Hướng dẫn xử lý mã độc tống tiền Jigsaw và giải mã dữ liệu đã mã hóa

whf

whf

Super Moderator
Thành viên BQT
06/07/2013
796
1.304 bài viết
Hướng dẫn xử lý mã độc tống tiền Jigsaw và giải mã dữ liệu đã mã hóa
whf
Theo thống kê từ FBI, mã độc tống tiền (ransomware) đã và đang tấn công hàng ngàn người dùng Internet trên toàn cầu, gây thiệt hại hàng triệu USD. Đặc điểm chung các dòng mã độc này là khi lây nhiễm vào máy tính người dùng sẽ mã hóa dữ liệu của họ và đòi tiền chuộc. Khi đó người dùng sẽ có 2 lựa chọn là bỏ dữ liệu hoặc trả tiền cho tin tặc để giải mã dữ liệu.

1700018007561.png

Mã độc tống tiền có nhiều dòng với nhiều biến thể khác nhau. Tuy nhiên nếu bạn không may bị nhiễm dòng ransomware Jigsaw thì đừng vội buồn và đem tiền nộp cho tin tặc vì trong bài viết này mình sẽ hướng dẫn các bạn cách xử lý và giải mã dữ liệu khi bị nhiễm dòng ransomware Jigsaw miễn phí.

Tìm hiểu về dòng mã độc tống tiền Jigsaw

Jigsaw là một dòng mã độc tống tiền khi lây nhiễm vào máy tính người dùng sẽ mã hóa, đòi tiền chuộc và sau mỗi 60 phút đếm dữ liệu đã bị mã hóa sẽ bị xóa bớt nếu người dùng không thanh toán sớm, điều đó có nghĩa là nếu thanh toán càng trễ người dùng sẽ mất càng nhiều dữ liệu.

Dấu hiệu nhận diện máy tính bị nhiễm mã độc tống tiền Jigsaw và một số phân tích

Khi bị nhiễm mã độc Jigsaw người dùng sẽ thấy yêu cầu đòi tiền chuộc như sau:

1489939948jigsaw.gif


Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.
If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.
Thank you
Nhấn để mở rộng...

I want to play a game with you. Let me explain the rules:
All your files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files,
the second day a few hundred, the third day a few thousand, and so on.
If you turn off your computer or try to close me, when I start next time
you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
Now, let's start and enjoy our little game together!
Nhấn để mở rộng...

Eu quero jogar um jogo. Deixe-me explicar as regras:
Todos os seus arquivos serao deletados. Fotos, vídeos, documentos, etc.
Mas nao se preocupe! Só vai acontecer se voce nao cooperar.
Porém, eu já encriptei seus arquivos, entao voce nao consegue mais acessá-los.
A cada hora eu seleciono algum deles para ser excluído permanentemente,
Voce conhece o conceito de crescimento exponencial? Funciona assim:
Começa devagar e acelera depressa
Nas primeiras 24h voce só perderá alguns arquivos
No segundo dia, algumas centenas, no teceiro, milhares, e assim vai
Se voce desligar seu computador ou tentar me fechar
1.000 (MIL) arquivos serao deletados como puniçao
E voce vai querer que eu continue aqui,
já que sou o único que pode devolver seus arquivos
Agora, vamos jogar!
Envie 50 dólares (aproximadamente R$200) em bitcoins para o endereço abaixo
(Se voce nao sabe comprar e enviar bitcoins, procure no Google. É fácil)
Nhấn để mở rộng...

Dữ liệu người dùng sẽ bị mã hóa thành file có phần mở rộng .FUN, .KKK, .GWS, .BTC tùy vào biến thể.

Khi mã hóa một file nó sẽ lưu tên file vào danh sách những file đã mã hóa vào %UserProfile%\AppData\Roaming\System32Work\Encrypt edFileList.txt

Những file có phần mở rộng sau sẽ bị mã hóa bởi Jigsaw:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar
Nhấn để mở rộng...

Một số file được tạo ra bởi ransomware:

%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address .txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\Encrypt edFileList.txt
Nhấn để mở rộng...

Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \firefox.exe %UserProfile%\AppData\Roaming\Frfx\firefox.exe
Nhấn để mở rộng...

Xử lý ransomware Jigsaw và giải mã dữ liệu bị mã hóa như thế nào?

1. Bạn cần một chương trình quản lý process như Task Manager, Procexp... sau đó tìm và tắt tiến trình có tên là firefox.exe and drpbx.exe
2. Dùng công cụ Msconfig và vô hiệu hóa mục startup firefox.exe trỏ về %UserProfile%\AppData\Roaming\Frfx\firefox.exe
3. Tải công cụ có tên JigSawDecrypter.zip về giải nén các bạn sẽ có file JigSawDecrypter.exe, hãy chạy nó lên sẽ có giao diện như sau:
1489939948jsd.png

Để giải mã dữ liệu bạn hãy chọn Select Directory để chọn thư mục và chọn Decrypt My Files sau đó chương trình sẽ tiến hành giải mã dữ liệu. Khi giải mã hoàn thành sẽ có thông báo như sau:

1489939948jsdf.png

Như vậy dữ liệu của bạn đã được giải mã mà không phải tốn một đồng cho tin tặc, sau khi hoàn thành các bước trên các bạn hãy tải ngay một chương trình diệt virus tin cậy và quét toàn bộ máy nhé.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
D
Bác có mẫu không cho e xin nghiên cứu với ạ !
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
whf
duatcomputer: Hiện tại mình không còn giữ mẫu, chỉ còn công cụ giải mã. Nếu tìm lại được mình sẽ gửi bạn sau nhé. :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
whf;n59752 đã viết:
duatcomputer: Hiện tại mình không còn giữ mẫu, chỉ còn công cụ giải mã. Nếu tìm lại được mình sẽ gửi bạn sau nhé. :)
Nhấn để mở rộng...

Cảm ơn bạn nhiều, rất cần loại này để làm nghiên cứu
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Hướng dẫn phân tích extension trình duyệt độc hại với ExtAnalysis
  • Hướng dẫn xử lý các lỗi của hệ thống phát sinh do mã độc
  • Hướng dẫn rà soát phần mềm độc hại trên Linux
  • Hướng dẫn rà soát virus, mã độc cơ bản cực kì đơn giản
  • [Tool Re 2] Hướng dẫn debug động virus bằng IDA
  • [Tool Re 1] Hướng dẫn debug động virus bằng IDA
    • Bên trên