medusalocker ransomw sẽ vượt qua hầu hết các phần mềm chống vi-rút
Tuần trước đã xuất hiện 1 ransomware với các kỹ thuật trốn tránh độc đáo trong một biến thể mới, hoặc có thể là một bản sao, của ransomware MedusaLocker. MedusaLocker ransomware, lần đầu tiên xuất hiện vào tháng 9 năm 2019, đi kèm với một file vá lỗi để tránh bị phát hiện.
Các file vá lỗi chứa các lệnh script đang chạy trong Command Prompt trên các máy Windows và có phần đuôi .bat. Trong các file vá lỗi độc hại đi kèm với ransomware đã tìm thấy một lệnh chỉnh sửa cài đặt Windows để xóa Windows Defender khi máy tính được khởi động vào chế độ an toàn mà không bật mạng (Chế độ tối thiểu).
reg delete HKLMSystemCurrentControlSetControlSafeBootMinimalWinDefend /f
Lệnh này ghi: xóa mục đăng ký, HKLM System CurrentControlset Control SafeBoot Minimal WinDefend, mà không cần xác nhận. Vị trí của mục cho biết điều này ảnh hưởng đến máy tính khi khởi động vào chế độ an toàn.
Ngoài ra còn tìm thấy file vá lỗi bổ sung MedusaLocker dưới dạng dịch vụ có tên là backup backupvt và định cấu hình để chạy trên mọi khởi động vào chế độ an toàn Tối thiểu. Điều này ẩn tên file khi nhìn vào các dịch vụ. Nó cũng làm cho MedusaLocker có sẵn để chạy ở chế độ an toàn Tối thiểu.
Sau khi thiết lập môi trường chế độ an toàn đến nơi có thể chạy mà không bị nhiễu. Các file vá lỗi cấu hình khởi động tiếp theo của máy tính để chạy ở chế độ an toàn Tối thiểu và khởi động lại máy tính một cách im lặng. Khi máy tính khởi động lại, nó sẽ chuyển sang chế độ an toàn và khởi động dịch vụ MedusaLocker. Tiếp theo, MedusaLocker chạy và mã hóa tất cả các file trên máy tính nạn nhân mà không phải lo lắng về việc phần mềm chống vi-rút chặn nó.
Nói chung, mặc dù đây không phải là một kỹ thuật trốn tránh mới, không có cuộc tấn công ransomware nào khác sử dụng kỹ thuật này để khắc phục phần mềm chống vi-rút. Khởi động vào chế độ an toàn như thế này cũng ngăn chặn gần như tất cả các chương trình chống vi-rút của bên thứ 3 chạy, khiến MedusaLocker đặc biệt khó phát hiện.
Cuộc tấn công ransomware này rất giỏi lẩn tránh và hiệu quả trong việc khắc phục các biện pháp bảo vệ chống phần mềm endpoint truyền thống, khiến việc bảo mật các lớp thực sự cần thiết. Trong một thử nghiệm, tính năng APT Blocker trên nền tảng Cloud của WatchGuard đã xác định và chặn mối đe dọa ở cả vành đai và sự kết hợp với TDR (Threat Detection and Response) ở endpoint, nhưng chỉ sau khi nó vượt qua vòng phát hiện dựa trên chữ ký.
Module ngăn chặn Host Ransomware (HRP) của TDR cũng nhanh chóng xác định và chặn sự xâm nhập MedusaLocker mã hóa máy tính nạn nhân, nhưng chỉ khi ransomware thực thi trong khi dịch vụ TDR đang chạy và không ở chế độ an toàn. Bởi vì nó rất nguy hiểm khi chạy các trình điều khiển của bên thứ ba như các công cụ chống phần mềm độc hại ở chế độ an toàn, nên có khả năng bạn sẽ thấy nhiều công cụ nắm bắt được mối đe dọa này nếu nó đi xa đến thế.
