Mẫu virus khóa file Cryptolocker

Nhựt Trường

Whi-----
31/10/2013
33
143 bài viết
Mẫu virus khóa file Cryptolocker
CryptoLocker - Virus nguy hiểm cao độ đối với dân văn phòng
Mình nghĩ khoản 2 năm nữa nó sẽ là mãu virus chủ yếu cho newbie kiếm tiền tươi thay cho keylogg nên cực kỳ nguy hiểm
virus-cryptolocker-lay-lan-hang-tram-nghin-may-tinh-thu-hon-1-tr-969f74.png

I. GIỚI THIỆU CryptoLocker Virus

Hiện nay trên cộng đồng mạng đang xuất hiện một loại Virus nguy hiểm. Phòng Công nghệ thông tin xin thông báo và chỉ dẫn lại cho cán bộ Viện được biết và có hướng phòng chống loại virus này.
CryptoLocker là một virus mới nhất và có tính nguy hiểm cao độ đối với dân văn phòng bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file.
Tính nguy hiểm là ở chỗ hiện nay chưa có cách nào giải mã được. Nếu bị nhiễm, người dùng chỉ có cách thanh toán qua mạng cho tác giả của phần mềm độc hại này một khoản phí là 100USD đối với phiên bản cũ và 300USD cho phiên bản mới của chúng.
Phần mềm độc hại này cài bất hợp pháp vào máy tính của bạn thông qua các phần mềm tiện ích khác mà bạn down trên mạng về dùng đã bị nhiễm hoặc các hình thức lan truyền khác qua mạng internet. Vì vậy bạn hãy thận trọng vì các kênh để thả CryptoLocker vào máy tính của bạn vô cùng nhiều.
Khi đã bị nhiễm vào máy tính, virus sẽ đưa các mã độc vào các file và đưa vào thư mục hệ thống cũng như đưa vào registry. Điều này cho phép CryptoLocker có thể tự động chạy mỗi khởi động Windows.
Khi chạy trên máy tính, CryptoLocker sẽ luôn hiện bảng thông báo nhắc nhở người sử dụng máy tính rằng các tập tin đã bị khóa. Nó yêu cầu thanh toán mã để mở khóa với chi phí là 100Usd hoặc 100Euro, tùy thuộc vào vị trí của người dùng.
CryptoLocker cũng luôn hiện thông báo dọa người dùng rằng với bất kỳ nỗ lực nào để loại bỏ phần mềm này sẽ dẫn tới hủy diệt ngay lập tức mã khóa (key) riêng của máy tính đó và các tập tin sẽ bị mã hóa mãi mãi .
Thông điệp của CryptoLocker tuyên bố như sau :
“Các file cá nhân của bạn đã được mã hóa !
Các file quan trọng đã bị mã hóa trên máy tính này bao gồm: hình ảnh, video , tài liệu , vv Đây là danh sách đầy đủ các tập tin được mã hóa, và cá nhân bạn có thể mở để xác minh …

Để có được khóa riêng cho máy tính này (nó sẽ tự động giải mã tập tin), bạn cần phải trả 100 USD / 100EUR / hoặc số tiền tương tự quy đổi đối với các loại tiền tệ khác. ”
Đây là một cảnh báo đáng sợ hơn nữa:
“Bất kỳ nỗ lực để loại bỏ hoặc phá hủy phần mềm này sẽ dẫn tới hủy diệt ngay lập tức mã khóa riêng của máy tính ”
Nếu bạn trả tiền cho các phần mềm độc hại như CryptoLocker tức là bạn đang hỗ trợ, thúc đẩy các hoạt động lừa đảo trực tuyến. Chúng tôi đặc biệt khuyến cáo người dùng máy tính không phải trả tiền cho các mã khóa đó. Bạn có thể sao chép các tập tin được mã hóa trên một ổ đĩa cứng riêng biệt và chạy các công cụ giải mã hợp pháp để lấy lại dữ liệu của mình.
CryptoLocker
Phiên bản mới của CryptoLocker yêu cầu một khoản tiền chuộc là $ 300. Nó tăng gấp ba lần giá của các phiên bản trước . Những kẻ đứng sau phần mềm độc hại này đều phát huy tối đa lợi thế của chúng. Chúng biết rằng người dùng bây giờ không có cách nào lấy lại dữ liệu đã mất ngoài cách trả tiền theo yêu cầu của chúng. Thậm chí Trung tâm an ninh mạng của MS cũng đã xác định rằng phần mềm này là một loại Trojan:Win32/Crilock.A sử dụng một phương pháp mã hóa vô cùng phức tạp.
Một trong các máy tính của chúng tôi cũng đã bị nhiễm và chưa giải mã được các file. Sau khi dừng được hoạt động phần mềm nó vẫn để lại một cảnh báo nguy hiểm và đầy thách thức trên màn hình nền máy tính:
Bài viết với mục đích thông báo cho mọi người biết nguy cơ tiềm ẩn của một loại virus nguy hiểm. Tránh bị đổ xuống biển bao công sức đối với những file dữ liệu quý giá mà bạn đang có.
II. TRIỆU CHỨNG NHIỄM
- CryptoLocker Virus có thể cài đặt các loại khác của phần mềm gián điệp / phần mềm quảng cáo / phần mềm độc hại
-CryptoLocker Virus có thể chiếm quyền điều khiển, chuyển hướng và thay đổi trình duyệt web của bạn
-CryptoLocker Virus có thể cài đặt các loại khác của phần mềm gián điệp / phần mềm quảng cáo / phần mềm độc hại
-CryptoLocker Virus có thể giao tiếp với tin tặc.
-CryptoLocker Virus bị chặn nhiều nhiệm vụ trên máy tính của bạn, vì vậy thật khó để chạy bất kỳ chương trình an ninh quốc phòng.

