Soi 🔍 “Thư tình” Ransomware BIXI 🔎 #TEKPost107 by TUNGTEK
Phía trên là “thư tình” của Hacker mã Ransomware là BIXI để lại cho nạn nhân.
“ CHÚ Ý! Các tập tin của bạn đã được mã hóa! Đừng lo lắng, các tập tin của bạn an toàn, với điều kiện là bạn sẵn sàng trả tiền chuộc.
Đừng đổi tên các tệp được mã hóa.
Không thay đổi các tệp được mã hóa.
Không sử dụng phần mềm của bên thứ ba. Nó sẽ làm hỏng các tập tin của bạn, bạn sẽ mất bất kỳ cơ hội nào để phục hồi nó. Cách duy nhất để giải mã các tệp của bạn một cách an toàn là mua phần mềm giải mã đặc biệt từ chúng tôi. Chúng tôi có thể giải mã một vài tệp để đảm bảo. Kích thước của mỗi tệp phải không quá 2MB. Không có tệp cơ sở dữ liệu để kiểm tra. Gửi hình ảnh, văn bản, tập tin tài liệu. Bạn có thể liên hệ với chúng tôi với email sau
wxxxxxx@gmail wxxxxxx@cock.li
Gửi cho chúng tôi ID này hoặc cái này! _Info.txt trong email đầu tiên
ID: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx “
Phía trên là “thư tình” của Hacker mã Ransomware là BIXI để lại cho nạn nhân. Sở dĩ là thư tình là vì nó là một mối quan hệ tình cảm được mua bằng tiền, trong đó có kể lể hoàn cảnh, năn nỉ ỉ ôi & hàng tá diễn biến tình cảm khác phát sinh mà chúng ta không thể ngờ được.
Mấy ngày này, dường như mã Ransomware BIXI rất nhiều và chiếm sóng hoàn toàn trong số Ticket mà TUNGTEK TRecovery hạng mục Cứu Dữ Liệu Mã Hóa tiếp nhận từ khắp nơi, có cả trong nước lẫn ngoài nước.
Tùng chia sẻ góc nhìn của mình & phân tích thêm nguy cơ rủi ro từ các “thư tình” mà hacker để lại, BIXI nói riêng & các thư nặc danh khác của ransomware nói chung.
❌- 1 – “ CHÚ Ý! Các tập tin của bạn đã được mã hóa !”
Tất nhiên là tất cả tập tin trên máy tính nạn nhân đều bị mã hóa, BIXI không chừa một file nào, đặc biệt là các file Database. Sau khi mã hóa, hệ điều hành vẫn sử dụng được, chứng tỏ BIXI loại trừ các file hệ thống. Có một số trường hợp Disk lại bị RAW, nhưng có vẻ không phải do BIXI gây ra.
❌ - 2 – “Đừng lo lắng, các tập tin của bạn an toàn, với điều kiện là bạn sẵn sàng trả tiền chuộc.”
Sao mà không lo được, mọi thứ gián đoạn và khủng hoảng. Một số nạn nhân khủng hoảng đến mức rút ngay ổ cứng đang chạy và khiến nó hỏng vật lý luôn.
Trả tiền chuộc à !?!? Có rất nhiều bài viết phân tích về lựa chọn này & mọi thứ chắc chắn nằm ở phía nạn nhân quyết định, không ai có thể chọn thay được cho bạn.
Tuy nhiên, mình chia sẻ định luật “chưa chắc” thêm cho mọi người là: Trả tiền chuộc chưa chắc trả key, trả key rồi chưa chắc trả đúng key, trả đúng key rồi chưa chắc giải mã được, giải mã được rồi chưa chắc dùng được….Các bạn tự ngẫm thêm thôi
❌ - 3 – “Đừng đổi tên các tệp được mã hóa. Không thay đổi các tệp được mã hóa. Không sử dụng phần mềm của bên thứ ba. Nó sẽ làm hỏng các tập tin của bạn, bạn sẽ mất bất kỳ cơ hội nào để phục hồi nó. Cách duy nhất để giải mã các tệp của bạn một cách an toàn là mua phần mềm giải mã đặc biệt từ chúng tôi.
Hacker nói đúng đó anh em, một số trường hợp tự quét bằng phần mềm không rỏ nguồn gốc hoặc cho là đáng tin cậy nó cũng có thể làm hỏng file mã hóa hoàn toàn. Khi đó mua chương trình giải mã cũng không giúp được đâu. Nên, các bạn cần sao lưu dữ liệu gốc mặc dù nó đã bị mã hóa.
Hacker nói đúng là đôi khi chính nó là liều thuốc duy nhất & đôi khi nó sai, vì khả năng mã hóa của nó có lổ hổng để chúng ta khai thác đảo ngược.
❌ - 4 – “ Chúng tôi có thể giải mã một vài tệp để đảm bảo. Kích thước của mỗi tệp phải không quá 2MB. Không có tệp cơ sở dữ liệu để kiểm tra. Gửi hình ảnh, văn bản, tập tin tài liệu. Bạn có thể liên hệ với chúng tôi với email sau | wxxxxxx@gmail | wxxxxxx@cock.li | Gửi cho chúng tôi ID này hoặc cái này! _Info.txt trong email đầu tiên | ID: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx “
Mình bất ngờ vì BIXI dùng Gmail í chứ. Để làm tin, nạn nhân cần gởi cho nó vài file không quá 2MB, không gởi file MDF, kèm theo ID duy nhất của nạn nhân, ID này trong “thư tình” í.
Nếu nhận lại được các file đã giải mã, nó thật sự cho thấy chính BIXI là bên đã tấn công mạng và mã hóa dữ liệu của bạn. Tuy nhiên, rủi ro là BIXI chỉ chấp nhận kiểm tra các file nhỏ hơn 2MB và không bao gồm Database.
📌 Nào, TUNGTEK có dịch vụ miễn phí Ransomware Fast Check (RFC) để ngay lập tức kiểm tra cấu trúc File bị mã hóa, ưu tiên Database để đánh giá tính toán vẹn của file cần cứu trước khi có các bước tiếp theo. Các bạn được gì khi RFC ?
▪️ Nội dung bên trong file Office, chúng tôi ưu tiên PDF, Excel, Word…
▪️ Nội dung bên trong file hình ảnh, video…
▪️ Nội dung bên trong file Database như MDF.
Ransomware là một mối nguy hại đặc biệt nghiêm trọng với các công ty vừa và nhỏ, ở đó không có đủ nguồn nhân lực để quản trị hệ thống, khiến cho dữ liệu dễ bị tổn thương, xâm phạm và mã hóa tống tiền mà bọn tội phạm mạng gây ra. Mình mời các bạn tham gia các nhóm để cùng chia sẻ và nâng cao việc nhận thức và phòng chống Ransomware.
📌 Nhóm Facebook NoRansomwareVN – Nơi mình chia sẻ về các vấn đề liên quan đến tội phạm mạng ransomware và các biến thể của nó. Mọi người thoải mái trao đổi, hoi đáp và chia sẻ kinh nghiệm phòng chống | https://www.facebook.com/groups/noransomwarevn/
📌 Nhóm Zalo 🟢 VIET NAM Backup Day 30.11 – Nơi này là sân chơi để mọi người chia sẻ kinh nghiệp sao lưu dữ liệu trước bối cảnh Ransomware phức tạp. | https://zalo.me/g/fcvrmh354
Cảm ơn mọi người 😍
🆃🆄🅽🅶🆃🅴🅺, 0963509115 ~ 17h 12.05.25
➖➖➖➖➖
𝐓𝐔𝐍𝐆𝐓𝐄𝐊 – 𝐈𝐓 & 𝐂𝐥𝐨𝐮𝐝 𝐒𝐞𝐫𝐯𝐢𝐜𝐞𝐬 🌥️ - 𝐇𝐨𝐭𝐥𝐢𝐧𝐞 𝟎𝟗𝟔𝟑𝟓𝟎𝟗𝟏𝟏𝟓
#NoRansomwareVN #Ransomware #RansomwareRecovery #TRecovery #Recovery #CuuDuLieu #CuuDuLieuMaHoa #KhoiPhucDuLieu #RepairDatabase #DatabaseRepair #VirusMaHoa #Database #DatabaseRecovery #CoSoDuLieu #MaHoa #VirusMaHoa #Mallox #RMallox #LockBit #LockBitBlack #ELBIE #BIXI #CDAVESUJX #MISA #FAST #BRAVO #TBackup #Petya #NAS #ESXi #Luck #MKP #VHD #VHDX #HypeV #TEKPost #TEKPost107 #RansomwareFastCheck #RFC
— Quảng Cáo
😊 Chào mọi người, tôi là Tùng TUNGTEK, là người chịu trách nhiệm thực hiện các trường hợp Cứu Dữ Liệu Bị Mã Hóa bởi Ransomware với các thuộc tính nổi bật như sau.
Cả 2 bên sẽ cùng tiếp xúc, minh bạch thông tin & tư vấn chi tiết trường hợp bị mất dữ liệu.
Chuyên xử lý SQL Database & có dịch vụ Fast Check Database cho kết quả tính toàn vẹn, tỉ lệ mã hóa…trong 10p làm việc.
Khách hàng có dữ liệu dùng được mới tính phí.
Có đầy đủ hợp đồng, bảo mật thông tin, thuế VAT.
Liên hệ công việc qua số điện thoại hoặc zalo 0963509115
Email t@tungtek.com
Cảm ơn. TÙNG.
— Social Link
🔍 Soi “Thư tình” Ransomware BIXI | #TEKPost107| #CuuDuLieuMaHoa by TUNGTEK - https://tungtek.notion.site/Soi-Th-t-nh-Ransomware-BIXI-TEKPost107-CuuDuLieuMaHoa-by-TUNGTEK-1f1cf23c65fe80e49f2df11c2fa7f1cf?pvs=4
Soi 🔍 “Thư tình” Ransomware BIXI 🔎 #TEKPost107 - https://blog.tungtek.com/p/soi-thu-tinh-ransomware-bixi-tekpost107
Soi 🔍 “Thư tình” Ransomware BIXI 🔎 #TEKPost107
