medusalocker ransomw sẽ vượt qua hầu hết các phần mềm chống vi-rút
Tuần trước đã xuất hiện 1 ransomware với các kỹ thuật trốn tránh độc đáo trong một biến thể mới, hoặc có thể là một bản sao, của ransomware MedusaLocker. MedusaLocker ransomware, lần đầu tiên xuất hiện vào tháng 9 năm 2019, đi kèm với một file vá lỗi để tránh bị phát hiện.
Các file vá lỗi chứa các lệnh script đang chạy trong Command Prompt trên các máy Windows và có phần đuôi .bat. Trong các file vá lỗi độc hại đi kèm với ransomware đã tìm thấy một lệnh chỉnh sửa cài đặt Windows để xóa Windows Defender khi máy tính được khởi động vào chế độ an toàn mà không bật mạng (Chế độ tối thiểu).
reg delete HKLMSystemCurrentControlSetControlSafeBootMinimalWinDefend /f
Lệnh này ghi: xóa mục đăng ký, HKLM System CurrentControlset Control SafeBoot Minimal WinDefend, mà không cần xác nhận. Vị trí của mục cho biết điều này ảnh hưởng đến máy tính khi khởi động vào chế độ an toàn.
Ngoài ra còn tìm thấy file vá lỗi bổ sung MedusaLocker dưới dạng dịch vụ có tên là backup backupvt và định cấu hình để chạy trên mọi khởi động vào chế độ an toàn Tối thiểu. Điều này ẩn tên file khi nhìn vào các dịch vụ. Nó cũng làm cho MedusaLocker có sẵn để chạy ở chế độ an toàn Tối thiểu.
Sau khi thiết lập môi trường chế độ an toàn đến nơi có thể chạy mà không bị nhiễu. Các file vá lỗi cấu hình khởi động tiếp theo của máy tính để chạy ở chế độ an toàn Tối thiểu và khởi động lại máy tính một cách im lặng. Khi máy tính khởi động lại, nó sẽ chuyển sang chế độ an toàn và khởi động dịch vụ MedusaLocker. Tiếp theo, MedusaLocker chạy và mã hóa tất cả các file trên máy tính nạn nhân mà không phải lo lắng về việc phần mềm chống vi-rút chặn nó.
Nói chung, mặc dù đây không phải là một kỹ thuật trốn tránh mới, không có cuộc tấn công ransomware nào khác sử dụng kỹ thuật này để khắc phục phần mềm chống vi-rút. Khởi động vào chế độ an toàn như thế này cũng ngăn chặn gần như tất cả các chương trình chống vi-rút của bên thứ 3 chạy, khiến MedusaLocker đặc biệt khó phát hiện.
Cuộc tấn công ransomware này rất giỏi lẩn tránh và hiệu quả trong việc khắc phục các biện pháp bảo vệ chống phần mềm endpoint truyền thống, khiến việc bảo mật các lớp thực sự cần thiết. Trong một thử nghiệm, tính năng APT Blocker trên nền tảng Cloud của WatchGuard đã xác định và chặn mối đe dọa ở cả vành đai và sự kết hợp với TDR (Threat Detection and Response) ở endpoint, nhưng chỉ sau khi nó vượt qua vòng phát hiện dựa trên chữ ký.
Module ngăn chặn Host Ransomware (HRP) của TDR cũng nhanh chóng xác định và chặn sự xâm nhập MedusaLocker mã hóa máy tính nạn nhân, nhưng chỉ khi ransomware thực thi trong khi dịch vụ TDR đang chạy và không ở chế độ an toàn. Bởi vì nó rất nguy hiểm khi chạy các trình điều khiển của bên thứ ba như các công cụ chống phần mềm độc hại ở chế độ an toàn, nên có khả năng bạn sẽ thấy nhiều công cụ nắm bắt được mối đe dọa này nếu nó đi xa đến thế.
Thêm vào đó, hãy cẩn thận với các file vá lỗi hàng loạt được tải xuống từ Internet. Họ có thể chạy mã và thao tác đăng ký để vô hiệu hóa mọi chương trình chống vi-rút được cài đặt với thủ thuật chế độ an toàn này. Không bao giờ chạy một file không xác định mà không xác minh nguồn.
Các chỉ số (IoCs)
Batch FileBEA5DD8F1E5BF6D0184BEC09A87E2AEA
MedusaLocker 3EA4DFE71D3BDB4B0A5B0D472433628A
Để phòng chống ransomware tốt nhất, hãng bảo mật WatchGuard đến từ Mỹ với các tính năng TDR và APT Blocker chỉ có trong gói Total Security Suite. Hãy liên hệ với công ty ITMAP ASIA - Nhà phân phối chính thức của hãng WatchGuard tại Việt Nam để biết thêm chi tiết về sản phẩm và các gói dịch vụ.
555 Trần Hưng Đạo, P. Cầu Kho, quận 1, TP.HCM
028 5404 0717 - 5404 0799
info@itmapasia.com
Bình luận
Bài viết bạn có thể quan tâm
Tại sao doanh nghiệp không thể bỏ qua tối ưu hóa đám mây trong năm 2025
Nhu cầu sử dụng điện toán đám mây của doanh nghiệp đã vượt xa những lý do ban đầu khi triển khai. Giờ đây, hơn bao giờ hết, các doanh nghiệp cần chuẩn bị để mở rộng quy mô ngay lập tức.
Tổng hợp các mẫu laptop AI đáng chú ý nhất đầu năm 2025
Bước sang đầu năm 2025, laptop AI không còn là khái niệm xa vời mà đã trở thành một xu hướng công nghệ, hiện diện trong mọi phân khúc từ văn phòng, sáng tạo nội dung đến gaming đỉnh cao.
AMD Ryzen Threadripper 7000 Series - Đáp ứng mọi nhu cầu người dùng chuyên nghiệp
Trong thế giới công việc kỹ thuật chuyên nghiệp, có rất nhiều ứng dụng cần đến nhiều nhân CPU với sức xử lý mạnh mẽ và lượng bộ nhớ RAM lớn, vượt qua khỏi tầm với của các dòng CPU thương mại thông thường. Đó là lúc mà dòng GPU AMD Ryzen Threadripper thể hiện vai trò của mình
AMD Ryzen 7 5700G: Trái Tim Mạnh Mẽ và Đáng Tin Cậy Cho Máy Tính Văn Phòng SMB
Trong bối cảnh các doanh nghiệp vừa và nhỏ (SMB) tìm kiếm giải pháp máy tính văn phòng hiệu quả, ổn định và tiết kiệm chi phí, AMD Ryzen 7 5700G nổi lên như một lựa chọn đáng cân nhắc. Với sức mạnh xử lý kết hợp cùng bộ xử lý đồ họa tích hợp mạnh mẽ
AMD sẽ tổ chức họp báo trước thềm COMPUTEX 2025
Buổi họp báo trước thềm sự kiện COMPUTEX 2025 của AMD sẽ được trực tiếp và phát trực tiếp sẽ diễn ra vào lúc 10h00 (theo giờ Việt Nam) ngày 21/5/2025, tại Grand Hyatt, Đài Bắc.
Máy tính cá nhân AI: Một sự thay đổi mô hình trong môi trường làm việc hiện đại
Khi AI định hình lại nơi làm việc, các nhà lãnh đạo CNTT đang đứng trước thời điểm quan trọng để đánh giá lại cơ sở hạ tầng PC, giải quyết các nhu cầu về quyền riêng tư đang thay đổi và thống nhất các chiến lược dài hạn cho những bước đi tiếp theo.