Tổng quan về tình hình Ransomware năm 2017

Tổng quan về tình hình Ransomware năm 2017
8 ngày trước bởi Avast Vietnam
2438 lượt xem

BẢN BÁO CÁO CHUNG TÌNH HÌNH RANSOMWARE NĂM 2017

Chúng tôi liên tục cập nhập tình hình những Ransomware mới nhất, bài viết mới nhất về ransomware một cách khách quan, đồng thời chúng tôi chia sẽ miễn phí các phương pháp, công cụ giải mã ransomware của các chuyên gia bảo mật trên toàn thế giới.

02/02/2017:  Avast phát hành 03 công cụ giải mã Ransomware HiddenTear, Jigsaw và Stampado.

1. HiddenTear: HiddenTear là một ransomware có nguồn mở đầu tiên được lưu trữ trên GitHub xuất hiện từ tháng 8 năm 2015. Hiện nay đã có hàng trăm biến thể HiddenTear xuất hiện sử dụng mã nguồn với mã hóa AES. Hiện tại công cụ giải mã của Avast sử dụng cho những biến thể với tên file mở rộng bao gồm: .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed DOWNLOAD HIDDENTEAR FIX

2. Jigsaw: Xuất hiện từ tháng 3 năm 2016, Jigsaw là một loại ransomware được đặt tên theo nhân vật phim trong "The Jigsaw Killer". Hiện tại công cụ giải mã của Avast sử dụng cho những biến thể với tên file mở rộng bao gồm: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush DOWNLOAD JIGSAW FIX 

3. Stampado là một dòng ransomware viết bằng công cụ tập lệnh AutoIt xuất hiện từ tháng 8 năm 2016 và được bán trên các trang web đen với nhiều biến thể khác nhau,  một trong những phiên bản của nó còn được gọi là Philadelphia. Hiện tại công cụ giải mã của Avast sử dụng cho biến thể với tên file mở rộng .locked DOWNLOAD STAMPADO FIX

 

21/02/2017: Avast phát hành công cụ giải mã ngoại tuyến CryptoMix ransomware (Còn gọi là CryptFile2, Zeta, CryptoShield) xuất hiện đầu tiên vào tháng 3 năm 2016, vào đầu năm 2017, tác giả của nó đã đổi tên CryptoMix thành CryptoShield sử dụng cho biến thể với tên file mở rộng  .CRYPTOSHIELD, .scl, .rscl, .lesli, .rdmk, .code, hoặc .rmd DOWNLOAD CRYPTOMIX FIX 

 

22/02/2017: Avast phát hành công cụ giải mã  Crypt888 ransomware sử dụng cho biến thể với tên file mở rộng  Lock. (ví dụ: baocao.doc --> Lock.baocao.doc) DOWNLOAD CRYPT888 FIX

 

27/02/2017: Trong kết quả của bảng kiểm tra ứng dụng bảo mật dành cho Mobile Security với 110 ứng cử viên tham gia, Avast Mobile Security & Antivirus đã đạt 100% trong kết quả kiểm tra của AV-Comparatives Q1/2017. Xem chi tiết tại:

http://avastvn.com/vi/avast-mobile-security-antivirus-dat-100-trong-ket-qua-kiem-tra-cua-av-comparatives-q12017

 

28/02/2017: 

1.    Bản vá lỗi nghiêm trọng của ESET Enpoint Antivirus for MAC_OS, xem chi tiết tại:

http://avastvn.com/vi/eset-phat-hanh-phien-ban-641680-va-loi-bao-mat-nghiem-trong-cua-eset-endpoint-antivirus-6-for-macos

2.    Lợi dụng lỗ hổng (SQL injection) nghiêm trọng trong các phiên bản của vBulletin 4.2.1 trở về trước khiến cho 126 diễn đàn và 819.977 tài khoản diễn đàn bị rò rỉ. Xem chi tiết tại:

http://avastvn.com/vi/126-dien-dan-vbulletin-bi-hack-va-819977-tai-khoan-bi-ro-ri

