Chuyên cung cấp tài liệu


Trang web GiangVien.Net cung cấp các tài liệu cho sinh viên
Bộ đếm miễn phí
Từ khóa cần tìm:

Thông tin về virus Gpcode.ak

Thứ tư - 24/09/2008 07:57
Thông tin về virus Gpcode.ak

Thông tin về virus Gpcode.ak

Ngày phát hiện: 4/7/2008
Hiểm họa: virus

Chi tiết kỹ thuật: Chương trình mã độc Gpcode.ak này sẽ mã hóa các file trên máy tính bị nhiễm độc. Đây là một file Windows PE EXE với kích thước 8030 byte.

Cách thức hoạt động

Khi được khởi chạy, virus này sẽ tạo một mutex dưới đây trong bộ nhớ để đánh dấu sự hiện diện của nó trong hệ thống: _G_P_C_. (Mutex là một cờ lập trình vẫn được sử dụng để lấy và phát hành một đối tượng).

Sau đó sẽ bắt đầu quét liên tục tất cả đĩa logic để mã hóa các file trong đó. Mã hóa tất cả file của người dùng bằng các đuôi mở rộng được liệt kê trong bảng dưới đây:

7z

abk

abd

acad

arh

arj

ace

arx

asm

bz

bz2

bak

bcb

c

cc

cdb

cdw

cdr

cer

cgi

chm

cnt

cpp

css

csv

db

db1

db2

db3

db4

dba

dbb

dbc

dbd

dbe

dbf

dbt

dbm

dbo

dbq

dbx

Djvu

doc

dok

dpr

dwg

dxf

ebd

eml

eni

ert

fax

flb

frm

frt

frx

frg

gtd

gz

gzip

gfa

gfr

gfd

h

inc

igs

iges

jar

jad

Java

jpg

jpeg

Jfif

jpe

js

jsp

hpp

htm

html

key

kwm

Ldif

lst

lsp

lzh

lzw

ldr

man

mdb

mht

mmf

mns

mnb

mnu

mo

msb

msg

mxl

old

p12

pak

pas

pdf

pem

pfx

php

php3

php4

pl

prf

pgp

prx

pst

pw

pwa

pwl

pwm

pm3

pm4

pm5

pm6

rar

rmr

rnd

rtf

Safe

sar

sig

sql

tar

tbb

tbk

tdf

tgz

txt

uue

vb

vcf

wab

xls

xml

   

Virus này sử dụng Microsoft Enhanced Cryptographic Provider v1.0 (có trong Windows) để mã hóa các file. Các file được mã hóa bằng thuật toán RC4. Khóa mã hóa sau đó sẽ được mã hóa bằng một khóa RSA public có độ dài 1024 bit nằm trong phần thân của virus.

Thuật toán mã hóa RSA chia các khóa mã hóa thành hai kiểu public và private. Chỉ có các khóa public được cần thiết để mã hóa các thông báo. Một thông báo bị mã hóa chỉ có thể được giải mã bằng khóa private.

Virus sẽ tạo một copy mã hóa cho mỗi một file gốc. Copy mã hóa sẽ giữ lại tên file gốc với phần _CRYPT được thêm vào cuối của tên file. Ví dụ:

WaterLilles.jpg ”file gốc

WaterLilles.jpg._CRYPT ”file mã hóa 

File gốc sau đó sẽ bị xóa.

Virus để lại một file có tên "!_READ_ME_!.txt" trong mỗi thư mục có chứa các file đã mã hóa. File này gồm có những nội dung sau:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [censored]@yahoo.com

=== BEGIN ===
[key]
=== END ===

Các file nằm trong thư mục Program Files và file dưới đây sẽ không được mã hóa:

Có thuộc tính "system" và "hidden";

Nhỏ hơn 10 byte

Lớn hơn 734003200 byte

Khi virus đã được kích hoạt, nó sẽ tạo một file VBS để xóa thân chính bản thân virus trong máy tính nạn nhân và tạo ra một MessageBox dưới đây hiển thị trên màn hình:

Virus không tự đăng ký bản thân nó trong registry hệ thống.

Hướng dẫn khắc phục

Khôi phục file

Lúc này, không thể giải mã các file đã được mã hóa bởi Gpcode. Mặc dù vậy, bạn vẫn có thể dùng PhotoRec để khôi phục các file gốc đã bị xóa bởi Gpcode sau khi virus đã tạo một phiên bản mã hóa các file.

Tiện ích này được sử dụng để khôi phục các tài liệu Microsoft Office, các file thực thi, tài liệu PDF và TXT,... Đây là danh sách các định dạng file được hỗ trợ.

PhotoRec là một phần của TestDisk. Phiên bản mới nhất của TestDisk, như PhotoRec có thể tìm thấy tại đây.

Dưới đây là các hướng dẫn chi tiết về cách khôi phục các file đã bị xóa bằng PhotoRec:

  • Sử dụng một máy tính sạch khác để download TestDisk, gồm có PhotoRec.
  • Lưu PhotoRec vào một ổ đĩa ngoài và kết nối ổ đĩa này với máy tính bị tiêm nhiễm (Gpcode.ak không thể lây nhiễm và tự xóa sau khi khởi chạy)
  • Chạy PhotoRec (file photorec_win.exe và nằm trong thư mục win của TestDisk):

  • Chọn ổ đĩa mục tiêu để PhotoRec tìm kiếm các file và nhấn ENTER để tiếp tục:

 

Nếu bạn có nhiều ổ đĩa trong hệ thống, hãy thực hiện bước này cho mỗi một ổ đĩa (nghĩa là khi khôi phục các file từ một ổ đĩa, bạn phải lặp lại quá trình như vậy cho ổ đĩa tiếp theo).

  • Chọn kiểu bảng partition (điển hình là 'Intel') và nhấn ENTER để tiếp tục.

  • Chọn partition bạn muốn khôi phục các file và nhấn ENTER để tiếp tục.

 

Nếu đĩa có một vài partition, khi đó bạn cần lặp lại bước này cho mỗi partition.

  • Chọn kiểu hệ thống file (với người dùng Windows nên chọn 'Other') và nhấn ENTER để tiếp tục.

  • Chọn vị trí để tìm kiếm các file bị xóa và nhấn ENTER để tiếp tục. Chọn Whole để tìm kiếm toàn bộ ổ đĩa để tìm ra các file bị xóa.

  • PhotoRec sẽ yêu cầu bạn chỉ định một thư mục đích cho các file được khôi phục. Sử dụng trình duyệt file của PhotoRec để chuyển thư mục gốc (bằng cách chọn ".." và nhấn ENTER)

Thư mục gốc sẽ hiển thị các ổ đĩa nào hệ thống có. Chọn ổ đĩa removable (hoặc network) thích hợp và thư mục mà bạn muốn lưu các file được khôi phục trong đó. Nên chọn ổ đĩa ngoài, nghĩa là không chọn ổ đĩa trên máy bị nhiễm vì các file xóa có thể bị hỏng.

Trước khi khôi phục các file, hãy tạo một thư mục riêng trên ổ đĩa (ví dụ "recovered") và chọn lưu các file đã khôi phục vào thư mục này, để tránh các lỗi xuất hiện sau khi khôi phục. Khi bạn đã chọn thư mục xong, hãy nhấn "Y".

 

Khi đã nhấn "Y", bạn sẽ thấy một quá trình khôi phục file xuất hiện. Quá trình này cần đến một chút thời gian để thực hiện.

 

Hãy đợi để quá trình kết thúc trước khi chuyển sang bước tiếp theo.

  • Các file được khôi phục hiện nằm trong ổ đĩa ngoài của bạn. Khi bạn mở thư mục có chứa các file đã khôi phục, bạn sẽ thấy tên file không tương ứng với tên file gốc trong ổ đĩa cứng cũ.

Các tên file của bạn sẽ trông như dưới đây:

 

Điều này là do cách làm việc của PhotoRec, bạn không nên hoảng hốt khi gặp tình huống này. Thêm vào đó, mặc dù tiện ích có thể khôi phục các nội dung của các file thì nó vẫn không thể thiết lập được vị trí ban đầu của chúng.

Để hoàn tất quá trình khôi phục, chúng ta tạo một tiện ích miễn phí có tên gọi StopGpcode để phân loại và đặt lại tên các file đã khôi phục.

