Phát hiện chủng mã độc tống tiền mới nhắm vào thanh tìm kiếm trên Windows

Các nhà nghiên cứu bảo mật vừa phát đi thông báo về một chủng ransomware mới, lạm dụng giao diện lập trình ứng dụng của công cụ tìm kiếm Windows bên thứ ba có tên là Everything để mã hóa hệ thống mục tiêu.

Được đặt tên Mimic, chủng mã độc tống tiền này chủ yếu nhắm mục tiêu đến người dùng nói tiếng Nga và tiếng Anh. Nó sở hữu những khả năng độc hại sau:

Thu thập thông tin hệ thống

Bỏ qua kiểm soát tài khoản người dùng (UAC)

Vô hiệu hóa Windows Defender

Vô hiệu hóa Windows telemetry

Kích hoạt các biện pháp chống tắt máy

Tháo ổ đĩa ảo

Chấm dứt quy trình và dịch vụ

Vô hiệu hóa chế độ ngủ và tắt hệ thống

Loại bỏ các chỉ số

Ngăn chặn phục hồi hệ thống

Cuộc tấn công ransomware bắt đầu khi nạn nhân nhận được tệp thực thi chứa mã độc hại qua email. Khi được khởi chạy, tệp này sẽ trích xuất thêm bốn tệp trên hệ thống đích (hiển thị phía trên), bao gồm tải trọng chính, tệp bổ sung và công cụ để tắt Windows Defender

Sau khi hệ thống tệp độc hại được giải nén, Mimic sẽ lập tức khai thác khả năng tìm kiếm của Everything bằng cách sử dụng tệp 'Everything32.dll’ để tìm các tên tệp và phần mở rộng cụ thể trên hệ thống bị xâm nhập. Điều này cho phép phần mềm tống tiền xác định những tệp có thể mã hóa, đồng thời tránh những tệp có thể khiến hệ thống gặp trục trặc nếu bị khóa. Đây là một trong những cơ chế cực kỳ thông minh của chủng ransomware này.

Cuối cùng, Mimic sẽ thêm phần đuôi mở rộng .QUIETPLACE vào các tệp đã bị mã hóa và hiển thị ghi chú đòi tiền chuộc cho nạn nhân. Mã độc yêu cầu tiền chuộc phải được thanh toán bằng Bitcoin, được tính toán dựa trên số lượng tệp đã mã hóa.

Để bảo vệ máy tính khỏi các cuộc tấn công của độc tống tiền nói chung và Mimic nói riêng, hãy luôn thận trọng khi mở các email và tệp đính kèm không mong muốn, đồng thời hạn chế truy cập các trang web độc hại tiềm ẩn. Ngoài ra, hãy đảm bảo rằng các chương trình bảo mật của bạn luôn được cập nhật để chúng có thể phát hiện và loại bỏ phần mềm tống tiền đúng cách. Cuối cùng, hãy tạo thói quen sao lưu các tệp quan trọng trên các hệ thống lưu trữ bên ngoài như ổ đĩa flash, ổ cứng hoặc đám mây. Bằng cách này, ngay cả khi bị ransomware mã hóa dữ liệu, bạn vẫn có thể dễ dàng khôi phục mọi thứ cần thiết từ bản sao lưu.

Theo TheHackerNews