Phát hiện chủng ransomware mới nhắm vào công cụ tìm kiếm Windows

Các nhà nghiên cứu bảo mật tại Trend Micro vừa phát đi thông báo về một chủng ransomware mới, lạm dụng giao diện lập trình ứng dụng của công cụ tìm kiếm Windows bên thứ ba có tên là Everything để mã hóa hệ thống mục tiêu.

Được đặt tên Mimic, chủng mã độc tống tiền này chủ yếu nhắm mục tiêu đến người dùng nói tiếng Nga và tiếng Anh. Nó sở hữu những khả năng độc hại sau:

• Thu thập thông tin hệ thống
• Bỏ qua kiểm soát tài khoản người dùng (UAC)
• Vô hiệu hóa Windows Defender
• Vô hiệu hóa Windows telemetry
• Kích hoạt các biện pháp chống tắt máy
• Tháo ổ đĩa ảo
• Chấm dứt quy trình và dịch vụ
• Vô hiệu hóa chế độ ngủ và tắt hệ thống
• Loại bỏ các chỉ số
• Ngăn chặn phục hồi hệ thống

Cuộc tấn công ransomware bắt đầu khi nạn nhân nhận được tệp thực thi chứa mã độc hại qua email. Khi được khởi chạy, tệp này sẽ trích xuất thêm bốn tệp trên hệ thống đích (hiển thị phía trên), bao gồm tải trọng chính, tệp bổ sung và công cụ để tắt Windows Defender

Sau khi hệ thống tệp độc hại được giải nén, Mimic sẽ lập tức khai thác khả năng tìm kiếm của Everything bằng cách sử dụng tệp 'Everything32.dll’ để tìm các tên tệp và phần mở rộng cụ thể trên hệ thống bị xâm nhập. Điều này cho phép phần mềm tống tiền xác định những tệp có thể mã hóa, đồng thời tránh những tệp có thể khiến hệ thống gặp trục trặc nếu bị khóa. Đây là một trong những cơ chế cực kỳ thông minh của chủng ransomware này.

Cuối cùng, Mimic sẽ thêm phần đuôi mở rộng .QUIETPLACE vào các tệp đã bị mã hóa và hiển thị ghi chú đòi tiền chuộc cho nạn nhân. Mã độc yêu cầu tiền chuộc phải được thanh toán bằng Bitcoin, được tính toán dựa trên số lượng tệp đã mã hóa.

Để bảo vệ máy tính khỏi các cuộc tấn công của độc tống tiền nói chung và Mimic nói riêng, hãy luôn thận trọng khi mở các email và tệp đính kèm không mong muốn, đồng thời hạn chế truy cập các trang web độc hại tiềm ẩn. Ngoài ra, hãy đảm bảo rằng các chương trình bảo mật của bạn luôn được cập nhật để chúng có thể phát hiện và loại bỏ phần mềm tống tiền đúng cách. Cuối cùng, hãy tạo thói quen sao lưu các tệp quan trọng trên các hệ thống lưu trữ bên ngoài như ổ đĩa flash, ổ cứng hoặc đám mây. Bằng cách này, ngay cả khi bị ransomware mã hóa dữ liệu, bạn vẫn có thể dễ dàng khôi phục mọi thứ cần thiết từ bản sao lưu.