Hôm nay, Bitdefender vui mừng thông báo rằng sự hợp tác của chúng tôi với Cảnh sát Rumani, Europol và các cơ quan thực thi pháp luật khác đã mang lại một bộ giải mã mới khác cho tất cả các phiên bản ransomware GandCrab được phát hành kể từ tháng 10 năm 2018.
Phòng thí nghiệm Bitdefender về Trường hợp
Khi GandCrab bắt đầu trên bản đồ mối đe dọa vào tháng 1 năm 2018, Bitdefender đã phát hành bộ giải mã miễn phí đầu tiên để giúp các nạn nhân lấy lại dữ liệu số của họ. Hơn 2.000 người dùng gia đình, các công ty và tổ chức phi lợi nhuận đã sử dụng nó để lấy lại dữ liệu bị mất và tránh phải trả hàng triệu đồng tiền chuộc.
Mười tháng sau, chúng tôi đã phát hành một bộ giải mã khác để mở rộng hỗ trợ cho các phiên bản GandCrab 1, 4 và 5 lên đến 5.0.3. Kể từ đó, chúng tôi đã liên lạc và giữ liên lạc với hàng ngàn nạn nhân đang tìm kiếm sự giúp đỡ.
Mặc dù đây là lần thứ ba chúng tôi đánh bại mã hóa GandCrab trong năm qua, lễ kỷ niệm của chúng tôi sẽ diễn ra trong thời gian ngắn. Chúng tôi sẽ trở lại làm việc vào ngày mai, vì các nhà khai thác GandCrab sẽ không nghi ngờ gì về việc thay đổi chiến thuật và kỹ thuật.
>> Liên hệ VinSEP để nhận được bộ công cụ giải mã Ransomware miễn phí này nhé !
GandCrab với những con số
GandCrab đã gây ra tổn thất hàng trăm triệu đô la trên toàn cầu kể từ khi xuất hiện, và hiện là một trong những ransomware phổ biến nhất. Kể từ lần giải mã đầu tiên của chúng tôi, tổng hợp, chúng tôi đã giúp gần 10.000 nạn nhân tiết kiệm hơn 5 triệu đô la phí giải mã.
GandCrab với cuộc tấn công
Năm ngoái, một số chi nhánh của GandCrab đã bắt đầu tấn công các tổ chức thông qua các phiên bản Giao thức Remote Desktop bị lộ hoặc bằng cách đăng nhập trực tiếp bằng thông tin xác thực tên miền bị đánh cắp. Sau khi xác thực trên một PC bị xâm nhập, những kẻ tấn công tự chạy phần mềm ransomware và hướng dẫn nó phát tán trên toàn bộ mạng. Sau khi mạng bị nhiễm, những kẻ tấn công xóa sạch dấu vết của chúng và liên hệ với nạn nhân bằng lời đề nghị giải mã.
Gần đây, các nhà khai thác GandCrab cũng đã bắt đầu phân phối ransomware cho các công ty thông qua các lỗ hổng trong phần mềm hỗ trợ CNTT từ xa được sử dụng bởi các nhà cung cấp dịch vụ được quản lý để quản lý các máy trạm của khách hàng.
Sự kiên trì này là lý do tại sao phòng ngừa là rất quan trọng. Nếu bạn có một giải pháp bảo mật, hãy chắc chắn rằng nó đã được cập nhật và có các lớp bảo vệ chống lại ransomware. Càng phát hiện tốt, khả năng nhiễm của bạn càng thấp. Đồng thời đảm bảo rằng bạn đang chạy phiên bản mới nhất của hệ điều hành và phần mềm bên thứ ba.
Nếu bạn không có một giải pháp bảo mật, hãy lấy ngay bây giờ. Nó giúp ích rất nhiều, và cách thức này đỡ tốn kém hơn một khoản tiền chuộc $600.
Cuối cùng nhưng không kém phần quan trọng, hãy dừng mọi việc bạn đang làm, thực hiện và xác minh bản sao lưu bên ngoài của dữ liệu quan trọng của bạn. Nếu thảm họa xảy ra, bạn sẽ có một bản sao để khôi phục lại.
Mặt khác, Bitdefender và các cơ quan thực thi pháp luật đối tác khuyên các nạn nhân từ chối các yêu cầu của các nhà khai thác ransomware. Thay vào đó, hãy sao lưu thông tin được mã hóa và thông báo cho cảnh sát ngay lập tức. Và theo dõi chúng tôi ở đây để cập nhật.
