logo-social

HOTLINE: (024) 6251 0292

khachx

Bộ giải mã phiên bản mới nhất cho mã độc tống tiền GandCrab chính thức được phát hành

 

Đội ngũ bảo mật Bitdefender mới đây đã tích cực phối hợp với các cơ quan thực thi pháp luật trên toàn thế giới, phát hành thành công một bộ giải mã phiên bản mới nhất cho mã độc tống tiền GandCrab vốn đã làm mưa làm gió trên toàn thế giới trong suốt hơn 1 năm qua. Với phiên bản GandCrab 5.2, các nạn nhân của mã độc này có thể dễ dàng giải mã những tệp tin đã bị mã hóa bởi những phiên bản 1, 4 và 5 đến 5.2.

Thông báo chính thức từ Bitdefender và Europol cho biết, họ đã phát hành bộ giải mã ransomware GandCrab để giúp các nạn nhân có được công cụ giải mã "đặc trị" cho những file bị mã hóa bởi phiên bản GandCrab mới nhất.

Các tổ chức tham gia xây dựng và phát hành bộ giải mã GandCrab 5.2 bao gồm:

"Cơ quan thực thi pháp luật đến từ Áo (Bundeskriminalambt - BMI), Bỉ (Federal Computer Crime Unit - FCCU), Bulgaria (Bulgarian Cybercrime Unit - BCU), Pháp (Police Judiciaire de Paris – Befti), Đức (LKA Baden - Wurttemberg), ), Hà Lan (Cục phòng chống tội phạm công nghệ cao - HTCU), Romania (DIICOT), Vương quốc Anh (NCA và Metropolitan Police), Hoa Kỳ (Cục Điều tra Liên bang - FBI) và Europol, cùng với đối tác tư nhân: Đội ngũ bảo mật quốc tế Bitdefender".

Tương tự như các bản phát hành trước đây của bộ giải mã GandCrab Ransomware do Bitdefender xây dựng, công cụ này không được cung cấp tự do bởi có sự xuất hiện của lỗ hổng trong thuật toán mã hóa. Thay vào đó, đội ngũ bảo mật này sẽ phối hợp với các cơ quan thực thi pháp luật từ nhiều quốc gia nhằm lấy quyền truy cập vào các máy chủ C&C của GandCrab để tải xuống các khóa giải mã cần thiết, từ đó sử dụng chúng để giải mã các tệp của nạn nhân.

Sự trỗi dậy và sụp đổ của mã độc tống tiền GandCrab

Hầu hết các trang tin công nghệ, đội ngũ bảo mật lớn trên toàn thế giới đều đã theo dõi rất sát sao mã độc GandCrab kể từ khi nó được phát hành lần đầu tiên vào ngày 28 tháng 1 năm 2018. Tại thời điểm đó, mã độc này mới chỉ bắt đầu được phân phối thông qua hệ thống Ransomware-as-an-Affiliate trên các diễn đàn hacker ngầm như Exploit.in.

Ở lần phát hành lần đầu tiên, mã độc GandCrab đã được phân phối thông qua bộ khai thác RIG. Khi lây lan được vào hệ thống của nạn nhân, nó sẽ ngay lập tức mã hóa toàn bộ hệ thống tệp đang được lưu trữ trên máy tính và nối phần mở rộng .GDCB vào sau tên của từng tệp.

Các hacker phát triển mã độc - kẻ đứng đằng sau GandCrab - đã có đã có những động thái chế giễu và thậm chí là thách thức các nhà nghiên cứu an ninh mạng cũng như các tổ chức bảo mật đang theo dõi sát sao đến mọi hoạt động của chúng.

Có thể kể đến như trong lần phát hành đầu tiên của ransomware GandCrab, những kẻ phát triển mã độc đã quyết định sử dụng tên miền cho các máy chủ C&C của chúng dựa trên các tổ chức và trang web được cho là đang nghiên cứu hoặc quan tâm nhiều nhất về ransomware này như một lời “thách thức”, bao gồm:

bleepingcomputer.bit

nomoreransom.bit

esetnod32.bit

emsisoft.bit

gandcrab.bit

 

 

Kể từ đó, 2 phe: Các chuyên gia bảo mật và những kẻ đứng sau GandCrab đã liên tục có những hành vi “ăn miếng trả miếng”. Trong giai đoạn này, các nhà nghiên cứu bảo mật tạm thời lép vế trước sự lây lan như vũ bão của GandCrab trên quy mô toàn cầu. Họ âm thầm theo dõi việc nhóm GandCrab phát hành nhiều phiên bản mới của mã độc cho đến khi phiên bản cuối cùng là 5.2 được tung ra cách đây vài tháng.

Ở giai đoạn tiếp theo, các đội ngũ bảo mật trên toàn thế giới bắt đầu tung ra những đòn phản công có sức nặng. Một số lượng không nhỏ máy chủ C2 của GandCrab đã bị hack thành công, song song với đó, các chuyên gia an ninh mạng cũng tích cực tung ra những bộ giải mã đặc dụng cho mã độc tống tiền này.

Sau gần một năm rưỡi “làm mưa làm gió”, cho đến đầu tháng 6 vừa qua, những kẻ đứng đằng sau GandCrab ransomware đã tuyên bố cho mã độc này ngừng hoạt động và đồng thời thôi thúc các “chi nhánh” độc hại của mình ngừng hẳn các hoạt động phân phối mã độc. Chúng tuyên bố đã bỏ túi được hơn 2 tỉ USD thông qua GandCrab, và 150 triệu đô la trong số đó đã được quy thành tiền mặt và “rửa” thành công thông qua việc đầu tư vào các dự án, thực thể kinh doanh hợp pháp.

