Virut mã hóa dữ liệu Ransomware đầu tiên trên thế giới xuất hiện trên đĩa mềm năm 1989
|Những ngày gần đây trung tâm khôi phục dữ liệu – phuchoidulieuhdd nhận được rất nhiều yêu cầu cứu dữ liệu từ người dùng liên quan đến việc dữ liệu trong máy tính bị lây nhiễm mã độc Ransomware loại mã độc mã hóa tập tin, dẫn đến tình trạng không thể phục hồi các tập tin đã bị mã hóa.
Tìm hiểu về ransomware ???
Ransomware là cách gọi tên của dạng mã độc có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file.
Các thành viên của Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn là một phương pháp đáng tin cậy nhằm bảo vệ các dữ liệu nhạy cảm. Tội phạm mạng đã lợi dụng công nghệ này và tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng. Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được. Và bọn chúng thường tống tiền người dùng để trao đổi chìa khóa bí mật này. Nguy hiểm ở chỗ, chỉ duy nhất chìa khóa bí mật này mới có thể giải mã được và phục hồi dữ liệu.
Các chuyên gia của Kaspersky Lab nhận dạng các trường hợp bị nhiễm nhiều nhất tại Việt Nam là do một thành viên của Ransomware – Trojan-Ransom.Win32.Onion gây nên nhưng trước đó ý tưởng về nó đã xuất hiện cách đây hơn 2 thập kỉ và trường hợp đầu tiên trên thế giới được ghi nhận là vào năm 1989.
Trường hợp nhiễm Ransomware đầu tiên trên thế giới, xuất hiện trên đĩa mềm 1989.
Chúng ta có thể nghĩ ransomware là một phát minh hiện đại, nhưng trên thực tế thì nó đã xuất hiện từ rất lâu.
Vào tháng 12 năm 1989, Eddy Willems lúc đó hiện đang làm việc tại một công ty bảo hiểm của Bỉ, khi ông cho đĩa mềm vào máy tính của công ty. Ngay lập tức nó đưa ra bảng câu hỏi về nguy cơ lây nhiễm HIV/AIDS, ông hoàn thành bảng câu hỏi và cũng không nghĩ nhiều về nó. Nhưng sau đó vài ngày, máy tính của Willems bị khóa lại và nó yêu cầu gửi 189 USD vào hộp thư bưu điện ở Panama, máy in thậm chí còn in ra một bản hóa đơn.
Hiện tại Willems đang là nhà nghiên cứu bảo mật của Công ty an ninh mạng G Data, cho biết.
Có khả năng ngoài Willems còn có hàng ngàn người khác trên khắp thế giới đã nhận được chiếc đĩa chứa mã độc. Đây được coi là trường hợp đầu tiên của ransomware. Chúng ta có thể nghĩ rằng ransomware là một phát minh hiện đại, nhưng ý tưởng và “sự thành công” của nó đã xuất phát từ cách đây hơn hai thập kỷ.
Tại Anh, những người đứng đằng sau thứ được gọi là ransomware AIDS đã gửi đĩa mềm chứa mã độc cho độc giả của tạp chí PC Business World. Nó đã lén sửa đổi các tập tin trên ổ cứng của nạn nhân và khi máy tính được khởi động lại một vài lần thì mã độc này đã khóa máy tính của nạn nhân và đưa ra một thông báo yêu cầu thanh toán.
Tệp tin README do ransomware này thông báo: ”Bạn nên ngừng sử dụng máy tính này vì phần mềm đã hết hạn. Bạn cần gia hạn việc thuê phần mềm trước khi sử dụng lại máy tính này”. Ransomware AIDS không thực sự mã hóa nội dung của các tập tin mà chỉ mã hóa tên của các tệp. Để có thể sử dụng lại máy tính chỉ cần restore máy mặc dù khá khó khăn.
Jim Bates, nhà phân tích của Virut Bulletin cho biết: ”Việc khôi phục lại có thể đạt được một khi biết được bảng mã hóa mở rộng của tệp tin”. Ông đưa ra hai chương trình miễn phí để loại bỏ ransomware này. Willems cũng đã tìm ra cách để loại bỏ chúng từ máy tính của mình.
Ngay sau đó, Willems bật TV và biết được rằng ông không phải là người duy nhất nhận được chiếc đĩa mềm độc hại này. Các nhà điều tra sau đó đã xác định tiến sĩ Joseph Popp là người đứng sau loại ransomware AIDS.
Sau này, đĩa mềm chứa ransomeware AIDS trở thành một phần trong bộ sưu tập đáng giá về lĩnh vực bảo mật thông tin. Willem cũng treo bản sao của ông trên tường. Nhờ có ransomeware AIDS, ông đã thực sự quan tâm đến virus máy tính và ông quyết định đi theo lĩnh vực bảo mật.
Willems nói ” Ransomware AIDS đã hoàn toàn thay đổi cuộc đời tôi” và ông cũng rất muốn cảm ơn tiến sĩ Joseph Popp, người đã tạo ra loại ransomware này.