Chúng tôi vừa phát hành một công cụ giải mã được cập nhật cho hade (Troldesh) Ransomware. Là một họ của ransomware, Shadow đã hoạt động từ năm 2014 và hoạt động ổn định kể từ đó.
Vào cuối tháng 4 năm 2020, các nhà khai thác tuyên bố rằng đang dừng hoạt động của Shadow và phát hành công khai khoảng 750.000 khóa giải mã gợi ý rằng các công ty an ninh mạng nên xây dựng một bộ giải mã tốt hơn so với chúng.
Bạn có thể tải xuống miễn phí bộ giải mã
>> Liên hệ VinSEP để nhận được bộ công cụ giải mã miễn phí này nhé!
Nếu bạn quan tâm đến cách thức hoạt động của công cụ, chúng tôi có thêm thông tin bên dưới.
Mô tả kỹ thuật:
Công cụ này phục hồi các tập tin được mã hóa bởi Shade/Troldesh ransomware. Trong khi có thể dễ dàng nhầm lẫn nó với Crysis/Dharma ransomware, nhưng Shadow lại khá khác biệt theo nhiều cách. Người ta có thể phân biệt chúng và phiên bản ransomware này bằng phần mở rộng mà nó gắn vào các tệp được mã hóa, bằng khoảng 10 ghi ransom tương tự hoặc theo cách đặt tên các tệp được mã hóa (base64):
Tiện ích mở rộng được sử dụng cho tên tệp được mã hóa:
User ID, được yêu cầu cho khớp key, cũng được tìm thấy trong tên tệp được mã hóa, cho hầu hết các phiên bản phụ của ransomware. Đối với các phiên bản cũ hơn của phần mềm độc hại, ID có thể được phục hồi từ ghi chú ransom hoặc bằng cách bắt buộc tập hợp các khóa được phát hành giới hạn.
Theo mặc định, phần mềm độc hại đi kèm với một số khóa RSA3072 công khai, được sử dụng để mã hóa các tệp, nếu không có máy chủ nào phản hồi trong vòng vài giờ. Các tác giả đã phát hành toàn bộ bộ khóa mã hóa được sử dụng trong tất cả các phiên bản phần mềm độc hại trong kho lưu trữ Github công khai.
Mặc dù các nạn nhân có hệ thống có thể kết nối thành công với máy chủ sẽ có các khóa mã hóa tùy chỉnh, những người bị nhiễm không có kết nối hoạt động sẽ được mã hóa bằng các khóa công khai RSA được mã hóa cứng.
Tập hợp các khóa được tạo động và được tải lên máy chủ của chủ sở hữu ransomware mất tới 1,8 GB (~ 749K), các khóa riêng được vận chuyển tĩnh chỉ có kích thước 1,6K và không vượt quá 4 MB.
Công cụ giải mã của chúng tôi có thể xác định nhanh chóng các khóa tương ứng, lưu trữ chúng và áp dụng nhanh hơn cho các lần giải mã tiếp theo. Công cụ không yêu cầu bất kỳ đầu vào bổ sung nào từ người dùng để giải mã. Nó yêu cầu kết nối internet hoạt động để tính toán các phím động, nếu các tệp đã bị nhiễm trong chế độ trực tuyến.
Cách sử dụng công cụ này
Bước 1: Tải về công cụ giải mã
>> Liên hệ VinSEP để nhận được bộ công cụ giải mã này nhé!
Lưu ý: Công cụ này YÊU CẦU kết nối internet đang hoạt động, vì các máy chủ của chúng tôi sẽ cố gắng trả lời ID đã gửi bằng khóa riêng RSA-3072 hợp lệ. Nếu bước này thành công, quá trình giải mã sẽ tiếp tục.
Bước 2: Bấm đúp vào tệp (trước đây được lưu dưới dạng BDParadiseDecryptor.exe) và cho phép nó chạy bằng cách bấm Yes trong lời nhắc UAC.
Bước 3: Agree to the End User License Agreement
Ở cuối bước này, các tệp của bạn sẽ được giải mã.
Nếu bạn gặp phải bất kỳ vấn đề nào, vui lòng liên hệ với chúng tôi qua địa chỉ email được chỉ định bên trong công cụ.
Nếu bạn đã chọn tùy chọn backup, bạn sẽ có cả tệp được mã hóa và giải mã ở cuối quá trình. Bạn cũng có thể tìm thấy nhật ký mô tả quá trình giải mã trong thư mục %temp%\BDRemovalTool:
Để loại bỏ các tệp được mã hóa bên trái của bạn, chỉ cần tìm kiếm các tệp khớp với phần mở rộng và xóa chúng hàng loạt. Chúng tôi không khuyến khích bạn làm điều này, cho đến khi bạn kiểm tra kỹ các tệp của mình có thể được mở một cách an toàn và không có dấu vết hư hỏng.
Không xóa các tệp lớn, vì việc giải mã của chúng có thể khó khăn và chúng tôi có thể có một số cập nhật cho các trường hợp cụ thể trong đó việc giải mã có thể bị lỗi.
Acknowledgement:
Sản phẩm này bao gồm phần mềm được phát triển bởi OpenSSL Project, để sử dụng trong Bộ công cụ OpenSSL Toolkit (http://www.openssl.org/)
Chúng tôi vui mừng thông báo về sự ra đời của bộ giải mã mới cho ransomware GoGoogle (còn gọi là BossiTossi). Họ ransomware này được viết bằng Go và tạo các tệp được mã hóa với phần mở rộng .google.
Được phát hiện vào tháng 4 năm 2020, GoGoogle ransomware có một số đặc thù riêng.
Trước hết, nó được viết bằng Golang, một ngôn ngữ lập trình đã trở nên phổ biến trong số những kẻ xấu tạo ra ransomware. Thứ hai, hai phiên bản của GoGoogle sử dụng hai phương thức mã hóa riêng biệt, tùy thuộc vào kích thước của các tệp được mã hóa. Mặc dù một phiên bản chỉ sử dụng mã hóa dựa trên XOR, phiên bản còn lại sử dụng XOR cho các tệp lớn hơn 1MB và RSA 1024 cho các tệp nhỏ hơn.
Hiện bộ giải mã này đã giải quyết được sự lây nhiễm của các tệp .google được mã hóa bằng phương thức XOR. Một bộ giải mã khác đang được cập nhật để có thể khả dụng trong tương lai cũng sẽ xử lý cho bản RSA 1024.
Cách sử dụng công cụ này
Bước 1: Tải xuống công cụ giải mã bên dưới và lưu nó vào máy tính của bạn.
>> Liên hệ VinSEP để nhận được bộ công cụ giải mã này nhé!
Bước 2: Nhấp đúp vào tệp (trước đây được lưu với tên BDGoGoogleDecryptor.exe) và cho phép nó chạy.
Bước 3: Chọn “I agree” trong màn hình Thỏa thuận cấp phép
Bước 4: Chọn “Scan Entire System” nếu bạn muốn tìm kiếm tất cả các tệp được mã hóa hoặc chỉ cần thêm đường dẫn đến các tệp được mã hóa của bạn. Chúng tôi thực sự khuyên bạn cũng nên chọn các tập tin sao lưu trong bộ phận sao lưu trước khi bắt đầu quá trình giải mã. Sau đó nhấn vào “Scan”.
Thư mục kiểm tra trên máy tính cá nhân phải có hai cặp tệp gốc / tệp mã hóa sẽ được sử dụng để xác định loại giải mã. Điều cần thiết là thư mục này chỉ chứa hai cặp:
– 1 cặp tệp được mã hóa / gốc, cả hai đều nhỏ hơn 1 MB.
– 1 cặp tệp được mã hóa / gốc, cả hai đều lớn hơn 2 MB.
LƯU Ý: Một số phiên bản của GoGoogle được cho là có thể thay đổi các tệp dưới 2MB.
Người dùng cũng có thể chọn “Overwrite existing clean files” ở tùy chọn Nâng cao trong “Advanced options”. Lúc này, công cụ sẽ ghi đè lên các tệp sạch có thể tương đương với các tệp được giải mã.
Công cụ này cũng có thể chạy ngầm, thông qua một dòng lệnh. Nếu bạn cần tự động hóa việc triển khai công cụ trong một mạng lớn, bạn có thể muốn sử dụng tính năng này.
• -help – cung cấp thông tin về cách chạy công cụ một cách im lặng (thông tin này sẽ được ghi trong tệp nhật ký, không phải trên bảng điều khiển)
• start – đối số này cho phép công cụ chạy âm thầm (không có GUI)
• -path – đối số này chỉ định đường dẫn để quét
• -test – thông số này chỉ định đường dẫn thử nghiệm phải là một cặp tệp gốc / được mã hóa
• o0:1 – cho phép Quét toàn bộ tùy chọn hệ thống (bỏ qua đối số -path)
• o1:1 – cho phép tùy chọn Sao lưu tệp
• o2:1 – cho phép ghi đè tệp hiện có
Ví dụ:
BDGoGoogleDecryptor.exe start -path:”C:\” -> công cụ sẽ chạy mà không có GUI và quét C:\
BDGoGoogleDecryptor.exe start o0:1 -> công cụ sẽ chạy mà không có GUI và quét toàn bộ hệ thống
BDGoGoogleDecryptor.exe start o0:1 o1:1 o2:1 -> công cụ quét toàn bộ hệ thống, sao lưu các tệp được mã hóa và ghi đè lên các tệp sạch.