 

02/03/2017: Avast phát hành công cụ giải mã  Dharma ransomware sử dụng cho biến thể với tên file mở rộng  .dharma DOWNLOAD DHARMA FIX

 

13/03/2017: Avast phát hành công cụ giải mã  FindZip ransomware xuất hiện cuối 02/2016 dành cho máy MAC với tên file mở rộng .crypt. Ứng dụng này chạy trên môi trường Windows, do đó người dùng muốn sử dụng trực tiếp trên Macbook phải sử dụng thêm môi trường giả lập XQuartz (https://www.xquartz.org) hoặc Wine (https://wiki.winehq.org/MacOSDOWNLOAD FINDZIP FIX

 

13/04/2017: Kết thúc Quý I-2017, Cerber ransomware là dòng ransomware có mức tăng trưởng mạnh nhất. Xem chi tiết tại:

http://avastvn.com/vi/cerber-doat-ngoi-vuong-ve-ransomeware-trong-quy-i-nam-2017

 

18/04/2017: Karmen Ransomware được rao bán trên các trang Web đen của Nga như là  một dịch vụ cung cấp ransomware. Xem chi tiết tại:

http://avastvn.com/vi/karmen-ransomware-tu-xoa-ma-hoa-khi-phat-hien-sandbox-hoac-phan-mem-phan-tich-ma-doc 

 

20/04/2017: Phát hiện phần mềm độc hại TeamSpy tấn công người dùng thông qua ứng dụng TeamViewer. Xem chi tiết tại:

http://avastvn.com/vi/phan-mem-doc-hai-teamspy-tan-cong-nguoi-dung-thong-qua-ung-dung-teamviewer

 

03/05/2017: Phát hiện Cerber 6 Ransomware có khả năng tự huỷ khi bị các chương trình diệt virus phát hiện. Xem chi tiết tại:

http://avastvn.com/vi/cerber-6-ransomware-sua-doi-ma-hoa-va-co-tinh-nang-phong-thu-chong-sandbox-va-chong-av

 

06/05/2017: Sau Karmen Ransomware, frozrlock ransomware cũng được rao bán trên các trang Web đen của Nga. Xem chi tiết tại:

http://avastvn.com/vi/frozrlock-ransomware-quang-cao-tren-cac-trang-web-den-tu-dong-xoa-bo-tai-sau-khi-lay-nhiem

 

10/05/2017: Phát hành công cụ giải mã Bitkangaroo ransomware (email nhận Bitcoint: bitkangoroo@mailinator.com) Tỉ lệ phát hiện trên Virustotal: https://goo.gl/iGPFP0 DOWNLOAD BITKANGAROO FIX 

 

13/05/2017: WannaCry bùng phát trên toàn cầu. Xem chi tiết tại:

http://avastvn.com/vi/tong-quan-wannacry-ransomware-lay-nhiem-ransomware-lon-nhat-trong-lich-su

 

18/05/2017:  Avast phát hành công cụ giải mã  CrySiS ransomware ( Còn có tên gọi khác là JohnyCryptor, Virus-Encode, Aura, Dharma) xuất hiện từ 09/2015 kết hợp cả  bộ mã AES-256 và RSA-1024 sử dụng cho 11 biến thể với tên file mở rộng bao gồm:

   .johnycryptor @ hackermail.com.xtbl, .ecovector2 @ aol.com.xtbl, .systemdown @ india.com.xtbl,
   .Vegclass @ aol.com.xtbl, . {Milarepa.lotos@aol.com} .CrySiS, . {Greg_blood@india.com} .xtbl,
   . {Savepanda@india.com} .xtbl, . {Arzamass7@163.com} .xtbl, . {3angle@india.com} .dharma,
   . {Tombit@india.com} .dharma, .letlet 
DOWNLOAD CRYSIS FIX

 

21/05/2017: 

1. Mở khoá Unidentified Screenlock với mã khoá: aSFDDJGFffhsfcksggFffuygRFFJFffyhFFRYHCDTFJGFjg4257427544 Tỉ lệ phát hiện trên Virustotal: https://goo.gl/I9wGeS 

