Kaspersky tiết lộ cách "diệt" Gpcode

Kaspersky Lab tuyên bố người dùng có thể dùng một ứng dụng khôi phục tệp tin mã nguồn mở đơn giản để khôi phục các tệp tin bị Trojan "bắt cóc tống tiền" mã hóa và xóa mất.

Ngày 8/6, hãng bảo mật có trụ sở tại Moscow đã phát đi cảnh báo người dùng về biến thể mới của con Trojan "bắt cóc tống tiền" Gpcode.ak. Đáng chú ý biến thể này có thể mã hóa tệp tin sử dụng khóa mã RSA 1024-bit. Kaspersky đã phải lên tiếng kêu gọi sự giúp đỡ của cộng đồng nhằm phá khóa mã này.

Cụ thể, Gpcode có thể mã hóa 143 loại tệp tin khác nhau trên PC bị lây nhiễm và xóa các tệp tin gốc đi trước khi cho hiển thị thông điệp yêu cầu người dùng phải trả tiền thì mới có thể lấy lại được các tệp tin đã bị mã hóa.

Chuyên gia nghiên cứu bảo mật Dancho Danchev cho biết mức tiền mà con Trojan này đòi người dùng phải trả để mua phần mềm giải mã hóa tệp tin là từ 100-200 USD.

Sau nhiều ngày nghiên cứu, Kaspersky đã tìm được một giải pháp giúp người dùng lấy lại các tệp tin đã bị mã hóa mà không phải trả tiền. "Hoàn toàn có thể khôi phục lại các tệp tin đã bị xóa nếu như ổ đĩa cứng chưa có thay đổi gì về cấu trúc dữ liệu".

Một chuyên gia nghiên cứu của Kaspersky có nickname là VitalyK - trong một bài viết trên trang blog chính thức của hãng - cho biết người dùng hoàn toàn có thể sử dụng một ứng dụng khôi phục tệp tin đã bị xóa mất mã nguồn mở có tên là PhotoRec để lấy lại các tệp tin đã bị Gpcode xóa mất.

Khả năng trên là hoàn toàn có thể bởi khi lây nhiễm lên hệ thống Gpcode sẽ nhanh chóng mã hóa các tệp tin nằm trong khả năng của nó, xóa bản gốc của những tệp tin này và tự hủy nhằm tránh bị phát hiện. Chính vì thế người dùng không phải lo ngại các tệp tin được khôi phục sẽ lại bị mã hóa lần nữa.

Ngoài ra Kaspersky còn phát triển thêm một ứng dụng có tên StopGpcode kết hợp nhuần nhuyễn với PhotoRec giúp khôi phục không chỉ tệp tin mà cả tên đầy đủ các tệp tin như trước khi bị con Trojan này mã hóa.

Chuyên gia VitalyK thừa nhận việc phá khóa mã RSA 1024-bit của Gpcode dường như là một điều bất khả thi trừ phi có được khóa mã cá nhân của chính người tạo ra mã khóa đó.