Sau khi phân tích mã độc Petya, các chuyên gia bảo mật nghi ngờ công cụ này hoàn toàn không có khả năng giải mã dữ liệu của nạn nhân kể cả khi đã nhận được tiền. Kết luận này phù hợp với giả thiết cuộc tấn công không nhằm mục đích kinh tế mà nhằm mục đích tiêu diệt dữ liệu người dùng, ngụy trang dưới dạng mã độc tống tiền.
Kết quả phân tích được trình bày như dưới đây. Trước mắt, để giải mã đĩa cứng của nạn nhân, hacker sẽ cần mã cài đặt:
Ở các phiên bản mã độc tống tiền trước như Mischa, GoldenEye, mã cài đặt này chứa các thông tin quan trọng để phục hồi khóa giải mã. Sau khi hacker nhận được mã, chúng sẽ trích xuất khóa giải mã bằng chìa cá nhân riêng
Trong ExPetr (Biến thể của Petya),mã cài đặt được sinh ra như sau:
Trong thử nghiệm này thì mã cài đặt được tạo ra bằng chức năng CryptGenRandom, tức nó chỉ đơn giản sinh mã ngẫu nhiên:
Đoạn dữ liệu đệm sau chứa mã được sinh ngẫu nhiên ở định dạng “BASE58”:
So sánh 2 đoạn mã với nhau thì kết quả hoàn toàn trùng khớp. Thông thường, chuỗi dữ liệu này phải chứa dữ liệu mã hóa dùng để khôi phục chìa giải mã. Trong ExPetr, mã cài đặt trên màn hình tống tiền hoàn toàn được sinh ngẫu nhiên. Điều này nghĩa là hacker không thể trích xuất bất cứ dữ liệu giải mã nào từ chuỗi ngẫu nhiên này và nạn nhân sẽ hoàn toàn không thể khôi phục dữ liệu đã bị mã hóa kể cả có trả tiền đi nữa. Đây là một tin rất xấu cho những ai ít hiểu biết về máy tính và lỡ bị dính mã độc, vì dữ liệu sẽ bị mất hoàn toàn, có trả tiền cũng không lấy lại được. Và nguy hiểm hơn, giả thiết cuộc tấn công của Petya và các biến thể đã rõ ràng hơn – chúng rõ ràng đang nhắm tới mục tiêu phá hủy dữ liệu chứ không phải muốn thu lợi nữa.
Game4v khuyến cáo bạn đọc nếu chưa thực hiện các biện pháp phòng ngừa thì hãy mau chóng củng hố hệ thống, chống lại mã độc Petya trước khi quá muộn.
(Theo SecureList)
CÙNG CHUYÊN MỤC
