×
Community Blog Câu chuyện về cuộc chiến chống ransomware

Câu chuyện về cuộc chiến chống ransomware

Tình hình ngày càng trở nên tồi tệ, nếu để càng lâu thì tổn thất ngày càng lớn, do đó đã đưa ra quyết định thương lượng với Hacker thông qua email cá nhân.

Chương 2: Cuộc chiến cam go

( Nội dung bài này vẫn đang cập nhật )

Giám đốc an minh mạng cùng các cộng sự trong bộ phận an ninh mạng ngày đêm chiến đấu với virus. Họ đã thử mọi cách, từ sử dụng các phần mềm diệt virus chuyên dụng đến liên hệ với các chuyên gia an ninh mạng hàng đầu thế giới, nhưng vẫn không có kết quả.

Tình hình ngày càng trở nên tồi tệ, nếu để càng lâu thì tổn thất ngày càng lớn, do đó đã đưa ra quyết định thương lượng với Hacker thông qua email cá nhân.

Hành trình giải cứu:

Liên hệ trung gian: Ban đầu, công ty liên hệ với một đơn vị trung gian ở Việt Nam. Tuy nhiên, mức phí cao hơn và không đảm bảo thành công nên công ty quyết định đàm phán trực tiếp với hacker.

Thương lượng: Sau nhiều lần thương lượng, số tiền chuộc được giảm xuống còn 3 triệu USD. Hacker đồng ý chịu phí chuyển khoản, chỉ chọn hình thức duy nhất là Bitcoin

Quy trình giải mã: Hacker hướng dẫn quy trình giải mã chi tiết: chuyển tiền, nhận phần mềm, quét file, gửi key, nhận key giải mã, cài đặt key và giải mã dữ liệu. Có thể trước 1 số ít để test và có thể chuyển nhiều lần

It does not matter. If we agree on a full decrypt, then we decrypt all files.

It goes like this.

You sent the transaction in bitcoins.

We are awaiting confirmation of this transaction.

We send you our software.

You scan files, our software generates a text key.

You send the key to us, we will return the decryption key to you.

You insert this key into our software, your files are decrypted.

If some encrypted files are inside the VM, then we will decrypt them too.

Lỗi hệ thống: Hacker khẳng định lỗi do lỗ hổng zero-day trong hệ thống, không phải do lỗi của công ty.

It's not your fault. You are not to blame for anything, your infrastructure had a zero-day vulnerability. We are ready to confirm this in negotiations.

Your management should not think about the incident, but about the experience gained. This experience will help to avoid problems in the future. And as an engineer, you couldn't do anything about exploiting an undocumented vulnerability.

Giải mã dữ liệu:

Chuyển khoản: Sau khi xác nhận chuyển khoản, hacker sẽ gửi phần mềm giải mã trong vòng 3-24 giờ.

After confirming the transaction -  3-24 hours.

But you must download all encrypted files to windows host (or external HDD) in advance.

It all depends on how quickly you find where to buy bitcoin in your area.

Tải dữ liệu: Công ty cần tải tất cả dữ liệu bị mã hóa vào Windows host hoặc ổ cứng ngoài trước khi giải mã.

https://dropmefiles.com/xxx

Download, unzip the achive. Password is 123.

Run  the software on the server with damaged files with the ID that you paid for.

IMPORTATNT! before starting a scan, check the system with antivirus software to remove the remnants of malicious code.

Click the "scan" button without changing any settings in the application.

Decryptor will find all the damaged files and form a request.

Save this request to a text file and send us. Specify in the subject line or file name once again the IDs that have been paid.

Video instruction https://vimeo.com/xxx

Our btc address:

xxxxyyyyyzzzz

Chạy phần mềm: Giải nén phần mềm, chạy trên server có dữ liệu bị mã hóa, quét file và tạo file yêu cầu. Gửi file yêu cầu và ID đã thanh toán cho hacker.

Unfortunately the chat is under maintenance. But you only have one ID, so we will do everything via email.Usually difficulties begin when there are a lot of IDs 10+.

Run the decryptor and start scanning as indicated in the instructions.

You can send bitcoins now, or you can send bitcoins after the scan is completed when you have the request txt (please name it  A7CG62670-45311.txt and send to us)

To download vm files, connect to esxi host via winscp using sftp protocol.

Nhận key giải mã: Hacker sẽ gửi key giải mã để cài đặt vào phần mềm và giải mã dữ liệu.

root passwords for access to esxi try these

- xxxx

- yyyy

If they do not work, then you will need to reset the root passwords on your esxi. See the vmware documentation for how to do this. But first, try the passwords that we sent you.

The main thing is that you download the vm files (from the vmfs section on esxi hosts).

Download either with winscp or other methods.

Kết quả:

Hệ thống được khôi phục: Sau khi giải mã thành công, hệ thống VM hoạt động trở lại bình thường.

Bài học kinh nghiệm: Vụ tấn công là bài học đắt giá về tầm quan trọng của bảo mật hệ thống và sao lưu dữ liệu.

Lời khuyên:

Nâng cao bảo mật: Cập nhật hệ thống thường xuyên, sử dụng phần mềm diệt virus uy tín và áp dụng các biện pháp bảo mật khác.

Sao lưu dữ liệu: Thường xuyên sao lưu dữ liệu quan trọng để có thể khôi phục khi cần thiết.

Bình tĩnh xử lý: Khi bị tấn công ransomware, giữ bình tĩnh, thu thập thông tin và tìm kiếm giải pháp phù hợp.

Cuộc chiến chống ransomware là một cuộc chiến cam go, đòi hỏi sự cẩn trọng và chuẩn bị kỹ lưỡng. Hy vọng câu chuyện này sẽ giúp các bạn nâng cao ý thức về bảo mật và có phương án phòng chống hiệu quả.

0 1 0
Share on

Tran Phuc Hau

18 posts | 5 followers

You may also like

Comments

Tran Phuc Hau

18 posts | 5 followers

Related Products