Virut mã hóa dữ liệu @india.com aol.com, dharma mã hóa dữ liệu máy chủ hoành hành tại việt nam năm 2017

Cường Mạnh

Virut mã hóa dữ liệu @india.com ; aol.com, dharma/.wallet/.zzzzz

Một loại virut rất nguy hiểm xuất hiện trong năm 2016 và đặc biệt là cuối năm 2016 đầu 2017 ghi nhận được tại cuumaytinh.com.

 

-Hiện tượng: 

Khách hàng sẽ thấy sau một đêm dữ liệu của mình bị đổi tên file mã hóa toàn bộ thành các định dạng: @india.com, hoặc @aol.com và có phần mở rộng cuối là . wallet ; dharma, zzz….

 

virus_india.com_wallet1
Dữ liệu đã bị mã hóa bởi virut @india.com

 

Kèm theo đó là các thông tin hacker để lại yêu cầu gửi mail trả tiền để chuộc lại dữ liệu.virus_india.com_wallet

 

 

Một điều khủng khiếp ở đây là hacker tấn công có chọn lọc. Theo ghi nhận của công ty phục hồi dữ liệu cuumaytinh.com thì gần như 100% các ca bị nhiễm là các máy chủ lưu trữ nhiều dữ liệu quan trọng. 

và hacker cũng yêu cầu số tiền chuộc nhiều hơn rất nhiều các loại virus mã hóa trước đây. Tham khảo các loại virut mã hóa khác

Chi phí trung bình mà hacker yêu cầu vào khoàng 2-7Btc tương đương với 2000 -7000 usd.

yêu cầu trả tiền chuộc của virut
yêu cầu trả tiền chuộc của virut
  • Phân tích kỹ thuật từ cuumaytinh.com

Theo như kiểm tra các máy bị nhiễm thì toàn bộ các máy đều là máy chủ chạy hệ điều hành windows server. Và hàng ngày không có người sử dụng trực tiếp mà chỉ chia sẻ dữ liệu cho các máy trạm sử dụng. Nhưng khi bị nhiễm chúng tôi nhận thấy các dữ liệu trên ổ hệ điều hành, các phần dữ liệu không được chia sẻ, kể cả những gì ngoài màn hình hay trong thư mục windows cũng bị mã hóa. Về mặt nguyên tắc để truy cập các dữ liệu thày can thiệp để thay đổi thì bắt buộc phải được phân quyền. nếu không thì phải đăng nhập vào account administrator.

Vậy suy ra chắc chắn haker tấn công trực tiếp vào điều khiển máy tính này và khởi chạy file thực thi mã hóa dữ liệu. Chúng tôi có thể chắc chắn lỗ hổng từ chức năng điều khiển máy tính truy cập từ xa của windows server đó chính là Remote Desktop (RDP).

virus_india.com_wallet3

  • Cách thức thực hiện xâm nhập (suy luận)
  1. Những kẻ tấn công phải có một phần mềm, một con bot tự động quét các trang web, các dải IP và tìm kiếm bất kỳ một IP của server nào có cổng RDP đang được mở,

và khi tìm thấy cổng mở hacker liên tục sẽ cố gắng đăng nhập với một danh sách định sẵn tên người dùng và mật khẩu phổ biến hay được đặt bởi các người đùng

(Chúng tôi không thấy lạ khi tại việt nam những mật khẩu được người dùng đặt rất sơ hở, đôi khi còn tắt cả yêu cầu đặt mật khẩu phức tạp của windows để đặt cho dễ nhớ).

Đây là một thuật toán đơn giản bản chất của nó là thử đi thử lại các ký tự đến khi khớp.

Chúng tôi có thể chứng minh được rằng với user name là : Administrator và mật khẩu là Abc123 chỉ mất chưa đầy 2 phút để tìm ra.

  1. Sau khi quét vô số các địa chỉ IP hacker sẽ có một bản báo cáo của các máy chủ server đang có RDP mở kèm tên người dùng và mật khẩu. Họ có thể cần để quét hàng triệu địa chỉ IP và chỉ cần vài chục hay vài trăm máy chủ đang có lỗ hổng.

Điều này giải thích tại sao có một vài nước bị nhiều hơn. Có thể do tiêu chuẩn bảo mật IT của nước đó chưa tốt, hoặc đơn giản như việt nam sài Phần mềm crack vô tội vạ và đội ngũ IT được đầu tư không đầy đủ.

  1. Sử dụng danh sách, này hacker sẽ truy cập vào từng máy điều khiển truy cập toàn quyền như ngồi trực tiếp. Nếu ở VN cá bạn hay dùng teamview thì chức Năng Remote Desktop hoạt động giống hệt và có phần mạnh hơn và phân quyền max luôn.
  1. Sau khi mã hóa hacker để lại một email để nạn nhân liên hệ với họ. Và thật sự hiện tại chưa có bất kỳ một công cụ nào có thể giải mã dữ liệu hacker đã mã hóa mà không cần có key giải mã.

 

Nếu đọc được bài viết này tôi nghĩ bạn, hoặc công ty của bạn đã có thể bị tấn công bằng cách này.

Lời khuyên ở đây là hãy đổi mật khẩu truy cập ở mức phức tạp cho máy chủ của mình, thường xuyên cập nhật các bản vá lỗi bảo mật từ bản quyền microsoft.

và quan trọng nhất là backup thường xuyên sang máy khác.

wallet-ransomware-virus

 

Đó là quan sát chung, dựa trên các phần tích cá nhân khi xử lý dữ liệu cho nhiều khách hàng của cuumaytinh.com 

cập nhật thông tin với nhất tại Fanpage: https://www.facebook.com/khoiphucdulieuhdd/

 

Một số ngươi dùng nói rằng họ muốn trả tiền để mua lại key giải mã theo yêu cầu của hacker. Vậy việc này có nên hay không ? Tỷ lệ thành công thất bại như nào ?

Xin hãy đợi bài viết tiếp theo của  chúng tôi vào ngày 14/1/2017  – Trả tiền mua key giải mã dữ liệu virut nên hay không ?

 

Đỗ Mạnh Cường – trung tâm phục hồi dữ liệu bách khoa – Cuumaytinh.com

Tổng đài tư vấn: 1900636196 – ĐT: 0912600250 – cuongmanh.data@gmail.com

Comments

comments