Máy tính khi nhiễm ransomware WannaCry sẽ như thế nào?
Chiếc PC được thử nghiệm chứa một số file rtf (tài liệu), mp3 (đa phương tiện) và jpg (ảnh). WannaCry lây nhiễm rất nhiều loại file khác nhau, chứa các dữ liệu quan trọng của người dùng
Đây là file thực thi của WannaCry. Nó có dung lượng 3.35MB và được giả dạng một phần mềm của Windows
Sau khi chạy, WannaCry bắt đầu tiến hành mã hóa dữ liệu bằng thuật toán RSA 2048-bit, gần như không thể giải mã. Màn hình nền của người dùng sẽ bị thay đổi thành hình ảnh thông báo "Dữ liệu quan trọng của bạn đã bị mã hóa"
Nếu máy tính của bạn kích hoạt tính năng UAC (User Account Control), một thông báo yêu cầu cấp quyền sẽ hiện ra. Đây thực chất là câu lệnh của WannaCry nhằm tắt tính năng back-up dữ liệu Volume Shadow Copy và xóa toàn bộ bản sao trước đó.
Tất cả dữ liệu người dùng sẽ bị mã hóa với đuôi .WNCRY, kèm theo một shortcut đến công cụ giải mã
Một tập tin .txt cũng được tạo ra, giải thích lý do dữ liệu người dùng bị mã hóa:
Q: What's wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Next, please find an application file named "@[email protected]". It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.
* If you need our assistance, send a message by clicking
Sau khi quá trình mã hóa thành công, màn hình tống tiền của WannaCry sẽ xuất hiện.
Để lấy lại dữ liệu, người dùng sẽ có 3 ngày để trả 300 USD qua Bitcoin.
Sau 3 ngày, mức chuộc sẽ tăng lên gấp đôi (600 USD)
Chương trình này hỗ trợ nhiều ngôn ngữ khác nhau, bao gồm cả tiếng Việt
Chuyện gì Đã xảy ra với Máy tính của tôi?
Các tệp tin quan trọng của bạn được mã hóa.
Nhiều tài liệu, ảnh, video, cơ sở dữ liệu và các tệp khác của bạn không còn có thể truy cập vì chúng đã được mã hóa. Có thể bạn đang bận tìm cách khôi phục tệp của mình, nhưng đừng phí thời gian. Không ai có thể phục hồi các tập tin của bạn mà không có dịch vụ giải mã của chúng tôi.
Tôi có thể Khôi phục các tệp của tôi?
Chắc chắn rồi. Chúng tôi đảm bảo rằng bạn có thể khôi phục lại tất cả các tệp tin một cách an toàn và dễ dàng. Nhưng bạn không có đủ thời gian.
Bạn có thể giải mã một số tệp của bạn miễn phí. Hãy thử ngay bằng cách nhấp vào
Nhưng nếu bạn muốn giải mã tất cả các tệp tin, bạn cần phải trả tiền.
Bạn chỉ có 3 ngày để gửi thanh toán. Sau đó giá sẽ tăng lên gấp đôi.
Ngoài ra, nếu bạn không trả tiền trong 7 ngày, bạn sẽ không thể phục hồi các tệp của bạn mãi mãi.
Chúng tôi sẽ có các sự kiện miễn phí cho người dùng quá nghèo mà họ không thể trả trong 6 tháng.
Làm thế nào để tôi trả tiền?
Thanh toán chỉ được chấp nhận trong Bitcoin. Để biết thêm thông tin, hãy nhấp vào
Vui lòng kiểm tra giá hiện tại của Bitcoin và mua một ít bitcoins. Để biết thêm thông tin, hãy nhấp vào
Và gửi đúng số tiền đến địa chỉ được chỉ định trong cửa sổ này.
Sau khi thanh toán, nhấp vào
Khi thanh toán được kiểm tra, bạn có thể bắt đầu giải mã các tệp ngay lập tức.
Tiếp xúc
Nếu bạn cần sự trợ giúp của chúng tôi, hãy gửi một tin nhắn bằng cách nhấp vào
Chúng tôi thực sự khuyên bạn không nên gỡ bỏ phần mềm này và vô hiệu hóa chống vi rút trong một thời gian, cho đến khi bạn thanh toán và thanh toán được xử lý. Nếu chống vi rút được cập nhật và loại bỏ phần mềm này tự động, nó sẽ không thể phục hồi các tập tin của bạn ngay cả khi bạn trả tiền!
WannaCry cho phép giải mã một số tập tin "miễn phí", tuy nhiên theo thử nghiệm của chúng tôi thì nó chỉ giải mã các tập tin cache của trình duyệt, khá vô dụng. Thông báo "Trả tiền ngay nếu muốn giải mã toàn bộ tập tin của bạn" cũng sẽ hiện ra
Bên trong folder của WannaCry có chứa file tor.exe. Đây là dịch vụ được hacker sử dụng để đảm bảo tính ẩn danh, thông qua việc mã hóa dữ liệu đến mạng Internet.