21 Tháng 6, 2019
Thông báo chính thức từ Bitdefender và Europol cho biết, họ đã phát hành thành công bộ mã phiên bản mới nhất cho mã độc tống tiền GandCrab, vốn là một mối đe dọa nguy hiểm với nhiều doanh nghiệp trên toàn thế giới trong suốt hơn 1 năm qua.
Cũng giống như các bản mã phát hành trước đây do Bitdefender xây dựng thì các công cụ giải mã cho ransomware GandCrab không được cung cấp tự do bởi có sự xuất hiện của lỗ hổng thuật toán mã hóa. Thay vào đó, đội ngũ bảo mật này sẽ phối hợp với các cơ quan chính phủ, nhà nước từ nhiều quốc gia nhằm lấy quyền truy cập vào máy chủ C&C của GandCrab để tải xuống các khóa giải mã cần thiết, từ đó sử dụng chúng để giải mã các tệp của nạn nhân.
Mã độc tống tiền GandCrab từng gây chấn động thế giới
Kể từ khi mã độc GandCrab được phát hành vào ngày 28 tháng 1 năm 2018, các trang tin công nghệ và đội ngũ bảo mật lớn trên toàn thế giới đều đã theo dõi “nhất cử nhất động” của nó. Tại thời điểm đó, mã độc này chỉ mới bắt đầu được phân phối thông qua hệ thống Ransomware-as-an-Affiliate trên các diễn đàn hacker ngầm như Exploit.in.
Mã độc GandCrab được phân phối thông qua bộ khai thác RIG. Khi lây lan vào hệ thống của nạn nhân, nó sẽ mã hóa toàn bộ các tệp được lưu trữ trên máy tính khiến chúng không thể sử dụng được.
Thông báo tiền chuộc của mã độc GandCrab
Trong suốt thời gian hoạt động, những kẻ đứng sau mã độc GandCrab đã liên tục sử dụng những lời lẽ chế nhạo, đùa cợt và tham chiếu đến nhiều nhà nghiên cứu bảo mật nổi tiếng. Ví dụ, trong lần phát hành đầu tiền của ransomware GandCrab, hacker đã quyết định sử dụng tên miền cho các máy chủ C&C [Command & Control] của chúng dựa trên các tổ chức và trang web được cho là đang nghiên cứu hoặc quan tâm về ransomware này như một lời “thách thức”, trong đó có:
- bleepingcomputer.bit
- nomoreransom.bit
- esetnod32.bit
- emsisoft.bit
- gandcrab.bit
Kể từ đó, các nhà nghiên cứu bảo mật và những kẻ đứng sau GandCrab đã liên tục có những hành vi “ăn miếng trả miếng”. Trong giai đoạn này, các nhà nghiên cứu dường như bị lép vế trước sự phát triển mạnh mẽ của GandCrab trên quy mô toàn cầu. Cho đến khi phiên bản GandCrab 5.2 [ phiên bản cuối cùng] được tung ra cách đây vài tháng, đội ngũ bảo mật trên toàn thế giới bắt đầu tung ra những đòn phản công thực sự có sức nặng. Một lượng lớn máy chủ C&C của GandCrab đã bị hack thành công và đồng thời các chuyên gia an ninh mạng cũng cho phát hành hàng loạt các bộ giải mã chuyên dụng cho mã độc tống tiền này.
Cuối cùng, đến đầu tháng 6 vừa qua, những kẻ phát tán mã độc GandCrab đã đưa ra thông báo rằng, chúng đang từng bước ngừng hoạt động ransomware GandCrab sau khi bỏ túi được hơn 2 tỷ đô la. Với lời tuyên bố của nhóm tội phạm cùng với bộ giải mã mới nhất của các chuyên gia mới được phát hành, nỗi ám ảnh mang tên ransomware GandCrab đã chính thức kết thúc và hiện tại, nạn nhân có thể giải mã và truy xuất dữ liệu của họ.
Xem thêm:GandCrab Ransomware ngừng hoạt động sau khi kiếm được 2 tỷ đô la
Công cụ giải mã tập tin bị mã hóa bởi GandCrab
Nếu bạn đang là nạn nhân của mã độc ransomware GandCrab v1, v4 và các phiên bản 5-5.2, thì hiện tại, bạn đã có thể lấy lại toàn bộ dữ liệu bị mã hóa mà không cần phải trả tiền chuộc bằng cách sử dụng bộ giải mã được cập nhật bởi Bitdefender.