Thông tin thêm:
Phần mềm này được phát triển bởi Dự án OpenSSL, sử dụng trong Bộ công cụ OpenSSL (http://www.openssl.org/)
Ouroboros ransomware đã có hơn một năm dưới nhiều hình thức khác nhau, được vận hành bởi các nhóm tội phạm mạng khác nhau.
Ouroboros, được biết đến là lây lan qua các cuộc tấn công tàn bạo qua giao thức Remote Desktop và các bản tải xuống lừa đảo, số lượng đáng kể nạn nhân trên toàn thế giới.
Ngay bây giờ chúng tôi vui mừng thông báo rằng đã sẵn sàng có một bộ giải mã mới có thể khôi phục các phần mở rộng tệp .Lazarus và .Lazarus + về nguyên bản ban đầu, như không bị mã hóa.Xin lưu ý rằng công cụ này chỉ hoạt động cho các mở rộng Lazarus và Lazarus +. Biến thể .Kronos vẫn đang được phân tích.Làm thế nào để biết nếu bạn bị nhiễm biến thể cụ thể này của OuroborosTrên máy tính bị nhiễm, hầu hết các tệp được mã hóa và đổi tên thành tên tệp gốc cộng với [ID=XXXXXXXXXX][Mail= * ].Lazarus or [ID=XXXXXXXXXX][Mail= * ].Lazarus+ strings. ID bao gồm 10 ký tự ngẫu nhiên. Ngoài ra, Ouroboros sẽ tạo ra một số ghi chú tiền chuộc được gọi là Read-Me-Now.txt
Nếu bạn bị nhiễm biến thể Lazarus này, bạn có thể tải xuống bộ giải mã ngay lập tức. Nếu bạn quan tâm đến cách thức hoạt động của Ouroboros, bạn có thể đọc chương tiếp theo.
>> Liên hệ VinSEP để nhận được bộ công cụ giải mã này nhé!
Mô tả kỹ thuật ngắn gọn
Các tệp bị ảnh hưởng được mã hóa bằng thuật toán AES 256 CBC dựa trên các hướng dẫn aesenc/aesenclast. Điều này ngăn phần mềm độc hại chạy trên các mô hình CPU cũ hơn (trước năm 2010) mà thiếu hỗ trợ cho các hướng dẫn này.
Fig. 3: Thói quen mã hóa với sự hỗ trợ của AES-NI
Khởi tạo được sử dụng để mã hóa được mã hóa cứng thay vì được tạo và nó thay đổi theo từng phiên bản:
Fig. 4: Khởi tạo Lazarus
Fig. 5: Khởi tạo Lazarus+
Khóa được xây dựng bằng cách sử dụng kết hợp hai PRNG (bộ tạo số giả ngẫu nhiên), Mersenne Twister và IsaacRandom, bắt đầu từ bảng chữ cái sau:
Sau khi tạo khóa, ransomware cố gắng liên hệ với máy chủ để gửi khóa cùng với thông tin người dùng. Trong trường hợp không có phản hồi, khóa sẽ bị loại bỏ và được thay thế bằng khóa được mã hóa cứng:
Cách giải mã dữ liệu của bạn
Bước 1: Tải xuống công cụ giải mã bên dưới và lưu nó ở đâu đó trên máy tính của bạn.
>> Liên hệ VinSEP để nhận được bộ công cụ giải mã này nhé!
Công cụ này không yêu cầu kết nối Internet.Bước 2: Bấm đúp vào BDOuroborosDecryptTool.exe và cho phép nó chạy ở mức cao tại dấu nhắc UAC.
Bước 3: Chấp nhận Thỏa thuận cấp phép người dùng cuối
Bước 4: Chọn Scan Entire System nếu bạn muốn tìm kiếm tất cả các tệp được mã hóa. Ngoài ra, chỉ cần thêm đường dẫn đến thư mục chứa các tệp được mã hóa. Chúng tôi thực sự khuyên bạn cũng nên chọn các tập tin sao lưu trong bộ phận sao lưu trước khi bắt đầu giải mã, nếu có bất cứ điều gì bất ngờ xảy ra trong quá trình này. Bắt đầu giải mã bằng cách nhấp vào nút Scan.Ở cuối bước này, các tệp của bạn sẽ được giải mã. Công cụ tạo nhật ký hoạt động tại vị trí %temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt.Nếu bạn cần hỗ trợ, liên hệ với chúng tôi theo địa chỉ phản hồi được liệt kê trong công cụ. Chúng tôi vui lòng yêu cầu bạn đính kèm tệp nhật ký được đề cập ở trên để giúp bạn cách ly các vấn đề tiềm ẩn và giảm thiểu thời gian phản hồi.