Tuyên bố của những kẻ tấn công cùng với việc bộ giải mã mới nhất vừa mới được phát hành, vòng đời của GandCrab Ransomware đã chính thức kết thúc và giờ đây, nạn nhân của mã độc này hoàn toàn có thể truy xuất các tệp của họ miễn phí.

Cách giải mã tập tin bị mã hóa bởi GandCrab

Nếu hệ thống của bạn bị lây nhiễm GandCrab Ransomware v1, v4 và các phiên bản 5-5.2, thì hiện tại, đã có thể lấy lại toàn bộ các tệp bị mã hóa mà không cần phải trả tiền chuộc bằng cách sử dụng bộ giải mã được cập nhật bởi Bitdefender.

Đầu tiên, hãy tải xuống tệp BDGandCrabDecryptTool.exe

Sau khi quá trình tải xuống hoàn tất, bạn nhấp đúp vào chương trình vừa tải và sẽ nhận được một thỏa thuận cấp phép sử dụng, hãy nhấn đồng ý (accept) với các điều khoản được đưa ra.

Tiếp theo, bộ giải mã sẽ bắt đầu được khởi chạy và hiển thị thông báo rằng hệ thống của bạn cần phải được kết nối Internet để tiếp tục các bước cần thiết. Sở dĩ có yêu cầu này là bởi bộ giải mã sẽ cần phải kết nối lại với các máy chủ Bitdefender để kiểm tra khóa giải mã của bạn và tải nó về máy.

Bây giờ màn hình sẽ hiển thị tùy chọn giải mã GandCrab như trong ví dụ bên dưới. Tại thời điểm này, bạn có thể chọn tùy chọn giải mã toàn bộ các tệp bị mã hóa trên hệ thống hoặc giải mã thủ công (chỉ giải mã những thư mục cụ thể).

Các nhà nghiên cứu khuyến nghị bạn nên thử giải mã thủ công một thư mục cụ thể trước để đảm bảo bộ giải mã hoạt động chuẩn xác và không có bất cứ vấn đề nghiêm trọng nào xảy ra.

Sau khi đã chọn được tùy chọn giải mã mình muốn, để bắt đầu quá trình, bạn cần phải nhấp vào nút Start Tool.

Khi quá trình giải mã bắt đầu diễn ra, bộ giải mã sẽ tìm kiếm một ghi chú tiền chuộc để thu thập thêm một số thông tin nhất định. Những thông tin này sau đó sẽ được tải lên máy chủ của Bitdefender.

Khi một khóa giải mã được lấy và tải về máy, bộ giải mã sẽ bắt đầu giải mã các tệp trên hệ thống của bạn.

\

Khi hóa trình giải mã hoàn tất, bộ giải mã sẽ gửi thông báo cho bạn, đồng thời sẽ đưa ra cả các cảnh báo trong trường hợp có bất kỳ vấn đề nào xảy ra.

Nếu có vấn đề xảy ra, bạn có thể nhấp vào liên kết tệp nhật ký để tự động mở tệp nhật ký có tên %Temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt. Tệp này sẽ chứa một bản tóm tắt thông tin về những tệp đã được giải mã cũng như các trường hợp gặp lỗi, không thể giải mã thành công.

Ví dụ, trong thử nghiệm của các nhà nghiên cứu tại Bleeping Computer, bộ giải mã của Bitdefender đã có thể giải mã thành công gần như tất cả số tệp trong hệ thống, trừ 10 trường gặp vấn đề. Rất may, đây chỉ là những tệp cụ thể của ứng dụng, tức là chúng có thể được tạo lại bằng cách cài đặt lại ứng dụng.

Dù đã gây ra vô số phiền toái trên toàn thế giới và những kẻ đứng sau vẫn chưa được đưa ra ánh sáng, thế nhưng dù sao thì việc GandCrab, hay bất cứ ransomware nào khác ngừng hoạt động vẫn là một điều đáng ăn mừng.

(Nguồn: Quantrimang)

SmallNET luôn ở đây, sẵn lòng tư vấn miễn phí và cung cấp thông tin chi tiết hơn về các vấn đề công nghệ thông tin.

Xin hãy liên hệ với chúng tôi:
Trung tâm hỗ trợ dịch vụ SmallNET
: P1611, 18T1 Lê Văn Lương, Hà Nội 
ĐT: (024) 62510292
Email
This email address is being protected from spambots. You need JavaScript enabled to view it.

 

Visitor Counter

1294765
Today
Yesterday
This Week
Last Week
All days
808
1479
3140
1284752
1294765

Server Time: 2019-07-16 21:01:21

PARTNERS

  • doitac1
  • doitac2
  • doitac3
  • doitac4
  • doitac5
  • doitac6
  • doitac7

Follow us icon-fb icon-yt icon-yt icon-yt

Contact us skype-icon

Contact us

Service support centre :
Address: R1611, 18T1 Le Van Luong, Thanh Xuan, Hanoi
Tel: (04) 6251 0292 | Fax: (04) 6251 0646
Email :Contact@smallnet.com.vn

Sign up for newsletter

Hanoi Representative Office:
Address: 17 Yet Kieu, Hoan Kiem, Hanoi
Tel : (04) 3984 3288

Ho Chi Minh City representative office:
Address: 33/39 Nguyen Sy Sach P.15 , Tan Binh District
Hotline: 0918 559 186

Nam Dinh Province representative office:
Address: Hamlet 8, Nghia An, Nam Truc
Hotline: 0914 848 008