  • Trên một máy tính khác, download tiện ích Stopgpcode và copy nó vào ổ USB.
  • Cắm ổ USB này với máy tính bị tiêm nhiễm và load Windows Command Prompt bằng cách vào START | PROGRAMS | ACCESSORIES.
  • Chọn ổ USB bằng cách đánh vào đó ký tự ổ đĩa, ví dụ như W: chẳng hạn.
  • Sau đó chạy tiện ích từ dòng lệnh bằng cách đánh lệnh dưới đây:
    STOPGPCODE -r -i -o 
    ví dụ: STOPGPCODE -r W: RECOVERED -i С: -o W:SORTED

 

Tiện ích sẽ xử lý toàn bộ đĩa và so sánh kích thước của các file đã mã hóa và khôi phục. Chương trình sẽ sử dụng kích thước file để phát hiện ra vị trí gốc và tên của file đã được khôi phục.

Tiện ích sẽ phát hiện đúng tên và vị trí của mỗi file, tạo lại các thư mục gốc và các tên file bên trong thư mục. Nếu tiện ích không thể chỉ ra tên file ban đầu thì file đó sẽ được lưu vào một thư mục có tên "conflicted".

 

Bạn có thể download Stopgpcode ở đây.

Giải mã các file bằng StopGpcode2

Một số file bị mã hóa bởi Gpcode.ak có thể được giải mã mà không cần sử dụng khóa RSA private. Chúng có thể được giải mã bằng các bước thực hiên dưới đây:

  • Tìm tất cả các file mã hóa có phần mở rộng ._CRYPT từ máy tính nạn nhân và copy chúng vào trong một thiết bị lưu trữ rời trong một thư mục có tên encrypted.
  • Thực hiện theo các lệnh trong ˜Restoring Files™ và lưu file đã khôi phục với các tên đã được khôi phục đúng vào ổ đĩa rời trong thư mục có tên ˜backup™.
  • So khớp copy đã không bị mã hóa của các file với phiên bản mã hóa trong thư mục ˜encrypted™. Bạn có thể tìm các phiên bản không mã hóa của các file trong một backup của mình. Nếu mất ảnh, bạn có thể sẽ có một copy để lại trên thẻ nhớ của camera. Thường thì bạn có thể có được các copy cho file đã được mã hóa trên tài nguyên mạng. Có các file bạn cần tìm kiếm và copy vào thư mục có tên ˜backup™.

Lưu ý: Bạn phải bảo đảm rằng các file lưu vào thư mục backup phải có tên khác với trong thư mục ˜encrypted™ “ mọi thứ cần phân biệt ngoại trừ phần mở rộng ._CRYPT .

  • Tạo một thư mục có tên ˜decrypted™ ở nơi bạn sẽ lưu các file giải mã. Download công cụ Stopgpcode2 có thể giúp bạn giải mã các file này.
  • Khởi chạy StopGpcode2 từ nhắc lệnh (Start > Run > cmd.exe) “ bảo đảm đường dẫn đầy đủ cho các thư mục ˜encrypted™, ˜backup™ và ˜decrypted™. Cho ví dụ, nếu công cụ và các thư mục nằm trong thư mục gốc của ổ E: thì bạn cần thực thi như sau:

    e:stopgpcode2.exe e:encrypted e:ackup e:decrypted

Khi chương trình thực thi, bạn sẽ thấy công cụ bắt đầu giải mã các file của mình.

  • Sau khi hoàn tất việc giải mã, nó sẽ hiển thị một thông báo đã thực hiện xong ˜Done™. Lúc này bạn có thể mở thư mục ˜decrypted™ và kiểm tra các file nào công cụ có thể giải mã.

 

Lưu ý: Công cụ có thể không giải mã được toàn bộ các file. Trong trường hợp này, nó sẽ thông báo cho bạn biết vấn đề đó.

Thêm vào đó, bạn không nên test công cụ trên máy ảo. Các kết quả thu được trên máy ảo sẽ khác rất nhiều so với trên các máy thực.

Tác giả bài viết: Quang Tùng - GiangVien.Net

Nguồn tin: VirusList

Tổng số điểm của bài viết là: 0 trong 0 đánh giá
Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

 
(Chú ý: Website đang trong giai đoạn hoạt động thử nghiệm, đang định xin giấy phép MXH của Bộ TT & TT)
Lên đầu trang