Được phát hiện lần đầu tiên vào năm 2021, còn được gọi là Fargo, TargetCompany và Tohnichi, Mallox hoạt động theo mô hình ransomware-as-a-service (RaaS) và được biết đến với việc nhắm mục tiêu vào các máy chủ Microsoft SQL Server để xâm phạm ban đầu.
Trước đây, các nhà phát triển Mallox tập trung vào việc cải thiện lược đồ mã hóa của mã độc tống tiền, thế nhưng các nhà nghiên cứu của Avast cho biết điểm yếu trong lược đồ này đã “mở đường” cho việc tạo ra bộ giải mã để giúp khôi phục dữ liệu bị mất trong các cuộc tấn công mã hóa dữ liệu và tống tiền nạn nhân.
Avast cho biết công cụ giải mã này nhắm vào các tệp được mã hóa vào năm 2023 hoặc đầu năm 2024 và có phần mở rộng là [.]bitenc, [.]ma1x0, [.]mallab, [.]malox, [.]mallox, [.]malloxx và [.]xollam. Công ty đã đưa ra hướng dẫn chi tiết về cách sử dụng công cụ giải mã, khuyến cáo nạn nhân của mã độc tống tiền Mallox nên chạy công cụ trên cùng một máy tính mà các tệp đã bị mã hóa.
Các tin tặc đứng sau Mallox thường thực hiện các cuộc tấn công với mục tiêu là các tổ chức trong nhiều lĩnh vực như chính phủ, công nghệ thông tin, dịch vụ pháp lý, sản xuất, dịch vụ bán lẻ và giao thông vận tải. Giống như các nhóm RaaS khác, những kẻ điều hành Mallox đã thực hiện hành vi tống tiền kép, đánh cắp dữ liệu của nạn nhân và đe dọa sẽ tiết lộ dữ liệu đó trên một trang web dựa trên Tor trừ khi nạn nhân trả tiền chuộc.
Trong khi Mallox chủ yếu tập trung vào các hệ thống Windows, các biến thể của nó gần đây được phát hiện nhắm vào máy Linux và hệ thống VMWare ESXi. Trong mọi trường hợp, phương pháp xâm nhập được ưa thích của tin tặc là khai thác các lỗ hổng chưa được vá và tấn công bằng cách sử dụng kỹ thuật Brute Force các mật khẩu yếu.
Sau khi thỏa hiệp ban đầu, những kẻ tấn công sẽ triển khai nhiều chương trình nhúng mã độc, tập lệnh batch và PowerShell để leo thang đặc quyền và tải xuống các công cụ bổ sung, bao gồm cả phần mềm tống tiền mã hóa tệp. Mã độc sử dụng thuật toán mã hóa ChaCha20 để mã hóa các tệp của nạn nhân và thêm phần mở rộng “[.]rmallox” vào đó. Sau đó, nó đưa ra một ghi chú tiền chuộc vào mỗi thư mục chứa các tệp được mã hóa.
Mallox chấm dứt các tiến trình chính liên quan đến hoạt động của cơ sở dữ liệu SQL và mã hóa các tệp lưu trữ và sao lưu, gây ra sự gián đoạn nghiêm trọng. Nó nâng cao đặc quyền để sở hữu các tệp và tiến trình, khóa các tệp hệ thống, vô hiệu hóa các giải pháp bảo mật và chức năng Automatic Repair bằng cách sửa đổi cài đặt cấu hình boot và xóa các bản sao shadow để ngăn việc khôi phục dữ liệu.
Dưới đây là các bước cài đặt công cụ giải mã Mallox
Bước 1: Tải xuống công cụ
Bước 2: Chạy bộ cài đặt (khuyến nghị chạy với quyền quản trị viên). Như đã đề cập, lưu ý trình giải mã này phải được thực hiện trên cùng một máy tính nơi các tệp bị mã hóa.
Hình 1. Thông báo lưu ý trước khi cài đặt
Bước 3: Ở cửa số tiếp theo, người dùng được yêu cầu lựa chọn vị trí (ổ đĩa, thư mục và tệp) cần giải mã.
.png)
Hình 2. Lựa chọn vị trí cần giải mã
Bước 4: Tiếp đó, người dùng có thể chọn sao lưu các tệp đã mã hóa của mình. Các bản sao lưu này có thể giúp ích nếu có bất kỳ sự cố nào xảy ra trong quá trình giải mã. Tùy chọn này được chọn theo mặc định, Avast khuyến cáo người dùng nên làm như vậy. Sau khi chọn “Decrypt”, quá trình giải mã sẽ bắt đầu. Hãy để trình giải mã hoạt động và đợi cho đến khi nó giải mã xong tất cả các tệp.
Hình 3. Sao lưu các tệp mã hóa và tiến hành giải mã
Dương Ngân
(Tổng hợp)
14:00 | 22/02/2024
07:00 | 15/01/2024
10:00 | 05/07/2023
15:00 | 26/06/2024
Ban Cơ yếu Chính phủ đã nghiên cứu, xây dựng dự thảo Tờ trình, Nghị định quy định chi tiết một số điều và biện pháp thi hành Luật An toàn thông tin mạng về mật mã dân sự (thay thế Nghị định số 58/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự, xuất khẩu, nhập khẩu sản phẩm mật mã dân sự).
10:00 | 14/04/2023
Sau 5 năm ban hành và triển khai, Nghị định số 53/2018/NĐ-CP ngày 16/4/2018 của Chính phủ sửa đổi, bổ sung Nghị định số 58/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự đã cho thấy nhiều bất cập cần sửa đổi, bổ sung.
12:00 | 12/08/2022
Ngày 5/7/2022, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of Standards and Technology - NIST) đã hoàn thành vòng thứ 3 của quá trình chuẩn hóa mật mã hậu lượng tử, nhằm chọn ra các thuật toán mật mã khóa công khai để bảo vệ thông tin khi máy tính lượng tử ra đời và công bố 4 thuật toán sẽ được chuẩn hóa của mật mã hậu lượng tử cùng với 4 ứng cử viên cho vòng tuyển chọn thứ 4 [1].
07:00 | 22/07/2022
Thị trường an toàn thông tin Việt Nam ngay từ giai đoạn định hình ban đầu đã có sự tham gia của các cơ quản quản lý Nhà nước trong công tác quản lý đối với sản phẩm, dịch vụ an toàn thông tin. Đặc biệt là công tác quản lý mật mã dân sự do Ban Cơ yếu Chính phủ thực hiện. Trước sự phát triển của thị trường, sự thay đổi của công nghệ, công tác quản lý mật mã dân sự và kiểm định sản phẩm mật mã cũng có những nét đổi mới để thích nghi với tình hình mới. Toạ đàm “Đổi mới trong công tác quản lý nhà nước về mật mã dân sự” dự kiến tổ chức vào ngày 27/7 tới đây trên Tạp chí An toàn thông tin điện tử sẽ bàn luận rõ hơn về vấn đề này.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
