Mẫu virus khóa file Cryptolocker

Nhựt Trường · 07/09/2014

CryptoLocker - Virus nguy hiểm cao độ đối với dân văn phòng
Mình nghĩ khoản 2 năm nữa nó sẽ là mãu virus chủ yếu cho newbie kiếm tiền tươi thay cho keylogg nên cực kỳ nguy hiểm

virus-cryptolocker-lay-lan-hang-tram-nghin-may-tinh-thu-hon-1-tr-969f74.png

I. GIỚI THIỆU CryptoLocker Virus

Hiện nay trên cộng đồng mạng đang xuất hiện một loại Virus nguy hiểm. Phòng Công nghệ thông tin xin thông báo và chỉ dẫn lại cho cán bộ Viện được biết và có hướng phòng chống loại virus này.
CryptoLocker là một virus mới nhất và có tính nguy hiểm cao độ đối với dân văn phòng bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file.
Tính nguy hiểm là ở chỗ hiện nay chưa có cách nào giải mã được. Nếu bị nhiễm, người dùng chỉ có cách thanh toán qua mạng cho tác giả của phần mềm độc hại này một khoản phí là 100USD đối với phiên bản cũ và 300USD cho phiên bản mới của chúng.
Phần mềm độc hại này cài bất hợp pháp vào máy tính của bạn thông qua các phần mềm tiện ích khác mà bạn down trên mạng về dùng đã bị nhiễm hoặc các hình thức lan truyền khác qua mạng internet. Vì vậy bạn hãy thận trọng vì các kênh để thả CryptoLocker vào máy tính của bạn vô cùng nhiều.
Khi đã bị nhiễm vào máy tính, virus sẽ đưa các mã độc vào các file và đưa vào thư mục hệ thống cũng như đưa vào registry. Điều này cho phép CryptoLocker có thể tự động chạy mỗi khởi động Windows.
Khi chạy trên máy tính, CryptoLocker sẽ luôn hiện bảng thông báo nhắc nhở người sử dụng máy tính rằng các tập tin đã bị khóa. Nó yêu cầu thanh toán mã để mở khóa với chi phí là 100Usd hoặc 100Euro, tùy thuộc vào vị trí của người dùng.
CryptoLocker cũng luôn hiện thông báo dọa người dùng rằng với bất kỳ nỗ lực nào để loại bỏ phần mềm này sẽ dẫn tới hủy diệt ngay lập tức mã khóa (key) riêng của máy tính đó và các tập tin sẽ bị mã hóa mãi mãi .
Thông điệp của CryptoLocker tuyên bố như sau :
“Các file cá nhân của bạn đã được mã hóa !
Các file quan trọng đã bị mã hóa trên máy tính này bao gồm: hình ảnh, video , tài liệu , vv Đây là danh sách đầy đủ các tập tin được mã hóa, và cá nhân bạn có thể mở để xác minh …
Để có được khóa riêng cho máy tính này (nó sẽ tự động giải mã tập tin), bạn cần phải trả 100 USD / 100EUR / hoặc số tiền tương tự quy đổi đối với các loại tiền tệ khác. ”
Đây là một cảnh báo đáng sợ hơn nữa:
“Bất kỳ nỗ lực để loại bỏ hoặc phá hủy phần mềm này sẽ dẫn tới hủy diệt ngay lập tức mã khóa riêng của máy tính ”
Nếu bạn trả tiền cho các phần mềm độc hại như CryptoLocker tức là bạn đang hỗ trợ, thúc đẩy các hoạt động lừa đảo trực tuyến. Chúng tôi đặc biệt khuyến cáo người dùng máy tính không phải trả tiền cho các mã khóa đó. Bạn có thể sao chép các tập tin được mã hóa trên một ổ đĩa cứng riêng biệt và chạy các công cụ giải mã hợp pháp để lấy lại dữ liệu của mình.
CryptoLocker
Phiên bản mới của CryptoLocker yêu cầu một khoản tiền chuộc là $ 300. Nó tăng gấp ba lần giá của các phiên bản trước . Những kẻ đứng sau phần mềm độc hại này đều phát huy tối đa lợi thế của chúng. Chúng biết rằng người dùng bây giờ không có cách nào lấy lại dữ liệu đã mất ngoài cách trả tiền theo yêu cầu của chúng. Thậm chí Trung tâm an ninh mạng của MS cũng đã xác định rằng phần mềm này là một loại Trojan:Win32/Crilock.A sử dụng một phương pháp mã hóa vô cùng phức tạp.
Một trong các máy tính của chúng tôi cũng đã bị nhiễm và chưa giải mã được các file. Sau khi dừng được hoạt động phần mềm nó vẫn để lại một cảnh báo nguy hiểm và đầy thách thức trên màn hình nền máy tính:
Bài viết với mục đích thông báo cho mọi người biết nguy cơ tiềm ẩn của một loại virus nguy hiểm. Tránh bị đổ xuống biển bao công sức đối với những file dữ liệu quý giá mà bạn đang có.
II. TRIỆU CHỨNG NHIỄM
- CryptoLocker Virus có thể cài đặt các loại khác của phần mềm gián điệp / phần mềm quảng cáo / phần mềm độc hại
-CryptoLocker Virus có thể chiếm quyền điều khiển, chuyển hướng và thay đổi trình duyệt web của bạn
-CryptoLocker Virus có thể cài đặt các loại khác của phần mềm gián điệp / phần mềm quảng cáo / phần mềm độc hại
-CryptoLocker Virus có thể giao tiếp với tin tặc.
-CryptoLocker Virus bị chặn nhiều nhiệm vụ trên máy tính của bạn, vì vậy thật khó để chạy bất kỳ chương trình an ninh quốc phòng.

link mẫu cho ai muốn phân tích: https://www.dropbox.com/s/e85maak0lecpec8/1002.rar?dl=0
( cẩn thận chỉ chạy trên máy ảo)
Bài phân tích của trang www.secureworks.com CryptoLocker Ransomware
http://www.secureworks.com/cyber-threat-intelligence/threats/cryptolocker-ransomware/

sunny

Re: Mẫu virus khóa file Cryptolocker

Khi các máy bị nhiễm loại VR này thường sẽ cài lại win nhưng các file bị mã hóa ko thể khôi phục được. Hiện nay đã có 1 số công cụ giải mã ngược các file này, tuy nhiên bạn phải up từng file lên server của họ để nhận key giải mã,khá mất thời gian. (tham khảo Decrypt CryptoLocker)

Elder Root

Re: Mẫu virus khóa file Cryptolocker

mới down cái anti lụm rồi

hoanghaiit

Re: Mẫu virus khóa file Cryptolocker

Cái này nguy hiểm nhất đối với dân văn phòng. không biết đã có cách giải mã hóa đc chưa

theheroofvn

Re: Mẫu virus khóa file Cryptolocker

Có cách nào phòng chống con này ko ạ?

tav4