Biến thể của EDA2 dễ dàng bị vô hiệu hóa
An toàn thông tin - Ngày đăng : 09:48, 18/03/2016
Đâylà một loại mã độc sử dụng thuật toán mã hóa AES để mã hóa dữ liệu của người dùng rồigắn thêm phần mở rộng cho tập tin là .locked. Mã độc này phát tán tới các máy tính đồng thời đưa ra thông báo với nạn nhân rằnghọ phải trả 0,5bitcoins để chuộc lại những tập tin đã bị mã hóa.
Loại mã độc này được lây nhiễm thôngqua kết nối trên YouTube của trò chơi điện tử Far Cry Primal, một kết nối củagame không bản quyền (game crack). Khi máy tính bị nhiễm loại ransomware này, tậptin của người dùng lập tức bị mã hóa. Bên cạnh thông báo về tiền chuộc, loại mãđộc này còn có thêm một chú thích rằng không bao giờ có thể vô hiệu hóa được nó,cho dù người dùng cố gắng có được sự hỗ trợ từ cồng đồng cũng chỉ là vô ích.
Tuy nhiên, một phân tích của ví Bitcoin liên quan đến chiến dịch này tiết lộ, ransomware này lây nhiễm tới hơn 650 máy tính nhưng chỉ có 3 nạnnhân thanh toán tiền chuộc. Đến nay thì tấtcả các nạn nhân đều có thể lấy lại được các tập tin của mình mà không phải trảphí bởi những những lập trình viên phần mềm độc hại đã tạo ra một số lỗi cơ bản.
AED2là một loại ransomware mã nguồn mở được nhà bảo mật Utku Sen tạo ra hồi nămngoái để sử dụng vì mục đích giáo dục (chứkhông phải sử dụng dưới dạng mã độc tống tiền), trong đó bao gồm mộtbackdoor trên mã máy chủ điều khiển bằng lệnh (C&C - command and control)để khôi phục các tập tin đã được mã hóa. Dựa trênmã nguồn này mà tin tặc đã tạo ra loại ransomware mới.
Ngay khi phát hiện ra điều này, Utku Sen đã sử dụng backdoor để kết nối vớimáy chủ C&C và sau đó ông không những lấy lại tất cả các khóa từ máy chủ củatin tặc mà còn có thể giải mã được những khóa này. Những giải mã ngay lập tứcđược công bố trực tuyến và các nạn nhân có thể sử dụng kết hợp với công cụ HiddenTear Decryptor để khôi phục lại các tập tin của mình. Hiện nay, loại ransomwaremới này không còn hoạt động nữa, cùng với đó, máy chủ C&C cũng đã ngừnghoạt động.
Thực ra, đây là một trong những biếnthể của loại ransomware EDA2 và Hidden Tear, là 2 mẫu ransomware được Utku Sen tạo ra đề dùng cho mục đích giáodục. Các ứng dụng đã sử dụng các biến thể này bao gồm Magic, Linux.Encoder vàCryptear.B. Tuy nhiên, có một lỗ hổng trong mã nguyên bản đã cho phép các nhànghiên cứu dễ dàng tạo ra những công cụ giải mã.
Hiện nay nhà bảo mật Utku Sen đã kiểmsoát được cả hai mã nguồn của EDA2 và Hidden Tear đồng thời cũng cam kết sẽ hỗtrợ người dùng, những người đang là nạn nhân của loại ransomware dựa trên nhữngthứ mà ông đã tạo ra.
Theo securityweek.com