Cập nhât T2/2019 – Công cụ giải mã virus Gandcrab V 5.0.4 ; 5.1 miễn phí mới
Virus mã hóa dữ liệu đòi tiền chuộc GandCrab Ransomware quay trở lại với biến thể mới GandCrab 5.0.4 đang tấn công hàng ngàn người dùng Internet tại Việt Nam. Theo ghi nhận mới nhất tại trung tâm khôi phục dữ liệu Bách Khoa hàng ngày có vô số trường hợp gọi điện tư vấn về tình trạng dữ liệu của mình bị nhiễm loại virus mã hóa này.
Thế hệ thứ nhất của GandCrab Ransomware được phát hiện lần đầu tiên trên thế giới vào tháng 01/2018.Từ đó đến nay dòng virus mã hóa này liên tục được hacker cải tiến, nâng cấp liên tục qua 4 thế hệ với mức độ tinh vi và độ phức tạp ngày càng cao và bây giờ chúng ta thấy là biến thể Ransomeware thứ năm, mới nhất là GandCrab 5.0.4.
GandCrab 5.0.4 là gì và cơ chế mã hóa:
GandCrab 5.0.4 là một biến thể khác của Ransomware được gọi là GandCrab, nó được thiết kế để xâm nhập vào các hệ thống dữ liệu của người dùng và mã hóa hầu hết các tệp được lưu trữ. Cũng như với hầu hết các Ransomware, một phụ lục ngẫu nhiên được thêm vào tên của mỗi tệp bị xâm nhập. Trong trường hợp này, GandCrab thêm chuỗi“.rotxkry” (ví dụ: “ảnh.jpg” được đổi tên thành “ảnh.jpg.rotxkry’’). Điều khác biệt là mã hóa tệp tin không phải là tính năng duy nhất của GandCrab 5.0.4,virus này cũng được thiết kế để thay đổi hình nền máy tính và đặt tệp văn bản(‘’ {chuỗi ngẫu nhiên} – DECRYPT.txt”) và ảnh của Valery Sinyaev trong mọi thư mục hiện có (Theo trang Web Linkedln, Valery Sinyaev là một chuyên gia Tài chính và Điều hành, cũng không biết tại sao các nhà phát triển của GandCrab lại sử dụng ảnh của anh ấy trên máy tính của nạn nhân) .
Sau khi bị nhiễm virus, hình nền máy tính chứa một thông báo ngắn cho biết dữ liệu được mã hóa và nạn nhân phải đọc tin nhắn trong tệp văn bản mới để biết thêm thông tin. Trên thông báo cho biết dữ liệu đã được mã hóa và chỉ có thể được khôi phục bằng khóa giải mã duy nhất, mỗi nạn nhân nhận được một khóa giải mã duy nhất cần thiết để khôi phục dữ liệu của họ. Việc giải mã dữ liệu mà không có khóa duy nhất là không thể. Tội phạm giấu các khóa này trên một máy chủ từ xa và tống tiền nạn nhân để phát hành, để nhận được chìa khóa của họ, mỗi nạn nhân phải trả tiền chuộc bằng cách truy cập trang web GandCrab 5.0.4 và làm theo hướng dẫn. Sau khi mở trang Web, người dùng phải ngay lập tức được thông báo rằng khóa tương đương với một số tiền và tiền chuộc phải được trả bằng tiền điện tử Bitcoin hoặc DASH. Trang web cũng chứa đồng hồ đếm ngược, khi bạn kích hoạt cũng là lúc đồng hồ này đếm và đến khi nó đạt đến không thì chi phí được cho là tăng gấp đôi. Và thật không may là không có công cụ nào có khả năng bẻ khóa giải mã GandCrab 5.0.4 và khôi phục dữ liệu miễn phí. Do đó nạn nhân chỉ có thể chọn giải mã hoặc bỏ dữ liệu.
Dưới đây là ảnh chụp màn hình tin nhắn khuyến khích người dùng trả tiền chuộc để giải mã dữ liệu của GandCrab 5.0.4.
Virus mã hóa dữ liệu GandCrab 5.0.4.
GandCrab 5.0.4 có cơ chế gần như giống hệt với hàng chục loại virus ransomware khác, như Locky, WannaCry, Dharma,… Mặc dù các virus này có chức năng khác nhau nhưng hành vi của chúng là giống hệt nhau – mã hóa tất cả các dữ liệu và đưa ra yêu cầu tiền chuộc.
Tại sao Ransomware lây nhiễm được máy tính của người dùng ??
Ransomware cụ thể là GandCrab 5.0.4 được lây nhiễm theo nhiều cách khác nhau, tuy nhiên có 4 cách phổ biến nhất:
- – Trojan
- – Các chiến dịch email spam
- – Cập nhật phần mềm giả mạo
- – Nguồn tải phần mềm không chính thức
Trojans gây ra cái gọi là nhiễm trùng chuỗi – một loại virus chỉ đơn giản sinh sôi nảy nở. Các chiến dịch spam phân phối các tệp đính kèm độc hại, sau khi mở email, tải xuống và cài đặt phần mềm độc hại. Trình cập nhật phần mềm giả mạo lây nhiễm máy tính bằng cách khai thác lỗi của các phần mềm lỗi thời hoặc tải xuống và cài đặt phần mềm giả mạo thay vì cập nhật. Các nguồn tải xuống của bên thứ ba khác (trang web lưu trữ tệp miễn phí, trang web tải xuống phần mềm miễn phí…) nó trình bày phần mềm độc hại dưới dạng phần mềm hợp pháp dẫn đến người dùng bị lừa nên tải xuống và cài đặt virus.
Làm thế nào để không bị lây nhiễm mã độc:
Hai lý do chính khiến cho máy tính của người dùng bị nhiễm loại virus mã hóa dữ liệu này là thiếu kiến thức và hành vi bất cẩn.
Chìa khóa để không bị lây nhiễm là thận trọng. Do đó, người dùng hãy chú ý khi truy cập Internet và tải xuống/cài đặt/ cập nhật phần mềm. Bên cạnh đó bạn nên nghiên cứu cẩn thận tất cả các tệp đính kèm email nhận được. Nếu là những tệp không liên quan hoặc khi hỏi người có vẻ nghi ngờ và không nhận ra tệp đó thì đừng mở bất cứ thứ gì. Hơn nữa chỉ tải xuống ứng dụng từ các nguồn chính thức, sử dụng các liên kết tải xuống trực tiếp. Lưu ý là trình tải xuống, trình cài đặt của bên thứ ba thường bao gồm các ứng dụng giả mạo do đó những công cụ này không bao giờ nên được sử dụng.Tương tự áp dụng cho các bản cập nhật phần mềm, điều quan trọng là phải luôn cập nhật phần mềm (và hệ điều hành) đã cài đặt, tuy nhiên phải thông qua các chức năng hoặc công cụ được triển khai chỉ do nhà phát triển chính thức cung cấp.
Cuối cùng là nên cài đặt phần mềm chống virus có uy tín để bảo vệ máy tính của bạn, hạn chế sự tấn công trước virus mã hóa dữ liệu nguy hiểm này.
>>>Tham khảo thêm bài viết: Xử lý virus mã hóa dữ liệu GandCrab 5.0