Triển khai tự động trên toàn mạng
Công cụ này cũng có thể được thực thi thông qua dòng lệnh. Nếu bạn cần tự động hóa việc triển khai công cụ trong một mạng lớn, bạn có thể muốn sử dụng tính năng này.
-help – provides information on how to run the tool silently (this information gets written in the log file, not on the console output)
start – this argument allows the tool to run silently (no GUI)
–path – this argument specifies the path to scan
–test – this argument specifies the test path to a pair of original/encrypted files
o0:1 – enable Scan entire system option (ignoring -path argument)
o1:1 – enable Backup files option
o2:1 – enable Overwrite existing files option
Command line examples:
BDOuroborosDecryptor.exe start -path:”C:\” -> the tool starts with no GUI and scans C:\
BDOuroborosDecryptor.exe start o0:1 -> the tool starts with no GUI and scans the entire system
BDOuroborosDecryptor.exe start o0:1 o1:1 o2:1 -> the tool scans the entire system, backs up the encrypted files and overwrites present clean files
Acknowledgement:
This product includes software developed by the OpenSSL Project, for use in the OpenSSL Toolkit.
Bitdefender, một công ty công nghệ an ninh mạng hàng đầu toàn cầu bảo vệ hơn 500 triệu người dùng trên toàn thế giới, ra mắt dòng sản phẩm bảo mật cá nhân năm 2019, tích cực nâng cao tiêu chuẩn ngành an ninh mạng.
Dòng sản phẩm an ninh dành cho cá nhân mới ngăn chặn tội phạm mạng trước khi chúng tấn công, phát hiện chúng dựa trên hành vi và bảo vệ khách hàng khỏi mọi vấn đề về bảo mật an ninh.
Bitdefender sẽ ngăn chặn các cuộc tấn công tinh vi nhất
Dòng sản phẩm mới của Bitdefender mang đến sự an tâm với các cải tiến như Ngăn chặn mối đe dọa mạng, theo dõi hệ thống chuyên sâu cho tất cả các hướng tấn công để ngăn chặn việc khai thác lỗ hổng trong hệ thống, phát hiện và chặn các nỗ lực cưỡng bức, ngăn chặn các thiết bị bị xâm phạm trong các cuộc tấn công botnet và giữ thông tin nhạy cảm khỏi các trang web không được mã hóa.
Bitdefender cũng mang đến những tiến bộ lớn cho Advanced Threat Defense của nó, theo dõi chặt chẽ các ứng dụng đang hoạt động để phát hiện hành vi đáng ngờ, sẵn sàng hành động ngay lập tức để ngăn ngừa lây nhiễm. Những cải tiến trong Web Attack Prevention, công nghệ lọc web đảm bảo bạn không bao giờ truy cập vào một trang web có hại và thông báo cho bạn biết kết quả tìm kiếm của bạn có an toàn hay không trước khi bạn nhấp vào liên kết.
Cách Bitdefender bảo mật trải nghiệm duyệt web của bạn
Với sự ra mắt của Bitdefender 2019, chúng tôi đã đưa một mô-đun mới vào cửa sổ Bảo vệ: Ngăn chặn mối đe dọa trực tuyến. Nhìn chung, tính năng bảo mật này sẽ chịu trách nhiệm ngăn chặn các cuộc tấn công ngay cả trước khi chúng bắt đầu và sẽ xử lý các vấn đề sau:
Ngăn chặn khai thác lỗ hổng trong hệ thống của bạn
Phát hiện và ngăn chặn các nỗ lực cưỡng ép
Ngăn chặn thiết bị của bạn khỏi bị xâm phạm trong các cuộc tấn công botnet
Ngăn chặn thông tin nhạy cảm được gửi ở dạng không được mã hóa
Lớp bảo vệ thích ứng dựa trên mạng mới ngăn chặn việc khai thác lỗ hổng trong hệ thống của bạn, phát hiện và chặn các nỗ lực cưỡng ép, ngăn thiết bị của bạn khỏi bị xâm phạm trong các cuộc tấn công botnet và ngăn thông tin nhạy cảm được gửi ở dạng không được mã hóa.
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
