Đã có thể giải mã mã độc tống tiền Petya

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 12/04/16, 11:04 AM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 447
    Đã được thích: 60
    Điểm thành tích:
    48
    Các chuyên gia an ninh đã tìm ra phương pháp cho phép người dùng khôi phục dữ liệu từ máy tính bị nhiễm mã độc tống tiền Petya mà không phải trả tiền chuộc cho tội phạm mạng.

    Petya bắt đầu xuất hiện từ tháng 3 khi được phát tán qua các email spam giả dạng các ứng dụng công việc. Petya nổi bật so với các mã độc tống tiền mã hóa tập tin khác là vì mã độc này ghi đè lên master boot record (MBR - nơi lưu trữ thông tin về phân vùng) của ổ cứng, khiến các máy tính bị lây nhiễm không thể khởi động hệ điều hành.
    [​IMG]
    Mã độc này thay mã MBR hợp pháp của ổ đĩa, vốn để khởi động hệ điều hành, bằng mã sẽ mã hóa Bảng tập tin gốc (MFT) và hiển thị thông báo đòi tiền chuộc. MFT là một tập tin đặc biệt trên Hệ thống tập tin tiêu chuẩn của Windows (NTFS) chứa thông tin về tất cả các tập tin khác như: tên, kích thước và đường dẫn trên ổ cứng.

    Nội dung thực sự của các tập tin không bị mã hóa, nhưng vì không có MFT, hệ điều hành không biết những tập tin này nằm ở đâu trên ổ đĩa. Sử dụng các công cụ phục hồi dữ liệu để tạo lại file có thể hiệu quả, nhưng không bảo đảm và tốn nhiều thời gian.

    Một người trên mạng có tên leostone đã tạo ra một thuật toán crack khóa để khôi phục lại MFT và phục hồi các tập tin từ máy tính bị nhiễm Petya. Tuy nhiên, kỹ thuật này khá phức tạp.

    Nhà nghiên cứu Fabian Wosar từ Emsisoft cũng tạo ra một công cụ đơn giản để giải mã tập tin bị Petya mã hóa. Tuy nhiên, vì máy tính bị lây nhiễm không thể khởi động Windows nữa, nên người dùng phải lấy ổ cứng ra khỏi máy tính bị ảnh hưởng và kết nối ổ cứng với một máy tính khác để chạy công cụ.

    Dữ liệu được chiết xuất bởi công cụ này phải được nhập vào một ứng dụng Web do leostone tạo ra để crack khóa. Sau đó người dùng phải đặt ổ cứng bị ảnh hưởng trở lại máy tính ban đầu, khởi động và nhập khóa giải mã vào màn hình đòi tiền chuộc.

    "Khi ổ cứng được giải mã, mã độc sẽ nhắc bạn khởi động lại máy tính và sau đó, máy tính sẽ khởi động bình thường", BleepingComputer.com cho biết.

    Theo PCWorld
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. HoanPNJS

    HoanPNJS New Member

    Tham gia: 22/08/19, 05:08 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    có thể cho em xin link chi tiết công cụ giải mã Petya được không ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 321
    Đã được thích: 155
    Điểm thành tích:
    43
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan