Jun 25, 2008
137 Views

Xuất hiện virus mã hóa dữ liệu của người dùng tại Việt Nam

Written by

Hãng bảo mật Kaspersky cuối tuần qua đã phải lên tiếng kêu gọi sự giúp đỡ của cộng đồng để bẻ khóa cơ chế mã hóa 1024-bit RSA được tin tặc ứng dụng trong phiên bản mới Trojan Gpcode.

Một khi con Trojan này đột nhập thành công vào PC nó sẽ ngay lập tức mã hóa các tệp tin. Tổng cộng Gpcode có thể mã hóa tới 143 loại tệp tin khác nhau như .bak, .doc, .jpg, .pdf … Các tệp tin sau khi bị mã hóa sẽ được thêm từ “_CRYPT” vào trong tên còn bản gốc sẽ bị hủy bỏ. Không những thế con Trojan sau khi hoàn thành nhiệm vụ cũng “tự tử” luôn nhằm tránh bị phát hiện.

Sau đó, thông điệp đòi tiền chuộc sẽ được cho hiển thị trên màn hình PC. “Các tệp tin dữ liệu của anh/chị đã bị mã hóa bằng thuật toán 1024-bit RSA. Để khôi phục lại anh/chị cần phải mua phần mềm giải mã. Xin hay liên hệ với chúng tôi qua địa chỉ email [email protected], để mua phần mềm này”.

Con Trojan đã được Kaspersky phát hiện ngay sau khi nó bắt đầu phát tán không lâu. Tuy nhiên, hãng bảo mật này đã không thể phá được thuật toán mã khóa mà Gpcode đã sử dụng. Đáng chú ý khóa mã hóa mà Gpcode sử dụng lại được tạo ra bằng chính công cụ Enhanced Cryptographic Provider tích hợp sẵn trong hệ điều hành Microsoft Windows.

“Chúng tôi không thể giải mãi được các tệp tin đã bị mã hóa. RSA 1024-bit là một thuật toán mã hóa cực mạnh, rất khó có thể phá được. Chúng tôi chỉ có trong tay khóa công cộng chứ không có khóa cá nhân, nên không thể giải mã được các tệp tin đã bị mã hóa”.

Cuối cùng Kaspersky đã phải lên tiếng kêu gọi sự trợ giúp của cộng đồng. “Đây thực sự là một thách thức rất lớn. Chúng tôi ước tính phải cần đến khoảng 15 triệu PC cao cấp vận hành liên tục trong khoảng một năm mới đủ sức phá được khóa bảo mật 1024-bit này,” Aleks Gostev – chuyên gia phân tích mã độc hàng đầu của Kaspersky – cho biết.

“Chính vì thế mà chúng tôi kêu gọi các bạn – các chuyên gia mã hóa, các tổ chức khoa học, tổ chức chính phủ, hãng bảo mật, chuyên gia nghiên cứu bảo mật … – hãy cùng chung sức với chúng tôi để chiến đấu với Gpcode”.

Kể từ khi Gpcode xuất hiện cho đến nay nó đã liên tục được tin tặc cải tiến và không ngừng ứng dụng kỹ thuật mã hóa mới. Hai năm trước đây Gpcode ứng dụng khóa mã 660-bit nhưng Kaspersky đã may mắn phá được khóa này do kẻ lập trình Gpcode đã không cẩn thận trong việc ứng dụng thuật toán mã hóa.

Gpcode một lần nữa xuất hiện cuối mùa hè năm ngoái với cơ chế mã hóa được tuyên bố lên tới 4096-bit RSA

Nguồn: tech24vn

Từ overflow (virutsvn) : Ko phải đã có mặt tại VN đâu, chính xác là có mặt ở VN gần như sớm nhất trên TG, mình vô tình gặp 1 máy bên viettel bị tình trạng như trên, lên google search thì kq chỉ có 1 4rum ở nga bàn về hiện tượng này (lúc đó Kav vẫn chưa update và đưa ra bài phân tích), 3 ngày sau mình search thì con số đã là >1000 trang. Bẻ khóa RSA-1024 là gần như ko thể rồi, tạm thời theo mình, những tài liệu quantrọng nên đổi sang đuôi khácĐánh giá của banmebynight (virutsvn) : Loại worm này sẽ mã hoá thep phương pháp RSA các tệp sau trêncác ổ đĩa từ C đến Z…và thay thế bằng tên của file đó với đuôi mở rộng là: ._CRYPT và đính kèm thêm mộtfile trong thư mục đó với tên là !_READ_ME_!.txt :

• 7z• abd• abk• acad• ace• arh• arj• arx• asm• bak• bcb• bz• bz2• c• cc• cdb• cdr• cdw• cer• cgi• chm• cnt• cpp• css• csv• db• db1• db2• db3• db4• dba• dbb• dbc• dbd• dbe• dbf• dbm• dbo• dbq• dbt• dbt• dbx• djvu• doc• dok• dpr• dwg• dxf• ebd• eml• eni• ert• fax• fjs• flb• frg• frm• frt• frx• gfa• gfd• gfr• gtd• gz• gzip• h• hpp• htm• html• iges• igs• inc• jad• jar• java• jfi• jpe• jpeg• jpg• jsp• key• kwm• ldiflst• ldr• lsp• lzh• lzw• man• mdb• mht• mmf• mnb• mns• mnu• mo• msb• msg• mxl• old• p12• pak• pas• pdf• pem• pfx• pgp• php• php3• php4• pl• pm3• pm4• pm5• pm6• prf• prx• pst• pw• pwa• pwl• pwm• rar• rmr• rnd• rtf• safesar• sig• sql• tar• tbb• tbb• tbk• tdf• tgz• txt• uue• vb• vcf• wab• xls• xml

Qua quá trình tìm tòi thì có thấy một trang web này:  http://islab.oregonstate.edu/koc/ece575/02Project/Kie+Raj/

tương đối hay về cách mã hoá và giải mã RSA -1024 sử dụng Matlab

Mọi người có ai rành về matlab, hãy cùng nhau nghiên cứu và xây dựng trên nền tảng này.

Nếu chưa nắm rõ về RSA là gi các bạn có thể vào Wikipedia:

http://www.rsa.com/
http://en.wikipedia.org/wiki/RSA
http://vi.wikipedia.org/wiki/RSA_(m%C3%A3_h%C3%B3a)

bài của Haipt

Theo như mình biết, trường hợp này có thể khôi phục được dữ liệu, một số thiết bị chuyên dụng có thể khôi phục lại dữ liệu bị ghi đè tới bảy lần căn cứ vào dấu vết trên cung từ ( tôi nói thiết bị phần cứng chứ ko phải các tiện ích unerase, với các tool này ghi đè 1 lần cũng hết cứu ), ngay cả phần mềm wipeinfo của norton cũng khuyến cáo muốn xóa file không thể khôi phục được cũng cần fast là ghi chập 3 lần, standard > 7 lần thì mới an toàn.. Thời điểm hiện nay thì phần cứng chắc tiến bộ khá nhiều.Nhưng loại thiết bị này hình như không phổ dụng và chỉ dành cho số ít các chuyên gia, viện nghiên cứu vì rất đắt tiền

cái này có thể khôi phục được bạn có thể đọc tài liệu về RSA, trong đó có nói về vấn đề này như: Thuật toán RSA có hai khóa: khóa công khai (hay khóa công cộng) và khóa bí mật (hay khóa cá nhân). Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã. Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa. Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng. Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa cá nhân (bí mật) mới có thể giải mã được

Article Tags:
· · ·
Article Categories:
Virut/Trojan
    http://linholiver.com

    https://linholiver.com/diary/about/