DDos
VIP Members
-
22/10/2013
-
524
-
2.189 bài viết
SNATCH ransomware tự động vào safe mode để gỡ bỏ phần mềm diệt virus
Các nhà nghiên cứu tại SOPHOS, một công ty bảo mật, gần đây đã phát hiện ra ransomware mới. Phần mềm ransomware này sử dụng các phương tiện cực kỳ tinh vi để tránh sự can thiệp của phần mềm chống virus. Các nhà nghiên cứu gọi phần mềm ransomware này là phần mềm độc hại rất tinh vi vì nó tự động vào chế độ an toàn (safe mode) và gỡ cài đặt tất cả các phần mềm khác trước khi mã hóa tệp. Chúng ta biết rằng về lý thuyết, tất cả các phần mềm bên thứ ba không phải của Microsoft không thể khởi động tự động và ngay cả phần mềm chống virus cũng bị giới hạn bởi luật này khi ở chế độ safe mode. Và phần mềm ransomware này ngụy trang thành một dịch vụ hệ thống và sau đó sử dụng các hạn chế của chế độ an toàn, gỡ cài đặt phần mềm chống virus đã cài đặt và sau đó mã hóa các file trên máy tính.
Phần mềm ransomware này không nhằm mục tiêu lan truyền càng nhiều máy tính càng tốt để tống tiền, nhưng thu thập dữ liệu máy tính và lựa chọn cẩn thận các mục tiêu tiềm năng. Nhóm phát triển đằng sau nó chủ yếu sử dụng các lỗ hổng trong Microsoft Remote Desktop, VNC, Teamviewer, Webshell và SQLi để cố gắng lây nhiễm một số máy tính mục tiêu. Nếu một doanh nghiệp sử dụng phần mềm hoặc công cụ này nhưng không có các biện pháp bảo vệ đầy đủ, nó có thể được quét bởi các tin tặc và sau đó được sử dụng để xâm nhập vào mạng nội bộ của công ty. Sau khi xâm nhập thành công mạng nội bộ của công ty, ransomware sẽ thu thập thông tin liên quan đến công ty và thông tin nhạy cảm.
Để giải quyết vấn đề về phần mềm chống virus, phần mềm ransomware sẽ ngụy trang thành dịch vụ hệ thống và tên phần mềm được ngụy trang thành SNATCH là SuperBackupMan. Tên này là một công cụ sao lưu hệ thống và do đó, có thể khiến người dùng không để ý, nhưng miễn là phần mềm được cài đặt, nó không thể được gỡ cài đặt. Đồng thời, phần mềm sẽ buộc máy tính tự động vào chế độ an toàn, trong đó các công cụ hệ thống khác như chống virus hoặc phần mềm dọn dẹp rác hệ thống được gỡ cài đặt trực tiếp.
Ngoài ra, để ngăn người dùng khôi phục dữ liệu từ các bản sao lưu, ransomware sẽ tìm và xóa tất cả các bản sao lưu bóng Windows hoặc các điểm khôi phục hệ thống mà nó có thể tìm thấy. Về cách thức ransomware thực hiện tự khởi động ở chế độ an toàn, không rõ ràng, nhưng chiến lược gỡ cài đặt phần mềm chống virus này thực sự tinh vi. Sau khi gỡ cài đặt thành công phần mềm chống virus, ransomware sẽ khởi động lại máy tính để thoát khỏi chế độ an toàn, sau đó bắt đầu mã hóa tất cả các tệp của người dùng sau khi khởi động.
Phần mềm ransomware này không nhằm mục tiêu lan truyền càng nhiều máy tính càng tốt để tống tiền, nhưng thu thập dữ liệu máy tính và lựa chọn cẩn thận các mục tiêu tiềm năng. Nhóm phát triển đằng sau nó chủ yếu sử dụng các lỗ hổng trong Microsoft Remote Desktop, VNC, Teamviewer, Webshell và SQLi để cố gắng lây nhiễm một số máy tính mục tiêu. Nếu một doanh nghiệp sử dụng phần mềm hoặc công cụ này nhưng không có các biện pháp bảo vệ đầy đủ, nó có thể được quét bởi các tin tặc và sau đó được sử dụng để xâm nhập vào mạng nội bộ của công ty. Sau khi xâm nhập thành công mạng nội bộ của công ty, ransomware sẽ thu thập thông tin liên quan đến công ty và thông tin nhạy cảm.
Để giải quyết vấn đề về phần mềm chống virus, phần mềm ransomware sẽ ngụy trang thành dịch vụ hệ thống và tên phần mềm được ngụy trang thành SNATCH là SuperBackupMan. Tên này là một công cụ sao lưu hệ thống và do đó, có thể khiến người dùng không để ý, nhưng miễn là phần mềm được cài đặt, nó không thể được gỡ cài đặt. Đồng thời, phần mềm sẽ buộc máy tính tự động vào chế độ an toàn, trong đó các công cụ hệ thống khác như chống virus hoặc phần mềm dọn dẹp rác hệ thống được gỡ cài đặt trực tiếp.
Ngoài ra, để ngăn người dùng khôi phục dữ liệu từ các bản sao lưu, ransomware sẽ tìm và xóa tất cả các bản sao lưu bóng Windows hoặc các điểm khôi phục hệ thống mà nó có thể tìm thấy. Về cách thức ransomware thực hiện tự khởi động ở chế độ an toàn, không rõ ràng, nhưng chiến lược gỡ cài đặt phần mềm chống virus này thực sự tinh vi. Sau khi gỡ cài đặt thành công phần mềm chống virus, ransomware sẽ khởi động lại máy tính để thoát khỏi chế độ an toàn, sau đó bắt đầu mã hóa tất cả các tệp của người dùng sau khi khởi động.
Theo: sophos