Thêm vào đó, hãy cẩn thận với các file vá lỗi hàng loạt được tải xuống từ Internet. Họ có thể chạy mã và thao tác đăng ký để vô hiệu hóa mọi chương trình chống vi-rút được cài đặt với thủ thuật chế độ an toàn này. Không bao giờ chạy một file không xác định mà không xác minh nguồn.
Các chỉ số (IoCs)
Batch FileBEA5DD8F1E5BF6D0184BEC09A87E2AEA
MedusaLocker 3EA4DFE71D3BDB4B0A5B0D472433628A
Để phòng chống ransomware tốt nhất, hãng bảo mật WatchGuard đến từ Mỹ với các tính năng TDR và APT Blocker chỉ có trong gói Total Security Suite. Hãy liên hệ với công ty ITMAP ASIA - Nhà phân phối chính thức của hãng WatchGuard tại Việt Nam để biết thêm chi tiết về sản phẩm và các gói dịch vụ.
555 Trần Hưng Đạo, P. Cầu Kho, quận 1, TP.HCM
028 5404 0717 - 5404 0799
info@itmapasia.com
Bình luận
Bài viết bạn có thể quan tâm
Ryzen 8000G: Lựa chọn CPU All-in-One cho PC Đa Năng và Gaming Tiết Kiệm
AMD đã và đang mang đến những lựa chọn hấp dẫn cho những ai muốn xây dựng một bộ PC nhỏ gọn, tiết kiệm chi phí mà vẫn đáp ứng tốt nhu cầu làm việc và giải trí
PC Tầm Trung cho Học Sinh, Sinh Viên: Giải Pháp Toàn Diện với AMD Ryzen 5 7000 series & Radeon RX 7600
Giới thiệu một cỗ máy tính mạnh mẽ, đáng tin cậy với mức giá phải chăng luôn là bài toán khó, đặc biệt đối với học sinh, sinh viên khi túi tiền có hạn nhưng nhu cầu lại đa dạng
AMD và bước tiến lớn trong phần cứng AI tại AMD Advancing AI 2025
Với sức mạnh ngày càng lớn từ lĩnh vực điện toán hiệu năng cao (HPC) và AI, AMD đã chứng minh sự cam kết mạnh mẽ đối với công nghệ tiên tiến thông qua việc phát triển các kiến trúc hiện đại. Tại sự kiện AMD Advancing AI 2025, AMD tiếp tục gây ấn tượng với những sản phẩm đột phá, đánh dấu cột mốc mới trong hành trình thúc đẩy sự đổi mới công nghệ
Đánh giá Lenovo IdeaPad Slim 5 14AKP10: 32GB RAM, 1TB SSD, mạnh mẽ, pin trâu, màn hình OLED, cực kỳ đáng mua
Lenovo IdeaPad Slim 5 14AKP10 là một mẫu laptop văn phòng cực kỳ đáng cân nhắc nhờ sở hữu hàng loạt các ưu điểm nổi bật, cho trải nghiệm tuyệt vời có thể làm hài lòng cả những người dùng khó tính nhất
Những mẫu laptop gaming đáng mua nhất dịp hè 2025
Hè đã đến, đây là khoảng thời gian tuyệt vời để chìm đắm trong những tựa game yêu thích. Để có những trải nghiệm chiến game mượt mà và đỉnh cao nhất, việc lựa chọn một chiếc laptop gaming mạnh mẽ là vô cùng quan trọng.
PC Thế Hệ Mới Cho Phòng Game: Sức Mạnh Vượt Trội Từ Ryzen 5 7500F và Radeon RX 7600
Trong kỷ nguyên của các tựa game đồ họa đỉnh cao và yêu cầu hiệu năng ngày càng khắt khe, việc xây dựng một cấu hình máy tính phòng game thế hệ mới đòi hỏi sự cân nhắc kỹ lưỡng giữa hiệu suất, chi phí và khả năng nâng cấp lâu dài.