link mẫu cho ai muốn phân tích: https://www.dropbox.com/s/e85maak0lecpec8/1002.rar?dl=0
( cẩn thận chỉ chạy trên máy ảo)
Bài phân tích của trang www.secureworks.com CryptoLocker Ransomware
http://www.secureworks.com/cyber-threat-intelligence/threats/cryptolocker-ransomware/
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Mẫu virus khóa file Cryptolocker

Khi các máy bị nhiễm loại VR này thường sẽ cài lại win nhưng các file bị mã hóa ko thể khôi phục được. Hiện nay đã có 1 số công cụ giải mã ngược các file này, tuy nhiên bạn phải up từng file lên server của họ để nhận key giải mã,khá mất thời gian. (tham khảo Decrypt CryptoLocker)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

mới down cái anti lụm rồi :eek:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

Cái này nguy hiểm nhất đối với dân văn phòng. không biết đã có cách giải mã hóa đc chưa
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

Có cách nào phòng chống con này ko ạ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

hoanghaiit;15457 đã viết:
Cái này nguy hiểm nhất đối với dân văn phòng. không biết đã có cách giải mã hóa đc chưa

Vâng, hiện tại bên chỗ mình đang nghiên cứu và chút có manh mối. Tuy nhiên là một cuộc chiến khá trường kỳ. Mình thì bên cứu hộ dữ liệu nên cũng đang cố gắng hết sức mình. Cần thêm chút thời gian để chúng mình giải mã và phục hồi lại dữ liệu. Dù biết là rất khó khăn...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

theheroofvn;15470 đã viết:
Có cách nào phòng chống con này ko ạ?

Cài một AV đủ mạnh cập nhật thường xuyên + cẩn thận khhi SD máy tính là ổn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

tav4;15471 đã viết:
Vâng, hiện tại bên chỗ mình đang nghiên cứu và chút có manh mối. Tuy nhiên là một cuộc chiến khá trường kỳ. Mình thì bên cứu hộ dữ liệu nên cũng đang cố gắng hết sức mình. Cần thêm chút thời gian để chúng mình giải mã và phục hồi lại dữ liệu. Dù biết là rất khó khăn...

Một mình bạn làm được điều này ư?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

Kido_ih;15502 đã viết:
Một mình bạn làm được điều này ư?

Vâng, cám ơn bạn. Không phải mình nổ. Mà vì mình cũng là do yêu nghề và cũng là chuyên gia cứu dữ liệu lâu năm. Ai trong ngành, cũng cố gắng hết sức để giúp đỡ mọi người và cộng đồng mà bạn. Dù là cá nhân hay tổ chức, không phân biệt ai. Nói là khó that, nhưng chả nhẽ nằm đó mà không có hành động gì... :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

Củng miếng cơm manh áo. nêu thích thì share cho anh em cùng ngâm cứu ko thì củng mong bạn là người đầu tiên tìm ra cách trị con này trên thế giới.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Mẫu virus khóa file Cryptolocker

Nhựt Trường;15534 đã viết:
Củng miếng cơm manh áo. nêu thích thì share cho anh em cùng ngâm cứu ko thì củng mong bạn là người đầu tiên tìm ra cách trị con này trên thế giới.

Oh không. Bạn hiểu lầm ý mình rồi. Mình chả phải dấu nghề hay giữ riêng cho mình. Mình cũng mới nghiên cứu về loại này và đầu tư thời gian, phần mềm, cũng như kinh nghiệm vào giải mã. Mục đích là giúp giảm thiểu chi phí tiền bạc và không bị hacker lợi dụng. Mình biết rất khó khăn, cũng như các bạn. Thời gian đầu mình cũng tìm ra chút manh mối. Nhưng như các bạn đã biết, vacin khống chế cái này thật sự ảo lắm. Vì vừa phát hiện song biến thể 1 để giải mã thì vài giây hay ngày sau đã có biến thể 2 cao hơn.

Thật sự một cuộc chiến rất vất vả. Nhưng với tâm huyết, mình cũng hy vọng cùng với các tổ chức hay trung tâm cứu hộ tìm ra giải pháp về lâu về dài. Mình cũng không dám nói trước, quá trình nghiên cứu và giãi mã có thành công hay không... :)

Xin trân thành cám ơn các bạn !!!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên