Bộ giải mã GandCrab 5.2 chính thức được phát hành, kết thúc cơn ác mộng tồi tệ mang tên GandCrab Ransomware

Đội ngũ bảo mật Bitdefender mới đây đã tích cực phối hợp với các cơ quan thực thi pháp luật trên toàn thế giới, phát hành thành công một bộ giải mã phiên bản mới nhất cho mã độc tống tiền GandCrab vốn đã làm mưa làm gió trên toàn thế giới trong suốt hơn 1 năm qua. Với phiên bản GandCrab 5.2, các nạn nhân của mã độc này có thể dễ dàng giải mã những tệp tin đã bị mã hóa bởi những phiên bản 1, 4 và 5 đến 5.2.

Thông báo chính thức từ Bitdefender và Europol cho biết, họ đã phát hành bộ giải mã ransomware GandCrab để giúp các nạn nhân có được công cụ giải mã "đặc trị" cho những file bị mã hóa bởi phiên bản GandCrab mới nhất.

• Shade ransomware, cơn ác mộng của 5 năm trước đang có dấu hiệu quay trở lại

Thông báo đòi tiền chuộc của GandCrab

Các tổ chức tham gia xây dựng và phát hành bộ giải mã GandCrab 5.2 bao gồm:

"Cơ quan thực thi pháp luật đến từ Áo (Bundeskriminalambt - BMI), Bỉ (Federal Computer Crime Unit - FCCU), Bulgaria (Bulgarian Cybercrime Unit - BCU), Pháp (Police Judiciaire de Paris – Befti), Đức (LKA Baden - Wurttemberg), ), Hà Lan (Cục phòng chống tội phạm công nghệ cao - HTCU), Romania (DIICOT), Vương quốc Anh (NCA và Metropolitan Police), Hoa Kỳ (Cục Điều tra Liên bang - FBI) và Europol, cùng với đối tác tư nhân: Đội ngũ bảo mật quốc tế Bitdefender".

Tương tự như các bản phát hành trước đây của bộ giải mã GandCrab Ransomware do Bitdefender xây dựng, công cụ này không được cung cấp tự do bởi có sự xuất hiện của lỗ hổng trong thuật toán mã hóa. Thay vào đó, đội ngũ bảo mật này sẽ phối hợp với các cơ quan thực thi pháp luật từ nhiều quốc gia nhằm lấy quyền truy cập vào các máy chủ C&C của GandCrab để tải xuống các khóa giải mã cần thiết, từ đó sử dụng chúng để giải mã các tệp của nạn nhân.

Hướng dẫn về cách sử dụng bộ giải mã GandCrab có thể được tìm thấy ở cuối bài viết này. Nếu bạn cần đến bất kỳ sự giúp đỡ nào, vui lòng để lại nhận xét trong bài viết này hoặc đặt câu hỏi trên diễn đàn Hỗ trợ và Trợ giúp về GandCrab của trang tin an ninh mạng Bleeping Computer.

• [Infographic] 7 cách hiệu quả để bảo vệ doanh nghiệp khỏi Ransomware

Sự trỗi dậy và sụp đổ của mã độc tống tiền GandCrab

Hầu hết các trang tin công nghệ, đội ngũ bảo mật lớn trên toàn thế giới đều đã theo dõi rất sát sao mã độc GandCrab kể từ khi nó được phát hành lần đầu tiên vào ngày 28 tháng 1 năm 2018. Tại thời điểm đó, mã độc này mới chỉ bắt đầu được phân phối thông qua hệ thống Ransomware-as-an-Affiliate trên các diễn đàn hacker ngầm như Exploit.in.

Ở lần phát hành lần đầu tiên, mã độc GandCrab đã được phân phối thông qua bộ khai thác RIG. Khi lây lan được vào hệ thống của nạn nhân, nó sẽ ngay lập tức mã hóa toàn bộ hệ thống tệp đang được lưu trữ trên máy tính và nối phần mở rộng .GDCB vào sau tên của từng tệp.

Bản gốc thông báo tiền chuộc của GandCrab

Các hacker phát triển mã độc - kẻ đứng đằng sau GandCrab - đã có đã có những động thái chế giễu và thậm chí là thách thức các nhà nghiên cứu an ninh mạng cũng như các tổ chức bảo mật đang theo dõi sát sao đến mọi hoạt động của chúng.

Có thể kể đến như trong lần phát hành đầu tiên của ransomware GandCrab, những kẻ phát triển mã độc đã quyết định sử dụng tên miền cho các máy chủ C&C của chúng dựa trên các tổ chức và trang web được cho là đang nghiên cứu hoặc quan tâm nhiều nhất về ransomware này như một lời “thách thức”, bao gồm:

• bleepingcomputer.bit
• nomoreransom.bit
• esetnod32.bit
• emsisoft.bit
• gandcrab.bit

Kể từ đó, 2 phe: Các chuyên gia bảo mật và những kẻ đứng sau GandCrab đã liên tục có những hành vi “ăn miếng trả miếng”. Trong giai đoạn này, các nhà nghiên cứu bảo mật tạm thời lép vế trước sự lây lan như vũ bão của GandCrab trên quy mô toàn cầu. Họ âm thầm theo dõi việc nhóm GandCrab phát hành nhiều phiên bản mới của mã độc cho đến khi phiên bản cuối cùng là 5.2 được tung ra cách đây vài tháng.

• Phát hiện ransomware mới không chỉ mã hóa tệp mà còn giúp ‘dọn dẹp’ hệ thống

Ghi chú tiền chuộc GandCrab 5.2

Ở giai đoạn tiếp theo, các đội ngũ bảo mật trên toàn thế giới bắt đầu tung ra những đòn phản công có sức nặng. Một số lượng không nhỏ máy chủ C2 của GandCrab đã bị hack thành công, song song với đó, các chuyên gia an ninh mạng cũng tích cực tung ra những bộ giải mã đặc dụng cho mã độc tống tiền này.

Sau gần một năm rưỡi “làm mưa làm gió”, cho đến đầu tháng 6 vừa qua, những kẻ đứng đằng sau GandCrab ransomware đã tuyên bố cho mã độc này ngừng hoạt động và đồng thời thôi thúc các “chi nhánh” độc hại của mình ngừng hẳn các hoạt động phân phối mã độc. Chúng tuyên bố đã bỏ túi được hơn 2 tỉ USD thông qua GandCrab, và 150 triệu đô la trong số đó đã được quy thành tiền mặt và “rửa” thành công thông qua việc đầu tư vào các dự án, thực thể kinh doanh hợp pháp.

Thông báo ngừng hoạt động của GandCrab

Tuyên bố của những kẻ tấn công cùng Với việc bộ giải mã mới nhất vừa mới được phát hành, vòng đời của GandCrab Ransomware đã chính thức kết thúc và giờ đây, nạn nhân của mã độc này hoàn toàn có thể truy xuất các tệp của họ miễn phí.

• Mã độc tống tiền GandCrab ngừng hoạt động sau khi kiếm được 2.5 tỷ đô la trên toàn thế giới

Cách giải mã tập tin bị mã hóa bởi GandCrab

Nếu hệ thống của bạn bị lây nhiễm GandCrab Ransomware v1, v4 và các phiên bản 5-5.2, thì hiện tại, đã có thể lấy lại toàn bộ các tệp bị mã hóa mà không cần phải trả tiền chuộc bằng cách sử dụng bộ giải mã được cập nhật bởi Bitdefender.

Đầu tiên, hãy tải xuống tệp BDGandCrabDecryptTool.exe từ liên kết này.

Công cụ giải mã GandCrab mới nhất

Sau khi quá trình tải xuống hoàn tất, bạn nhấp đúp vào chương trình vừa tải và sẽ nhận được một thỏa thuận cấp phép sử dụng, hãy nhấn đồng ý (accept) với các điều khoản được đưa ra.

Tiếp theo, bộ giải mã sẽ bắt đầu được khởi chạy và hiển thị thông báo rằng hệ thống của bạn cần phải được kết nối Internet để tiếp tục các bước cần thiết. Sở dĩ có yêu cầu này là bởi bộ giải mã sẽ cần phải kết nối lại với các máy chủ Bitdefender để kiểm tra khóa giải mã của bạn và tải nó về máy.

Yêu cầu kết nối internet

Bây giờ màn hình sẽ hiển thị tùy chọn giải mã GandCrab như trong ví dụ bên dưới. Tại thời điểm này, bạn có thể chọn tùy chọn giải mã toàn bộ các tệp bị mã hóa trên hệ thống hoặc giải mã thủ công (chỉ giải mã những thư mục cụ thể).

Chọn tùy chọn giải mã cho công cụ Bitdefender GandCrab

Các nhà nghiên cứu khuyến nghị bạn nên thử giải mã thủ công một thư mục cụ thể trước để đảm bảo bộ giải mã hoạt động chuẩn xác và không có bất cứ vấn đề nghiêm trọng nào xảy ra.

Sau khi đã chọn được tùy chọn giải mã mình muốn, để bắt đầu quá trình, bạn cần phải nhấp vào nút Start Tool.

Khi quá trình giải mã bắt đầu diễn ra, bộ giải mã sẽ tìm kiếm một ghi chú tiền chuộc để thu thập thêm một số thông tin nhất định. Những thông tin này sau đó sẽ được tải lên máy chủ của Bitdefender.

• Cr1ptT0r Ransomware lây lan trên các thiết bị NAS D-Link, nhắm mục tiêu hệ thống nhúng

Lấy khóa giải mã từ máy chủ Bitdefender

Khi một khóa giải mã được lấy và tải về máy, bộ giải mã sẽ bắt đầu giải mã các tệp trên hệ thống của bạn.

Quá trình giải mã tập tin được mã hóa GandCrab

Khi hóa trình giải mã hoàn tất, bộ giải mã sẽ gửi thông báo cho bạn, đồng thời sẽ đưa ra cả các cảnh báo trong trường hợp có bất kỳ vấn đề nào xảy ra.

Nếu có vấn đề xảy ra, bạn có thể nhấp vào liên kết tệp nhật ký để tự động mở tệp nhật ký có tên %Temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt. Tệp này sẽ chứa một bản tóm tắt thông tin về những tệp đã được giải mã cũng như các trường hợp gặp lỗi, không thể giải mã thành công.

Quá trình giải mã hoàn tất

Ví dụ, trong thử nghiệm của các nhà nghiên cứu tại Bleeping Computer, bộ giải mã của Bitdefender đã có thể giải mã thành công gần như tất cả số tệp trong hệ thống, trừ 10 trường gặp vấn đề. Rất may, đây chỉ là những tệp cụ thể của ứng dụng, tức là chúng có thể được tạo lại bằng cách cài đặt lại ứng dụng.

Nếu bạn gặp khó khăn khi làm việc với bộ giải mã này, vui lòng để lại thắc mắc tại diễn đàn Hỗ trợ và Trợ giúp GandCrab.

Dù đã gây ra vô số phiền toái trên toàn thế giới và những kẻ đứng sau vẫn chưa được đưa ra ánh sáng, thế nhưng dù sao thì việc GandCrab, hay bất cứ ransomware nào khác ngừng hoạt động vẫn là một điều đáng ăn mừng.