Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 19 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
19
Dung lượng
662,14 KB
Nội dung
ThôngtinvềvirusGpcode.ak Chi tiết kỹ thuật Chương trình mã độc Gpcode.ak này sẽ mã hóa các file trên máy tính bị nhiễm độc. Đây là một file Windows PE EXE với kích thước 8030 byte. Cách thức hoạt động Khi được khởi chạy, virus này sẽ tạo một mutex dưới đây trong bộ nhớ để đánh dấu sự hiện diện của nó trong hệ thống: _G_P_C_. (Mutex là một cờ lập trình vẫn được sử dụng để lấy và phát hành một đối tượng). Sau đó sẽ bắt đầu quét liên tục tất cả đĩa logic để mã hóa các file trong đó. Mã hóa tất cả file của người dùng bằng các đuôi mở rộng được liệt kê trong bảng dưới đây: 7z abk abd acad arh arj ace arx asm bz bz2 bak bcb c cc cdb cdw cdr cer cgi chm cnt cpp css csv db db1 db2 db3 db4 dba dbb dbc dbd dbe dbf dbt dbm dbo dbq dbx Djvu doc dok dpr dwg dxf ebd eml eni ert fax flb frm frt frx frg gtd gz gzip gfa gfr gfd h inc igs iges jar jad Java jpg jpeg Jfif jpe js jsp hpp htm html key kwm Ldif lst lsp lzh lzw ldr man mdb mht mmf mns mnb mnu mo msb msg mxl old p12 pak pas pdf pem pfx php php3 php4 pl prf pgp prx pst pw pwa pwl pwm pm3 pm4 pm5 pm6 rar rmr rnd rtf Safe sar sig sql tar tbb tbk tdf tgz txt uue vb vcf wab xls xml Virus này sử dụng Microsoft Enhanced Cryptographic Provider v1.0 (có trong Windows) để mã hóa các file. Các file được mã hóa bằng thuật toán RC4. Khóa mã hóa sau đó sẽ được mã hóa bằng một khóa RSA public có độ dài 1024 bit nằm trong phần thân của virus. Thuật toán mã hóa RSA chia các khóa mã hóa thành hai kiểu public và private. Chỉ có các khóa public được cần thiết để mã hóa các thông báo. Một thông báo bị mã hóa chỉ có thể được giải mã bằng khóa private. Virus sẽ tạo một copy mã hóa cho mỗi một file gốc. Copy mã hóa sẽ giữ lại tên file gốc với phần _CRYPT được thêm vào cuối của tên file. Ví dụ: WaterLilles.jpg —file gốc WaterLilles.jpg._CRYPT —file mã hóa File gốc sau đó sẽ bị xóa. Virus để lại một file có tên "!_READ_ME_!.txt" trong mỗi thư mục có chứa các file đã mã hóa. File này gồm có những nội dung sau: Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: [censored]@yahoo.com === BEGIN === [key] === END === Các file nằm trong thư mục Program Files và file dưới đây sẽ không được mã hóa: Có thuộc tính "system" và "hidden"; Nhỏ hơn 10 byte Lớn hơn 734003200 byte Khi virus đã được kích hoạt, nó sẽ tạo một file VBS để xóa thân chính bản thân virus trong máy tính nạn nhân và tạo ra một MessageBox dưới đây hiển thị trên màn hình: Virus không tự đăng ký bản thân nó trong registry hệ thống. Hướng dẫn khắc phục Khôi phục file Lúc này, không thể giải mã các file đã được mã hóa bởi Gpcode. Mặc dù vậy, bạn vẫn có thể dùng PhotoRec để khôi phục các file gốc đã bị xóa bởi Gpcode sau khi virus đã tạo một phiên bản mã hóa các file. Tiện ích này được sử dụng để khôi phục các tài liệu Microsoft Office, các file thực thi, tài liệu PDF và TXT, Đây là danh sách các định dạng file được hỗ trợ. PhotoRec là một phần của TestDisk. Phiên bản mới nhất của TestDisk, như PhotoRec có thể tìm thấy tại đây. Dưới đây là các hướng dẫn chi tiết về cách khôi phục các file đã bị xóa bằng PhotoRec: Sử dụng một máy tính sạch khác để download TestDisk, gồm có PhotoRec. Lưu PhotoRec vào một ổ đĩa ngoài và kết nối ổ đĩa này với máy tính bị tiêm nhiễm (Gpcode.ak không thể lây nhiễm và tự xóa sau khi khởi chạy) Chạy PhotoRec (file photorec_win.exe và nằm trong thư mục win của TestDisk): Chọn ổ đĩa mục tiêu để PhotoRec tìm kiếm các file và nhấn ENTER để tiếp tục: Nếu bạn có nhiều ổ đĩa trong hệ thống, hãy thực hiện bước này cho mỗi một ổ đĩa (nghĩa là khi khôi phục các file từ một ổ đĩa, bạn phải lặp lại quá trình như vậy cho ổ đĩa tiếp theo). Chọn kiểu bảng partition (điển hình là 'Intel') và nhấn ENTER để tiếp tục. Chọn partition bạn muốn khôi phục các file và nhấn ENTER để tiếp tục. Nếu đĩa có một vài partition, khi đó bạn cần lặp lại bước này cho mỗi partition. [...]... công cụ bắt đầu giải mã các file của mình Sau khi hoàn tất việc giải mã, nó sẽ hiển thị một thông báo đã thực hiện xong ‘Done’ Lúc này bạn có thể mở thư mục ‘decrypted’ và kiểm tra các file nào công cụ có thể giải mã Lưu ý: Công cụ có thể không giải mã được toàn bộ các file Trong trường hợp này, nó sẽ thông báo cho bạn biết vấn đề đó Thêm vào đó, bạn không nên test công cụ trên máy ảo Các kết quả... tiện ích không thể chỉ ra tên file ban đầu thì file đó sẽ được lưu vào một thư mục có tên "conflicted" Bạn có thể download Stopgpcode ở đây Giải mã các file bằng StopGpcode2 Một số file bị mã hóa bởi Gpcode.ak có thể được giải mã mà không cần sử dụng khóa RSA private Chúng có thể được giải mã bằng các bước thực hiên dưới đây: Tìm tất cả các file mã hóa có phần mở rộng _CRYPT từ máy tính nạn nhân . Thông tin về virus Gpcode. ak Chi tiết kỹ thuật Chương trình mã độc Gpcode. ak này sẽ mã hóa các file trên máy tính bị nhiễm độc. Đây. tên "conflicted". Bạn có thể download Stopgpcode ở đây. Giải mã các file bằng StopGpcode2 Một số file bị mã hóa bởi Gpcode. ak có thể được giải mã mà không cần sử dụng khóa RSA. 734003200 byte Khi virus đã được kích hoạt, nó sẽ tạo một file VBS để xóa thân chính bản thân virus trong máy tính nạn nhân và tạo ra một MessageBox dưới đây hiển thị trên màn hình: Virus không