Mã độc RansomExx mã hóa được cả hệ thống Linux

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2018, 09/11/20, 02:11 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 342
    Đã được thích: 117
    Điểm thành tích:
    43
    Đối với các công ty sử dụng cả máy chủ Windows và Linux, hacker sẽ tìm cách tạo ra các biến thể ransomware trên Linux để đảm bảo chúng mã hóa được tất cả các dữ liệu quan trọng.

    Theo một báo cáo từ Kaspersky, các nhà nghiên cứu đã phát hiện sự tồn tại của mã độc tồng tiền RansomExx, hay còn gọi là Defray777 trên hệ điều hành Linux.

    Đây là loại mã độc đang được chú ý gần đây khi vừa tấn công vào mạng lưới chính phủ của Brazil và trước đó là Sở Giao thông vận tải của bang Texas (Mỹ) cùng một số công ty khác.

    Phiên bản trên Linux của RansomExx

    Khi nhắm mục tiêu vào các máy chủ Linux, những kẻ vận hành RansomExx sẽ triển khai một file ELF có thể thực thi có tên 'svc-new' được sử dụng để mã hóa các máy chủ của nạn nhân.

    Theo các nhà nghiên cứu: “Sau những phân tích ban đầu, chúng tôi tìm thấy trong code, ghi chú đòi tiền chuộc và cách thức tiếp cận của trojan có sự tương đồng với họ RansomExx trước đây”.

    Các thành phần được nhúng trong tệp thực thi trên Linux bao gồm khóa mã hóa RSA-4096 công khai, ghi chú đòi tiền chuộc và một tệp mở rộng được đặt theo tên khách hàng.
    ransomExx.jpg

    Không giống như phiên bản Windows, phiên bản Linux khá đơn giản. Nó không chứa mã để kết thúc các tiến trình, không xóa dung lượng trống như các phiên bản Windows từng làm và không giao tiếp với máy chủ C&C.

    Nếu nạn nhân trả tiền chuộc, họ sẽ nhận được cả bộ giải mã của Linux và Windows với khóa private tương ứng và tệp mở rộng được mã hóa nhúng trong file thực thi.

    Phiên bản trên Linux có tên 'decryptor64' và là bộ giải mã dòng lệnh như hình bên dưới.
    ransomExx_2.jpg
    RansomExx không phải là mã độc tống tiền đầu tiên được tạo cho phiên bản Linux. Trong quá khứ, Pysa (Menispoza), Snatch và PureLocker cũng đã phát tán các biến thể trên hệ điều hành này.

     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Husky Silly

    Husky Silly New Member

    Tham gia: Thứ tư
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Bác cho em hỏi 1 vấn đề được không?
    Hiện máy em đã bị dính virus mã hóa file đuôi *.vari
    hiện nay em search toàn ra soft key mặc định, bác có biết phần mềm nào decrypt mã hóa file mà điền key không ? em cảm ơn !
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,808
    Đã được thích: 435
    Điểm thành tích:
    83
    Hiện tại chưa có công cụ giải mã đâu bạn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 481
    Đã được thích: 222
    Điểm thành tích:
    43
    Bạn sử dụng tool recover bạn nhé, hiện tại chưa có tool giải mã. Một số tool recover như: Recuva, Data Recovery Pro
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Delete

    Delete W-------

    Tham gia: 18/10/15, 10:10 AM
    Bài viết: 7
    Đã được thích: 6
    Điểm thành tích:
    3
    50% lỗi đến từ ng sử dụng, sử dụng trực tiếp quyền root là dở rồi
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. Husky Silly

    Husky Silly New Member

    Tham gia: Thứ tư
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    vâng, em cảm ơn bác, chủ yếu em tìm để test key thôi ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Husky Silly

    Husky Silly New Member

    Tham gia: Thứ tư
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    em cảm ơn bác, nhưng các phần mềm đó hầu như tỉ lệ lấy lại rất khó vì ransomware nó cũng đã xóa mất phần backup lưu trước đó rồi.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: