Một biến thể mới của mã độc tống tiền BTCWare sử dụng .[email_liên_kết].nuclear để mã hoá file đã được một Tài khoản tên Michael Gillespie tìm ra. Họ mã độc BTCWare được xây dựng bởi một nhà phát triển để tấn công vào những máy tính di động với những mật khẩu yếu sử dụng dịch vụ Màn hình Di động. Một khi chúng tiếp cận được tới máy tính, chúng sẽ cài đặt mã độc và mã hoá các file của nạn nhân.
Không may là ở thời điểm này không có cách nào miễn phí có thể giải mã những file đã bị mã hoá bằng mã độc hạt nhân BTCWare. Trong quá khứ, các nhà phát triển đã công bố khoá giải mã những biến thể không còn được xây dựng. Nhưng dường như họ quyết định không cung cấp những khoá này cho nạn nhân nữa.
Có gì mới trong biến thể mã độc hạt nhân BTCWare
Trong phương pháp mã hoá nhìn chung vẫn như vậy trong biến thể này, tuy nhiên có một số điểm khác biển. Đầu tiên, chúng ta có một bản mã độc mới với file tên là HELP.hta. Bảng mã độc này chứa hướng dẫn liên lạc với black.world@tuta.io để có thông tin chuyển tiền như hình dưới
Sự thay đối đáng chú ý nữa là file mở rộng được gắn vào file bị mã hoá. Với phiên bản này, khi một file bị mã độc tống tiền này mã hoá, nó sẽ tạo ra một file và gắn một tên file mở rộng .[email_liên_kết].nuclear vào tên của file bị mã hoá. Ví dụ, phiên bản hiện tại sẽ mã hoá 1 file tên test.jpg và thay tên thành test.jpg.[black.world@tuta.io].nuclear.
Bạn có thể xem một tệp tin bị mã hoá dưới đây:
Biến thể này cũng sử dụng một khoá mã hoá công khai RSA khác để mã hoá khoá AES của nạn nhân. Khoá mã hoá công khai này là
|
—–BEGIN PUBLIC KEY—– MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMwl0XpgillW5xCvuTbug+U+bVtZTaS0SRM+gNgaegG9PwsUXsxaqOLBg1zBxUxPcsJvUcQ/SKYWNsA49SIaMtSG2/b5rby2cnS8J4wwqkF0hDUFurF+t1o1TO6NDomgVMyak6nteJuR9ZAPUAmT3s4HqbhbL9Mh6h08iEl7jCbQIDAQAB —–END PUBLIC KEY—– |
Thông tin cơ bản về mã độc tống tiền này
File Hashes
Tên file gắn với Biến thể Mã độc tống tiền Hạt nhân
Bảng văn bản mã độc của Mã độc tống tiền Hạt nhân BTCWare
|
All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail black.world@tuta.io You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
Email gắn với Mã độc tống tiền Hạt nhân
Khoá RSA-1024 công khai
|
—–BEGIN PUBLIC KEY—– MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMwl0XpgillW5xCvuTbug+U+bVtZTaS0SRM+gNgaegG9PwsUXsxaqOLBg1zBxUxPcsJvUcQ/SKYWNsA49SIaMtSG2/b5rby2cnS8J4wwqkF0hDUFurF+t1o1TO6NDomgVMyak6nteJuR9ZAPUAmT3s4HqbhbL9Mh6h08iEl7jCbQIDAQAB —–END PUBLIC KEY—– |
Nguồn: bleepingcomputer.com
