Phòng thí nghiệm phần mềm độc hại Emsisoft đã phát hành một công cụ giải mã miễn phí vào ngày 4/6. Công cụ này cho phép các nạn nhân khôi phục tệp mã hóa do bị tấn công ransomware Tycoon mà không cần phải trả tiền chuộc.
Các nhà nghiên cứu của đơn vị bảo mật tại BlackBerry là người đầu tiên phát hiện ra ransomware. Họ thông báo rằng Tycoon sử dụng định dạng tệp Java để khó phát hiện hơn trước khi triển khai mã hóa các tệp.
Tycoon hoạt động như thế nào?
Brett Callow, nhà phân tích mối đe dọa của Emsisoft, cho biết:
“Tycoon là ransomware dựa trên Java, do con người điều hành, dường như nhắm mục tiêu cụ thể vào các doanh nghiệp nhỏ lẻ và thường được triển khai thông qua tấn công vào RDP. Ransomware dựa trên Java là không thông dụng, nhưng chắc chắn không phải là duy nhất. Microsoft đã cảnh báo về chủng ransomware dựa trên Java khác tên PonyFinal vào tháng trước”.
Về công cụ, Callow cũng đã làm rõ một số hạn chế của công cụ miễn phí “Bộ giải mã Emsisoft cho RedRum”.
“Công cụ này chỉ hoạt động đối với các tệp bị biến thể Tycoon ban đầu mã hóa, không dành cho các tệp bị mã hóa bởi bất kỳ biến thể tiếp theo nào. Điều này có nghĩa là nó sẽ hoạt động đối với các tệp có phần mở rộng .RedRum, nhưng không hoạt động đối với các tệp .grinch hoặc .thanos. Thật không may, cách duy nhất để khôi phục các tệp với phần mở rộng .grinch hoặc .thanos là trả tiền chuộc”.
Ransomware đa hệ điều hành
Các nhà nghiên cứu của BlackBerry lưu ý rằng ransomware Tycoon có thể chạy trên cả máy tính Windows và Linux, sử dụng cùng một kỹ thuật yêu cầu thanh toán bằng tiền điện tử như Bitcoin.
Những phát hiện mới nhất cho thấy Tycoon chủ yếu nhắm vào các tổ chức giáo dục và nhà phần mềm. Các nhà nghiên cứu của BlackBerry tin rằng số ca bị tấn công thực tế “có khả năng cao hơn nhiều”.
Hơn nữa, họ cảnh báo các phiên bản mới hơn của ransomware Tycoon đã được cải thiện sức mạnh tấn công. Trước đây, công cụ giải mã có thể được sử dụng để khôi phục các tệp cho nhiều nạn nhân, nhưng bây giờ thì không thể.
Vào ngày 3/6, ElevenPaths, đơn vị an ninh mạng chuyên dụng của tập đoàn viễn thông Tây Ban Nha Telefonica, đã tạo ra công cụ miễn phí có tên “VCrypt Decryptor”. Công cụ này nhằm mục đích khôi phục dữ liệu bị ransomware VCryptor mã hóa trong bối cảnh đề xướng quốc tế “Không có thêm ransomware”.
Dislaimer: Đây là thông tin cung cấp dưới dạng blog cá nhân, không phải thông tin tổng hợp hay lời khuyên đầu tư. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn.
- Ransomware Bitcoin sẽ không bao giờ bị tiêu diệt
- FBI: Tấn công Ransomware Bitcoin đã kiếm được khoảng 144 triệu đô la trong vòng 7 năm