2. Mở khoá D2+D Ransomware với mã khoá: 215249148 Tỉ lệ phát hiện trên Virustotal: https://goo.gl/FiYPi3 

 

22/05/2017: Mở khoá Memeware Screenlocker với mã khoá: 290134884 Tỉ lệ phát hiện trên Virustotal: https://goo.gl/eWy0XI  

23/05/2017: 

1.    Mở khoá Widia Screenlocker đơn giản bằng tổ hợp phím Alt+F4

2.    EternalRocks là malware mới khai thác sử dụng cả 07 công cụ khai thác lỗ hổng của NSA trong khi WannaCry chỉ sử dụng 02 công cụ khai thác lỗ hổng của NSA, xem chi tiết tại:

http://avastvn.com/vi/eternalrocks-malware-moi-su-dung-ca-bay-cong-cu-khai-thac-lo-hong-cua-nsa      

 

24/05/2017: Avast phát hành công cụ giải mã BTC Ransomware sử dụng cho 05 biến thể với tên file mở rộng bao gồm: foobar.docx.[sql772@aol.com].theva, foobar.docx.[no.xop@protonmail.ch].cryptobyte, foobar.bmp.[no.btc@protonmail.ch].cryptowin, foobar.bmp.[no.btcw@protonmail.ch].btcware, foobar.docx.onyon, DOWNLOAD BTCWARE FIX

 

26/05/2017:

1.    Mở khoá Roblocker X với mã khoá: PooPoo, Tỉ lệ phát hiện trên Virustotal: https://goo.gl/8ddQ7X

2.    Phát hành công cụ giải mã BTCWARE sử dụng cho 20 biến thể với tên file mở rộng bao gồm: .android, .f*cked, _crypt0, .corrupted, .devil, .powned, .FailedAccess, .deria, .killedXXX, .bleeped, .anon, .Harzhuangzi, .haters, .Nazi, .jeepers, .MIKOYAN, _nullbyte, .SnakeEye, .xncrypt, .lock, DOWNLOAD BTCWARE DECRYPTOR

3.    Avast phát hành công cụ giải mã AES_NI ransomware  xuất hiện đầu tiên vào tháng 12 năm 2016 kết hợp cả  bộ mã AES-256 và RSA-1024 sử dụng cho biến thể với tên file mở rộng  .aes_ni, .aes256, .aes_ni_0day DOWNLOAD AES_NI FIX

 

29/05/2017: Cập nhập tool giải mã BlackSheep Ransomware (biến thể với tên file mở rộng.666) Tỉ lệ phát hiện trên Virustotal: https://goo.gl/1xiA1D . DOWNLOAD STUPIDDECRYPTOR

 

30/05/2017: 

1. Key giải mã XData được chia sẻ, Avast phát hành công cụ giải mã XData Ransomware sử dụng cho biến thể với tên file mở rộng .~ xdata ~   (Mở Task Manager, tắt hết các quy trình có tên msDNS.exe , mssql.exe hoặc mscom.exe trước khi chạy chương trình giải mã). DOWNLOAD XDATA FIX

2. Phát hành công cụ giải mã Mole Ransomware với tên file mở rộng .Mole DOWNLOAD MOLE DECRYPTOR 


31/05/2017: 

1. Tìm thấy Trojan nguy hiểm chuyên đánh cắp mật khẩu hoặc thông tin nhạy cảm được phân phối trong các gói phần mềm quảng cáo. Trojan này tạo một dịch vụ Windows có tên Adservice, tải tệp Adservice.dll và chạy dưới svchost.exe, vì vậy nó sẽ không hiển thị trong trình quản lý tác vụ (Task Manager). Tỉ lệ phát hiện trên Virustotal: https://goo.gl/t3YYej 

2 . Avast cập nhập công cụ giải mã  GrodexCrypt ransomware DOWNLOAD CRYPT888 FIX

 