Công cụ giải mã ransomware GandCrab mới nhất
Đầu tiên, hãy tải tệp BDGandCrabDecryptTool.exe tạiđây. Sau đó, bạn mở chương trình vừa tải và sẽ nhận được một thỏa thuận cấp phép sử dụng, hãy nhấn đồng ý [accept] với các điều khoản đưa ra. Bộ giải mã sẽ bắt đầu hoạt động và thông báo hệ thống của bạn cần phải được kết nối Internet thì mới có thể thực hiện các bước tiếp theo. Sở dĩ phải có bước yêu cầu này là vì bộ giải mã cần kết nối với máy chủ Bitdefender để kiểm tra khóa của bạn và tải về máy.
Tại đây, màn hình sẽ hiển thị tùy chọn giải mã GandCrab như bên dưới. Lúc này bạn có thể chọn giải mã toàn bộ dữ liệu bị mã hóa hoặc giải mã thủ công bằng cách chọn những thư mục cụ thể. Theo các nhà nghiên cứu, họ khuyến cáo nên sử dụng cách giải mã thủ công để đảm bảo bộ giải mã hoạt động chuẩn xác nhất và sẽ không xảy ra bất cứ vấn đề nghiêm trọng nào.
Tùy chọn giải mã cho mã độc GandCrab
Sau khi chọn tệp cần giải mã, bạn nhấp chuột vàoStart Tool. Hệ thống sẽ bắt đầu tải về và giải mã cho bạn. Đồng thời trong suốt quá trình, bộ giải mã sẽ tìm kiếm và thu thập thêm một số thông tin nhất định. Những thông tin này sẽ được tải lên máy chủ Bitdefender. Khi quá trình hoàn tất, bộ giải mã sẽ gửi thông báo cho bạn và sẽ đưa ra cảnh báo trong trường hợp có bất kỳ vấn đề nào xảy ra.
Quá trình giải mã tập tin bị mã hóa bởi ransomware GandCrab
Nếu có vấn đề xảy ra, bạn có thể nhấp vào liên kết nhật ký để tự động mở tệp nhật ký có tênTemp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt.Trong tệp nhật ký sẽ chứa một bản tóm tắt thông tin về những tệp đã được giải mã cũng như các trường hợp gặp lỗi, không được giải mã thành công. Khi đó đừng lo lắng, bạn chỉ cần cài đặt lại ứng dụng và tiến hành giải mã lại những tệp mắc lỗi hoặc để lại thắc mắc tạidiễn đàn Hỗ trợ và Trợ giúp GandCrab.
Hoàn tất quá trình giải mã GandCrab
Mặc dù, đã chính thức khép lại cuộc tấn công ransomware GandCrab nhưng những kẻ đứng sau vẫn chưa được lộ diện. Mối nguy hiểm về mã độc tống tiền ransomware vẫn còn có thể bùng phát bất kỳ lúc nào và có thể tinh vi, nguy hiểm hơn rất nhiều. Nhưng dù sao GandCrab kết thúc, cũng là một điều tốt đối với nhân loại.
Tổng hợp
VNETWORK
------------
Website://vnetwork.vn
Facebook://bit.ly/2Ee9HIK
Email:
Hotline: [028] 7306 8789
11 Tháng 6, 2019
Sau gần một năm rưỡi “làm mưa làm gió”, những kẻ đứng sau mã độc tống tiền GandCrab tuyên bố mã độc này ngừng hoạt động, đồng thời thôi thúc các “chi nhánh” ngừng phân phối mã độc tống tiền này.
Mã độc tống tiền mới nhất xuất hiện sau CTB Locker và WannaCry, GandCrab đã “gửi lời chào” đến người dùng Internet vào ngày 28 tháng 1 năm 2018 và nhanh chóng bùng nổ, song song đó, những kẻ tấn công phát tán dịch vụ của mình trên các trang web đen, web ngầm. Kể từ đó, GandCrab trở thành kẻ thống trị, gây ám ảnh cho mọi hệ thống máy tính mạng trên toàn thế giới, trong đó có Việt Nam.
GandCrab nguy hiểm như thế nào?
