 |
| Ảnh: Arip |
Hãng bảo mật Nga Kaspersky vừa công bố những chi tiết quan trọng về cơ chế hoạt động của Trojan "bắt cóc file tống tiền", đồng thời cảnh báo xu hướng sử dụng công nghệ mã hóa phức tạp RSA 660 bit trong các phần mềm nguy hiểm.
Công ty này đã nghiên cứu một số biến thể của Gpcode
(Gpcode.ag, Gpcode.ae và Gpcode.af) xuất hiện hồi đầu tháng 6. Sau khi
thâm nhập được vào máy tính của người sử dụng, Trojan
Downloader.Win32.Small.crb sẽ tự động tải Gpcode từ một website nào đó.
Hai phần mềm trên cùng mã hóa và tập hợp 80 loại file
khác nhau trong hệ thống, sau đó chúng sẽ tự "kết liễu" để ngăn ý định
dò tìm và phân tích của các chuyên gia bảo mật. Khi người sử dụng truy
cập file, họ sẽ nhận được thông báo: "Một số tệp tin đã bị mã hóa bằng phương pháp RSA. Nếu muốn mua khóa mã, hãy gửi e-mail đến k47674@mail.ru với tiêu đề REPLY".
Tiền thanh toán được chuyển tới một tài khoản trên cổng Yandex của Nga
(hoạt động tương tự hệ thống thanh toán trực tuyến PayPal).
Những ngày đầu, Gpcode.ae và Gpcode.af sử dụng mã 260 bit và 330 bit, nhưng càng về sau độ dài của mã càng tăng lên.
Tuy nhiên, Kaspersky khẳng định họ chỉ tốn 10 giờ
để giải mã 330 bit, nhưng không đề cập đến thời gian xử lý mã 660 bit.
"Ngay cả một máy tính với thiết bị xử lý 2,2 GHz vẫn cần đến 30 năm mới
tìm được khóa. Còn chúng tôi đã giải mã ngay trong ngày Gpcode.ag bị
phát hiện. Nhưng chúng tôi không thể tiết lộ phương pháp vì đây là một
bí mật thương mại", Kaspersky tuyên bố.
T.N. (theo TechWorld)
(TheoVNExpress)