Cảnh báo virus mã hoá dữ liệu Gpcode cực kỳ nguy hiểm
Một khi Trojan này đột nhập thành công vào PC nó sẽ ngay lập tức mã hóa các tệp tin. Tổng cộng Gpcode có thể mã hóa tới 143 loại tệp tin khác nhau như .bak, .doc, .jpg, .pdf… Các tệp tin sau khi bị mã hóa sẽ được thêm từ “_CRYPT” vào trong tên, còn bản gốc sẽ bị hủy bỏ. Không những thế, trojan sau khi hoàn thành nhiệm vụ cũng “tự tử” luôn nhằm tránh bị phát hiện.
Sau đó, trên màn hình PC hiển thị thông điệp sau: “Các tệp tin dữ liệu của anh/chị đã bị mã hóa bằng thuật toán 1024-bit RSA. Để khôi phục lại anh/chị cần phải mua phần mềm giải mã. Xin hãy liên hệ với chúng tôi qua địa chỉ email xxxx@yahoo.com, để mua phần mềm này”.
Trojan đã được Kaspersky phát hiện sau khi nó bắt đầu phát tán không lâu. Tuy nhiên, hãng bảo mật này đã không thể phá được thuật toán mã hóa mà Gpcode đã sử dụng. Đáng chú ý khóa mã mà Gpcode sử dụng lại được tạo ra bằng chính công cụ Enhanced Cryptographic Provider tích hợp sẵn trong hệ điều hành Microsoft Windows.
“Chúng tôi không thể giải mãi được các tệp tin đã bị mã hóa. RSA 1024-bit là một thuật toán mã hóa cực mạnh, rất khó có thể phá được. Chúng tôi chỉ có trong tay khóa công khai chứ không có khóa bí mật, nên không thể giải mã được các tệp tin đã bị mã hóa”.Cuối cùng Kaspersky đã phải lên tiếng kêu gọi sự trợ giúp của cộng đồng. “Đây thực sự là một thách thức rất lớn. Chúng tôi ước tính phải cần đến khoảng 15 triệu PC cao cấp vận hành liên tục trong khoảng một năm mới đủ sức phá được khóa bảo mật 1024-bit này,” Aleks Gostev – chuyên gia phân tích mã độc hàng đầu của Kaspersky – cho biết.
“Chính vì thế mà chúng tôi kêu gọi các bạn – các chuyên gia mã hóa, các tổ chức khoa học, tổ chức chính phủ, hãng bảo mật, chuyên gia nghiên cứu bảo mật… hãy cùng chung sức với chúng tôi để chiến đấu với Gpcode”.
Kể từ khi Gpcode xuất hiện cho đến nay nó đã liên tục được tin tặc cải tiến và không ngừng ứng dụng kỹ thuật mã hóa mới.
Cách khắc phục
Sau nhiều ngày nghiên cứu, Kaspersky đã tìm được một giải pháp giúp người dùng lấy lại các file đã bị mã hóa mà không phải trả tiền: Dùng công cụ nguồn mở Photorec (download về theo giấy phép GPL). “Hoàn toàn có thể khôi phục lại các file đã bị xóa nếu như sau khi phát hiện vấn đề, PC vẫn chưa bị tắt hoặc bị khởi động lại. Nếu 2 điều này xảy ra rồi thì tỷ lệ thành công sẽ thấp hơn”.
Dù người dùng đã sử dụng Photorec để khôi phục các file đã bị Gpcode xóa mất thì họ vẫn phải kết hợp sử dụng thêm một ứng dụng do Kaspersky phát triển giúp khôi phục không chỉ file mà cả tên đầy đủ của file như trước khi bị virus này mã hóa. Ngoài ra, ổ đĩa cứng của PC phải chưa có thay đổi gì về cấu trúc dữ liệu.
Kaspersky Lab cho biết, việc phá khóa mã RSA 1024 bit của Gpcode dường như là một điều bất khả thi trừ phi có được khóa mã cá nhân của chính người tạo ra mã khóa đó