi được phát tán qua các email spam giả dạng các ứng dụng công việc. Petya nổi bật so với các mã độc tống tiền mã hóa tập tin khác là vì mã độc này ghi đè lên master boot record (MBR - nơi lưu trữ thông tin về phân vùng) của ổ cứng, khiến các máy tính bị lây nhiễm không thể khởi động hệ điều hành.
Nội dung thực sự của các tập tin không bị mã hóa, nhưng vì không có MFT, hệ điều hành không biết những tập tin này nằm ở đâu trên ổ đĩa. Sử dụng các công cụ phục hồi dữ liệu để tạo lại file có thể hiệu quả, nhưng không bảo đảm và tốn nhiều thời gian.
Một người trên mạng có tên leostone đã tạo ra một thuật toán crack khóa để khôi phục lại MFT và phục hồi các tập tin từ máy tính bị nhiễm Petya. Tuy nhiên, kỹ thuật này khá phức tạp.
Nhà nghiên cứu Fabian Wosar từ Emsisoft cũng tạo ra một công cụ đơn giản để giải mã tập tin bị Petya mã hóa. Tuy nhiên, vì máy tính bị lây nhiễm không thể khởi động Windows nữa, nên người dùng phải lấy ổ cứng ra khỏi máy tính bị ảnh hưởng và kết nối ổ cứng với một máy tính khác để chạy công cụ.
Dữ liệu được chiết xuất bởi công cụ này phải được nhập vào một ứng dụng Web do leostone tạo ra để crack khóa. Sau đó người dùng phải đặt ổ cứng bị ảnh hưởng trở lại máy tính ban đầu, khởi động và nhập khóa giải mã vào màn hình đòi tiền chuộc.
"Khi ổ cứng được giải mã, mã độc sẽ nhắc bạn khởi động lại máy tính và sau đó, máy tính sẽ khởi động bình thường", BleepingComputer.com cho biết.
Theo PCWorld