Lựa chọn ngôn ngữ
VNCDN Products
CDN
SECUMAIL Products
Other Products

Tên Miền

Solutions

Email: contact@vnetwork.vn

Hotline: (028) 7306 8789

Chính thức chấm dứt cơn ác mộng Ransomware GandCrab

21/06/2019
Chính thức chấm dứt cơn ác mộng Ransomware GandCrab

Thông báo chính thức từ Bitdefender và Europol cho biết, họ đã phát hành thành công bộ mã phiên bản mới nhất cho mã độc tống tiền GandCrab, vốn là một mối đe dọa nguy hiểm với nhiều doanh nghiệp trên toàn thế giới trong suốt hơn 1 năm qua.

Cũng giống như các bản mã phát hành trước đây do Bitdefender xây dựng thì các công cụ giải mã cho ransomware GandCrab không được cung cấp tự do bởi có sự xuất hiện của lỗ hổng thuật toán mã hóa. Thay vào đó, đội ngũ bảo mật này sẽ phối hợp với các cơ quan chính phủ, nhà nước từ nhiều quốc gia nhằm lấy quyền truy cập vào máy chủ C&C của GandCrab để tải xuống các khóa giải mã cần thiết, từ đó sử dụng chúng để giải mã các tệp của nạn nhân.

Mã độc tống tiền GandCrab từng gây chấn động thế giới 

Kể từ khi mã độc GandCrab được phát hành vào ngày 28 tháng 1 năm 2018, các trang tin công nghệ và đội ngũ bảo mật lớn trên toàn thế giới đều đã theo dõi “nhất cử nhất động” của nó. Tại thời điểm đó, mã độc này chỉ mới bắt đầu được phân phối thông qua hệ thống Ransomware-as-an-Affiliate trên các diễn đàn hacker ngầm như Exploit.in.

Mã độc GandCrab được phân phối thông qua bộ khai thác RIG. Khi lây lan vào hệ thống của nạn nhân, nó sẽ mã hóa toàn bộ các tệp được lưu trữ trên máy tính khiến chúng không thể sử dụng được. 


Thông báo tiền chuộc của mã độc GandCrab

Thông báo tiền chuộc của mã độc GandCrab

Trong suốt thời gian hoạt động, những kẻ đứng sau mã độc GandCrab đã liên tục sử dụng những lời lẽ chế nhạo, đùa cợt và tham chiếu đến nhiều nhà nghiên cứu bảo mật nổi tiếng. Ví dụ, trong lần phát hành đầu tiền của ransomware GandCrab, hacker đã quyết định sử dụng tên miền cho các máy chủ C&C (Command & Control) của chúng dựa trên các tổ chức và trang web được cho là đang nghiên cứu hoặc quan tâm về ransomware này như một lời “thách thức”, trong đó có:

- bleepingcomputer.bit

- nomoreransom.bit

- esetnod32.bit

- emsisoft.bit

- gandcrab.bit

Kể từ đó, các nhà nghiên cứu bảo mật và những kẻ đứng sau GandCrab đã liên tục có những hành vi “ăn miếng trả miếng”. Trong giai đoạn này, các nhà nghiên cứu dường như bị lép vế trước sự phát triển mạnh mẽ của GandCrab trên quy mô toàn cầu. Cho đến khi phiên bản GandCrab 5.2 ( phiên bản cuối cùng) được tung ra cách đây vài tháng, đội ngũ bảo mật trên toàn thế giới bắt đầu tung ra những đòn phản công thực sự có sức nặng. Một lượng lớn máy chủ C&C của GandCrab đã bị hack thành công và đồng thời các chuyên gia an ninh mạng cũng cho phát hành hàng loạt các bộ giải mã chuyên dụng cho mã độc tống tiền này.

Cuối cùng, đến đầu tháng 6 vừa qua, những kẻ phát tán mã độc GandCrab đã đưa ra thông báo rằng, chúng đang từng bước ngừng hoạt động ransomware GandCrab sau khi bỏ túi được hơn 2 tỷ đô la. Với lời tuyên bố của nhóm tội phạm cùng với bộ giải mã mới nhất của các chuyên gia mới được phát hành, nỗi ám ảnh mang tên ransomware GandCrab đã chính thức kết thúc và hiện tại, nạn nhân có thể giải mã và truy xuất dữ liệu của họ.