GandCrab là một loạiransomware được phát tán thông qua bộ công cụ khai thác lỗ hổng RIG. Sau khi xâm nhập vào hệ thống, các dữ liệu sẽ bị mã hóa thành file “*.GDCB” hoặc file “*.CRAB” và không sử dụng được. Tại thời điểm mã hóa, mã độc sẽ sinh ra một tệp CRAB-DECRYPT.txt và yêu cầu người dùng trả tiền chuộc từ 400 – 1.000 đô la bằng tiền điện tử DASH.
Để giải mã dữ liệu, nạn nhân phải mở một trang web Tor và làm theo hướng dẫn. Trang web này thông báo rằng giải mã đòi một khóa duy nhất, được lưu trữ trên một máy chủ từ xa và được kiểm soát bởi các nhà phát triển mã độc GandCrab. Thật không may, thông tin này hoàn toàn chính xác và chưa có công cụ nào có khả năng phục hồi các tệp được mã hóa bởi GandCrab.
GandCrab ngừng hoạt động sau khi bỏ túi khoản tiền lớn
Hai nhà nghiên cứu bảo mật Damian và David Montenegro, là những người đã theo dõi các hoạt động của mã độc GandCrab cho biết, các hacker GandCrab đã đăng trên diễn đàn chuyên hack và phần mềm độc hại Exploit.in với nội dung chúng đang từng bước ngừng hoạt động GandCrab hoàn toàn trong thời gian tới.
Những kẻ đứng sau mã độc GandCrab gửi thông báo trên diễn đàn
Theo nội dung cho thấy, những kẻ phát tán mã độc GandCrab đã kiếm được tổng cộng hơn 2 tỷ đô la từ mã độc này thông qua các tài khoản thanh toán tiền chuộc của nạn nhân. Trung bình mỗi tuần mã độc GandCrab kiếm về khoảng 2,5 triệu đô la, trong đó, 150 triệu đô la đã được quy thành tiền mặt và thanh toán cho việc đầu tư vào dự án.
Theo đó, trong thông báo, chúng cũng đề cập đến việc ngừng hoạt động của ransomware này, đồng thời, yêu cầu các “chi nhánh” ngừng phân phối mã độc trong vòng 20 ngày tới và xóa toàn bộ các tài liệu liên quan vào cuối tháng này.
Ngoài ra, những kẻ tấn công cũng không quên gửi thông báo “cuối cùng” đến các nạn nhân đang còn chần chừ chưa thanh toán tiền chuộc rằng, nếu muốn lấy lại dữ liệu quan trọng cần thiết thì phải nhanh chóng trả tiền chuộc vì các key giải mã cho dữ liệu cũng sẽ bị tiêu tan vào cuối tháng này, đồng nghĩa với việc các dữ liệu của nạn nhân cũng sẽ vĩnh viễn “đi vào dĩ vãng”.
Nếu đây thực sự là một cuộc rút lui của GandCrab, sau khi gây thiệt hại khổng lồ lên đến hơn 2 tỷ đô la trên toàn thế giới thì vẫn là một điều tốt cho nhân loại. Mặc dù, nhiều doanh nghiệp đã phải chịu nhiều tổn thất khi bị mã độc này lấy mất dữ liệu.
Tuy nhiên, trong lịch sử lĩnh vực an ninh mạng đã chứng kiến rất nhiều trường hợp các ransomware quy mô lớn sẽ xuất hiện để thế chân cho một ransomware lớn trước đó đã ngừng hoạt động. Điều này cho thấy rất có thể trong tương lai gần khi mã độc GandCrab ngừng hoạt động, một mã độc tống tiền khác sẽ “mọc lên” và bằng nhiều hình thức tấn công mới nguy hiểm hơn, tinh vi hơn đe dọa đến nhiều tổ chức, doanh nghiệp trên toàn thế giới.
Vì bản chất ransomware là loại phần mềm độc hại có độ “sát thương” cao nên bảo mật thông tin doanh nghiệp là việc làm hết sức quan trọng và cần thiết. Trước hết, các doanh nghiệp cần trang bị những kiến thức cơ bản về an ninh mạng cho nhân viên và phải hết sức cảnh giác với những hành vi tấn công của hacker. Ngoài ra, sự bảo vệ tốt nhất với mã độc là sử dụng hệ thống bảo mật ngăn chặn hiệu quả các hình thức tấn công tinh vi của hacker gây ra.
Tổng hợp