Nhiều năm sau, khoảng 2005 – 2006, hacker đã phát triển các mẫu khác về ransomware như Gpcode, Krotten và Cryzip. Nhà nghiên cứu về phần mềm độc hại Vesselin Bontchev nói.” Kỷ nguyên mới của ransomware bắt đầu với Crytolocker vào năm 2013 và hacker đã chuyển sang sử dụng bitcoin cho phép thanh toán ở mức độ ẩn danh cao”. Đến nay thì ransomware đã phát triển thành rất nhiều biến thể khác nhau và tổng hợp một số dạng dưới đây:
Alcatraz Locker
Alcatraz Locker là một ransomware strain đã được quan sát lần đầu vào giữa tháng 11 năm 2016. Để mã hóa các file của người dùng, ransomware này sử dụng mã hóa AES 256 kết hợp với mã hóa Base64.
Apocalypse
Apocalypse là một hình thức ransomware đầu tiên được phát hiện vào tháng 6 năm 2016. Đây là những dấu hiệu nhiễm trùng:
BadBlock
BadBlock là một hình thức ransomware đầu tiên được phát hiện vào tháng 5 năm 2016. Đây là những dấu hiệu nhiễm trùng:
Bart
Bart là một hình thức ransomware đầu tiên được phát hiện vào cuối tháng 6 năm 2016. Đây là những dấu hiệu nhiễm trùng:
Crypt888
Crypt888 (còn gọi là Mircop) là một hình thức ransomware đầu tiên được phát hiện vào tháng 6 năm 2016. Đây là những dấu hiệu nhiễm trùng:
CryptoMix (Offline)
CryptoMix (còn gọi là CryptFile2 hoặc Zeta) là một chủng ransomware được phát hiện đầu tiên vào tháng 3 năm 2016. Vào đầu năm 2017, một biến thể mới của CryptoMix, được gọi là CryptoShield nổi lên. Cả hai biến thể mã hóa tập tin bằng cách sử dụng mã hóa AES256 với một khóa mã hóa duy nhất được tải về từ một máy chủ từ xa. Tuy nhiên, nếu máy chủ không có sẵn hoặc nếu người dùng không kết nối internet, ransomware sẽ mã hóa các tập tin bằng khóa cố định (“khóa ngoại tuyến”).
Quan trọng : Công cụ giải mã được cung cấp chỉ hỗ trợ các tệp được mã hóa sử dụng “khoá ngoại tuyến”. Trong trường hợp khóa ngoại tuyến không được sử dụng để mã hóa tệp, công cụ của chúng tôi sẽ không thể khôi phục các tệp và không sửa đổi tệp sẽ được thực hiện.
CrySiS
CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma) là một chủng ransomware đã được quan sát từ tháng 9 năm 2015. Nó sử dụng AES-256 kết hợp với mã hóa không đối xứng RSA-1024.
.johnycryptor @ hackermail.com.xtbl ,
.ecovector2 @ aol.com.xtbl ,
.systemdown @ india.com.xtbl ,
.Vegclass @ aol.com.xtbl ,
. {[email protected]} .CrySiS ,
. {[email protected]} .xtbl ,
. {[email protected]} .xtbl ,
. {[email protected]} .xtbl ,
. {[email protected]} .dharma ,
. {[email protected]} .dharma
FindZip
FindZip là một chủng ransomware đã được quan sát vào cuối tháng 2 năm 2017. Ransomware này lây lan trên Mac OS X (phiên bản 10.11 trở lên). Mã hóa dựa trên việc tạo các tệp ZIP – mỗi tệp mã hoá là tệp lưu trữ ZIP, có chứa tài liệu gốc.
Globe
Globe là một chủng ransomware đã được quan sát từ tháng 8 năm 2016. Dựa trên biến thể, nó sử dụng phương pháp mã hóa RC4 hoặc Blowfish. Đây là những dấu hiệu nhiễm trùng:
HiddenTear
HiddenTear là một trong những mã ransomware có nguồn mở đầu tiên được lưu trữ trên GitHub và có từ tháng 8 năm 2015. Kể từ đó, hàng trăm biến thể HiddenTear đã được sản xuất bởi những kẻ lừa đảo sử dụng mã nguồn gốc. HiddenTear sử dụng mã hóa AES.
Jigsaw
Jigsaw là một loại ransomware đã được khoảng từ tháng 3 năm 2016. Nó được đặt tên theo nhân vật phim “The Jigsaw Killer”. Một số biến thể của món chuộc này sử dụng hình ảnh của Jigsaw Killer trong màn hình tiền chuộc.
Legion
Legion là một hình thức ransomware đầu tiên được phát hiện vào tháng 6 năm 2016. Đây là những dấu hiệu nhiễm trùng:
NoobCrypt
NoobCrypt là một ransomware strain đã được quan sát thấy từ cuối tháng 7 năm 2016. Để mã hóa các tập tin của người dùng, ransomware này sử dụng phương pháp mã hóa AES 256.
Stampado
Stampado là một dòng ransomware viết bằng công cụ tập lệnh AutoIt. Nó đã được khoảng từ tháng 8 năm 2016. Nó đang được bán trên web tối, và các biến thể mới tiếp tục xuất hiện. Một trong những phiên bản của nó còn được gọi là Philadelphia.
SZFLocker
SZFLocker là một hình thức ransomware đầu tiên được phát hiện vào tháng 5 năm 2016. Đây là những dấu hiệu nhiễm trùng:
TeslaCrypt
TeslaCrypt là một hình thức ransomware đầu tiên được phát hiện vào tháng Hai năm 2015. Đây là những dấu hiệu nhiễm trùng: