Đó chính là Clop CryptoMix - một loại mã độc tống tiền thuộc chủng CryptoMix vốn đang làm mưa làm gió trên toàn thế giới trong vài tháng trở lại đây. Để mã hóa thành công dữ liệu của nạn nhân, Clop CryptoMix hiện đang cố gắng vô hiệu hóa Windows Defender cũng như loại bỏ các chương trình Anti-Ransomware độc lập của Microsoft Security Essentials và Malwarebytes.
Về cơ bản, Clop CryptoMix là một biến thể của CryptoMix Ransomware, sử dụng đuôi mở rộng .Clop và sở hữu ghi chú tiền chuộc có tên CIopReadMe.txt (chữ ký: "Dont Worry C|0P"). Có thể gọi nôm na mã độc tống tiền này là Clop.
Cố gắng vô hiệu hóa Windows Defender
Theo phân tích được thực hiện bởi nhà nghiên cứu bảo mật nổi tiếng Vitali Kremez, Clop đã được bổ sung thêm khả năng âm thầm thực thi một kỹ thuật đặc biệt, cho phép nó vô hiệu hóa nhiều loại phần mềm bảo mật trước khi mã hóa dữ liệu của nạn nhân, trong đó bao gồm Windows Defender và một số phần mềm bảo mật của Malwarebytes.
Đây về cơ bản là kỹ thuật giúp chống lại các thuật toán hành vi hỗ trợ phát hiện mã hóa tệp cũng như chặn ransomware của phần mềm bảo mật.
Để vô hiệu hóa Windows Defender, Clop sẽ cấu hình nhiều giá trị Registry khác nhau để vô hiệu hóa các khả năng giám sát hành vi, bảo vệ thời gian thực, upload mẫu mã độc lên Microsoft, Tamper Protection, bảo mật đám mây và phát hiện phần mềm chống phần mềm gián điệp… của chương trình này.
Tin vui là nếu bạn đã bật Tamper Protection trong Windows 10, các giá trị cài đặt này sẽ bị đặt lại về cấu hình mặc định của chúng và Windows Defender sẽ vẫn hoạt động bình thường mà không bị vô hiệu hóa, và ngược lại.
Ngoài Windows Defender, Clop cũng đang nhắm mục tiêu vào các máy tính cũ hơn bằng cách gỡ cài đặt Microsoft Security Essentials. Thực tế là CryptoMix được chạy bởi các đặc quyền quản trị viên từ những kẻ tấn công, do đó nó hoàn toàn có thể xóa phần mềm mà không gặp bất cứ vấn đề gì.
Cố gắng gỡ cài đặt Malwarebytes Anti-Ransomware
Nhóm nghiên cứu bảo mật MalwareHunterteam đã phát hiện ra bên cạnh Windows Defender, Clop cũng đang nhắm mục tiêu tương tự vào chương trình Malwarebytes Anti-Ransomware độc lập.
Khi được thực thi, mã độc sẽ cố gắng vô hiệu hóa các chương trình Anti-Ransomware của Malwarebytes bằng lệnh sau:
C:\Program Files\MalwareBytes\Anti-Ransomware\unins000.exe /verysilent /suppressmsgboxes /norestart
Mặt khác, CryptoMix thường được cài đặt thông qua Remote Desktop hoặc xâm nhập qua hệ thống mạng, do vậy, việc nhắm mục tiêu các sản phẩm mà máy trạm doanh nghiệp cũ đang sử dụng cho phép phần mềm ransomware này có thể tự do hoạt động mà không gặp phải bất cứ rào cản nào khi mã hóa toàn bộ mạng.
Hiện cả Microsoft và Malwarebytes đều chưa đưa ra bình luận nào đối với các phát hiện trên.