01/06/2017: Cập nhập tool giải mã Jigsaw Ransomware ( biến thể với tên file mở rộng .beep) Tỉ lệ phát hiện trên Virustotal: https://goo.gl/9StuKo  . DOWNLOAD DECRYPTOR

 

06/06/2017: Mở khoá Youtube ransomware với mã khoá: law725 Tỉ lệ phát hiện trên Virustotal: https://goo.gl/Tn1o7V

 

07/06/2017: Cập nhập tool giải mã Jigsaw Ransomware (biến thể với tên file mở rộng .R3K7M9) Tỉ lệ phát hiện trên Virustotal: https://goo.gl/UkyokI . DOWNLOAD DECRYPTOR

 

08/06/2017: Mở khoá MrLocker Screenlocker với mã khoá: 6269521 Tỉ lệ phát hiện trên Virustotal: https://goo.gl/2kdoKT 

 

09/06/2017: Cập nhập tool giải mã Jigsaw Ransomware (biến thể với tên file mở rộng .lost .ram .taxDOWNLOAD DECRYPTOR

 

10/06/2017: NAYANA - một Công ty Web Hosting ở Hàn Quốc bị nhiễm Erebus ransomware với tổng số 153 Server Linux  

 

12/06/2017: Các nhà nghiên cứ bảo mật cảnh báo người dùng Mac sau khi có được 02 mẫu malware và xác minh được 02 công thông tin này trên Dark Web 

1. MacSpy: Trang web chuyên bán phần mềm gián điệp dành cho máy Mac.

2. MacRansom: Trang cung cấp các dịch vụ ransomware dành cho máy Mac.

 

13/06/2017: 

1Oopsramen, một Ransomware mới sử dụng hệ thống xổ số để giảm giá tiền chuộc bitcoin. Tỉ lệ phát hiện trên Virustotal: https://goo.gl/KkpFeP

2. Sau Youtube Ransomware xuất hiện hôm 06/06/2017 thì hôm nay các nhà bảo mật đã phát hiện thêm facebook ransomware. Tỉ lệ phát hiện trên Virus Total: https://goo.gl/WQozyx 

 

14/06/2017: 

1. Avast phát hành công cụ giải mã  EncrypTile ransomware DOWNLOAD ENCRYPTILE FIX 

2. Cập nhập tool giải mã MasterLocl Ransomware (tên file mở rộng .master) . Tỉ lệ phát hiện trên Virustotal: https://goo.gl/RV89MY  DOWNLOAD BTCWARE DECRYPTOR

 

15/06/2017: Mở khoá Windows Has Been Banned screenlocker với mã khoá: 4N2nfY5nn2991 Tỉ lệ phát hiện trên Virustotal: https://goo.gl/2kdoKT

 

16/06/2017: Mở khoá Sandwidch screenlocker  với mã khoá: 0941-4234-6354-0235 (code1) và 4215-2511-7845-2135 (code2) Tỉ lệ phát hiện trên Virustotal: https://goo.gl/2kdoKT

 

19/06/2017: Mở khoá SkullLocker screenlocker đơn giản bằng cách bấm ALT + F4

 

20/06/2017: 

1.    Liên quan đến AYANA - một Công ty Web Hosting ở Hàn Quốc đã phải thanh toán 1 triệu USD bằng bitcoins cho các hacker sau khi 153 máy chủ Linux bị nhiễm ransomware, bao gôm 3400 website của doanh nghiệp và các dữ liệu lưu trữ trên đó bị mã hóa. 

2.    TeslaWare đang được quảng bá và bán thông qua các trang web tội phạm với giá từ 35 đến 70 Euros tùy thuộc vào các tùy chỉnh mà người mua tuỳ chọn dịch vụ cho ransomware. Tin vui là ransomware này có thể giải mã được.

 

23/06/2017: Phát hành tool giải mã QuakeWay ransomware (tên file mở rộng .org) Tỉ lệ phát hiện trên Virustotal: https://goo.gl/CLYZ7E . 