Xem thêm: GandCrab Ransomware ngừng hoạt động sau khi kiếm được 2 tỷ đô la

Công cụ giải mã tập tin bị mã hóa bởi GandCrab 

Nếu bạn đang là nạn nhân của mã độc ransomware GandCrab v1, v4 và các phiên bản 5-5.2, thì hiện tại, bạn đã có thể lấy lại toàn bộ dữ liệu bị mã hóa mà không cần phải trả tiền chuộc bằng cách sử dụng bộ giải mã được cập nhật bởi Bitdefender. 


Công cụ giải mã ransomware GandCrab mới nhất

Công cụ giải mã ransomware GandCrab mới nhất

Đầu tiên, hãy tải tệp BDGandCrabDecryptTool.exe tại đây. Sau đó, bạn mở chương trình vừa tải và sẽ nhận được một thỏa thuận cấp phép sử dụng, hãy nhấn đồng ý (accept) với các điều khoản đưa ra. Bộ giải mã sẽ bắt đầu hoạt động và thông báo hệ thống của bạn cần phải được kết nối Internet thì mới có thể thực hiện các bước tiếp theo. Sở dĩ phải có bước yêu cầu này là vì bộ giải mã cần kết nối với máy chủ Bitdefender để kiểm tra khóa của bạn và tải về máy.

Tại đây, màn hình sẽ hiển thị tùy chọn giải mã GandCrab như bên dưới. Lúc này bạn có thể chọn giải mã toàn bộ dữ liệu bị mã hóa hoặc giải mã thủ công bằng cách chọn những thư mục cụ thể. Theo các nhà nghiên cứu, họ khuyến cáo nên sử dụng cách giải mã thủ công để đảm bảo bộ giải mã hoạt động chuẩn xác nhất và sẽ không xảy ra bất cứ vấn đề nghiêm trọng nào.


Tùy chọn giải mã cho mã độc GandCrabTùy chọn giải mã cho mã độc GandCrab 

Sau khi chọn tệp cần giải mã, bạn nhấp chuột vào Start Tool. Hệ thống sẽ bắt đầu tải về và giải mã cho bạn. Đồng thời trong suốt quá trình, bộ giải mã sẽ tìm kiếm và thu thập thêm một số thông tin nhất định. Những thông tin này sẽ được tải lên máy chủ Bitdefender. Khi quá trình hoàn tất, bộ giải mã sẽ gửi thông báo cho bạn và sẽ đưa ra cảnh báo trong trường hợp có bất kỳ vấn đề nào xảy ra.


Quá trình giải mã tập tin bị mã hóa bởi ransomware GandCrab

Quá trình giải mã tập tin bị mã hóa bởi ransomware GandCrab


Nếu có vấn đề xảy ra, bạn có thể nhấp vào liên kết nhật ký để tự động mở tệp nhật ký có tên Temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt. Trong tệp nhật ký sẽ chứa một bản tóm tắt thông tin về những tệp đã được giải mã cũng như các trường hợp gặp lỗi, không được giải mã thành công. Khi đó đừng lo lắng, bạn chỉ cần cài đặt lại ứng dụng và tiến hành giải mã lại những tệp mắc lỗi hoặc để lại thắc mắc tại diễn đàn Hỗ trợ và Trợ giúp GandCrab


Hoàn tất quá trình giải mã GandCrabHoàn tất quá trình giải mã GandCrab 

Mặc dù, đã chính thức khép lại cuộc tấn công ransomware GandCrab nhưng những kẻ đứng sau vẫn chưa được lộ diện. Mối nguy hiểm về mã độc tống tiền ransomware vẫn còn có thể bùng phát bất kỳ lúc nào và có thể tinh vi, nguy hiểm hơn rất nhiều. Nhưng dù sao GandCrab kết thúc, cũng là một điều tốt đối với nhân loại.

Tổng hợp