Kaspersky tiết lộ cách diệt Gpcode

Kaspersky tiết lộ cách "diệt" Gpcode.Kaspersky Lab tuyên bố người dùng có thể dùng một ứng dụng khôi phục tệp tin mã nguồn mở đơn giản để khôi phục các tệp tin bị Trojan "bắt cóc tống tiền" mã hóa và xóa mất.Ngày 8/6, hãng bảo mật có trụ sở tại Moscow đã phát đi cảnh báo người dùng về biến thể mới của con Trojan "bắt cóc tống tiền" Gpcode.ak. Đáng chú ý biến thể này có thể mã hóa tệp tin sử dụng khóa mã RSA 1024-bit. Kaspersky đã phải lên tiếng kêu gọi sự giúp đỡ của...
Nội dung trích xuất từ tài liệu:
Kaspersky tiết lộ cách "diệt" GpcodeKaspersky tiết lộ cách diệt GpcodeKaspersky Lab tuyên bố người dùng có thể dùng một ứng dụng khôiphục tệp tin mã nguồn mở đơn giản để khôi phục các tệp tin bị Trojanbắt cóc tống tiền mã hóa và xóa mất.Ngày 8/6, hãng bảo mật có trụ sở tại Moscow đã phát đi cảnh báo người dùngvề biến thể mới của con Trojan bắt cóc tống tiền Gpcode.ak. Đáng chú ýbiến thể này có thể mã hóa tệp tin sử dụng khóa mã RSA 1024-bit. Kasperskyđã phải lên tiếng kêu gọi sự giúp đỡ của cộng đồng nhằm phá khóa mã này.Cụ thể, Gpcode có thể mã hóa 143 loại tệp tin khác nhau trên PC bị lâynhiễm và xóa các tệp tin gốc đi trước khi cho hiển thị thông điệp yêu cầungười dùng phải trả tiền thì mới có thể lấy lại được các tệp tin đã bị mã hóa.Chuyên gia nghiên cứu bảo mật Dancho Danchev cho biết mức tiền mà conTrojan này đòi người dùng phải trả để mua phần mềm giải mã hóa tệp tin làtừ 100-200 USD.Sau nhiều ngày nghiên cứu, Kaspersky đã tìm được một giải pháp giúp ngườidùng lấy lại các tệp tin đã bị mã hóa mà không phải trả tiền. Hoàn toàn cóthể khôi phục lại các tệp tin đã bị xóa nếu như ổ đĩa cứng chưa có thay đổi gìvề cấu trúc dữ liệu. Một chuyên gia nghiên cứu của Kaspersky có nickname là VitalyK - trong một bài viết trên trang blog chính thức của hãng - cho biết người dùng hoàn toàn có thể sử dụng một ứng dụng khôiphục tệp tin đã bị xóa mất mã nguồn mở có tên là PhotoRec để lấy lại các tệptin đã bị Gpcode xóa mất.Khả năng trên là hoàn toàn có thể bởi khi lây nhiễm lên hệ thống Gpcode sẽnhanh chóng mã hóa các tệp tin nằm trong khả năng của nó, xóa bản gốc củanhững tệp tin này và tự hủy nhằm tránh bị phát hiện. Chính vì thế người dùngkhông phải lo ngại các tệp tin được khôi phục sẽ lại bị mã hóa lần nữa.Ngoài ra Kaspersky còn phát triển thêm một ứng dụng có tên StopGpcode kếthợp nhuần nhuyễn với PhotoRec giúp khôi phục không chỉ tệp tin mà cả tênđầy đủ các tệp tin như trước khi bị con Trojan này mã hóa.Chuyên gia VitalyK thừa nhận việc phá khóa mã RSA 1024-bit của Gpcodedường như là một điều bất khả thi trừ phi có được khóa mã cá nhân của chínhngười tạo ra mã khóa đó.