 

26/06/2017: Avast cập nhập phiên bản 17.5.2302 với thành phần lá chắn mới: Ransomware Shield - Lá chắn ransomware  (dành cho phiên bản avast Internet Security , avast Premier và tất cả các sản phẫm doanh nghiệp khác). Xem chi tiết tại đây:

http://avastvn.com/vi/avast-nang-cap-module-la-chan-ransomware-shield  

 

27/06/2017: 

1.    Phát hành tool giải mã Bubble ransomware (tên file mở rộng .bubble) Tỉ lệ phát hiện trên Virustotal: https://goo.gl/KkpFeP DOWNLOAD BUBBLE DECRYPTOR

2.    Bùng phát lây nhiễm Petya malware trên toàn cầu, các nhà nghiên cứu bảo mật đánh giá Petya malware cực kỳ nguy hiểm hơn cả WannaCry. Xem tổng quan về Petya malware tại:

http://avastvn.com/vi/tong-quan-petya-ransomware-malware-nguy-hiem-hon-ca-wannacry-ransomware      

 

03/07/2017: Các nhà nghiên cứu bảo mật phát hiện có thể 01 hacker người Việt sử dụng công cụ nguồn mở Hidden Tear tạo ransomware mới giả mạo phần mềm gõ tiếng Việt Unikey  với tên gọi Unikey Ransomware. Tỉ lệ phát hiện trên Virustotal: https://goo.gl/AzMMXK 

 

04/07/2017: Chuyên gia bảo mật Karsten Hahn (G DATA Software AG) phát hiện tác giả Zero ransomware có thể là 01 hacker người Việt, sử  dụng gmail để gửi khoá mã hoá. Tỉ lệ phát hiện trên Virustotal: https://goo.gl/N1VesC

 

05/07/2017: 

1.    J-Ransomware, có bộ mã tương tự Zero Ransomware, Karsten Hahn cũng đã phát hiện ra mật khẩu của hardcoded là "password". Tỉ lệ phát hiện trên Virustotal: https://goo.gl/LsjYhK  

2.    Nâng cấp giải mã BTCWare ransomware (BTCWare ransomware là dòng ransomware có nhiều biến thể nhất và hoạt động mạnh nhất hiện nay) với những biến thể: .btcware, .cryptobyte, .cryptowin, .theva, .onyon, .master, .onyon, .xfile  DOWNLOAD BTCWARE DECRYPTOR

3.    Cùng ngày cảnh sát Trung Quốc cũng đã công bố bắt giữ 02 tác giả phát triển WannaCry Ransomware  phiên bản cho dành điện thoại thông minh chạy Android. Cảnh sát Trung Quốc cho biết vào ngày 7 tháng 6, họ bắt một người đàn ông 20 tuổi tên là Chen từ Wuhu, tỉnh Anhui, là tác giả chế tạo ra ransomware và một cậu bé 13 tuổi tên là Jinmou, tại thành phố Anyang, tỉnh Hà Nam là nghi can thứ hai phụ trách việc phân phối.

4.      Phát hành công cụ giải mã Mole02 ransomware (tên file mở rộng .mole02Tỉ lệ phát hiện trên Virustotal: https://goo.gl/GqA5jd DOWNLOAD MOLE02 DECRYPTOR

 

07/07/2017: 

1.    Mở khoá ElmersGlue_3 Screenloker với mã khoá  83502631947189478135791649134973 ElmersGlue_3 không mã hóa dữ liệu máy tính khi bị nhiễm. Tỉ lệ phát hiện trên Virustotal: https://goo.gl/EvPCtm

2.    Tác giả của Petya Ransomware công bố bản chính khóa giải mã bản gốc Petya ransomware, khóa này sẽ không giúp ích gì với sự lây nhiễm NotPetya gần đây nhưng các chuyên gia bảo mật đã xác nhận rằng khóa này hoạt động cho tất cả các phiên bản của Petya ban đầu, bao gồm GoldenEye (Key: 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723)

 

16/06/2017: Mở khoá PurgeRansomware  với mã khoá: TotallyNotStupid

 

Updating...

0 Bình luận