Được phát hiện lần đầu tiên vào năm 2021, còn được gọi là Fargo, TargetCompany và Tohnichi, Mallox hoạt động theo mô hình ransomware-as-a-service (RaaS) và được biết đến với việc nhắm mục tiêu vào các máy chủ Microsoft SQL Server để xâm phạm ban đầu.
Trước đây, các nhà phát triển Mallox tập trung vào việc cải thiện lược đồ mã hóa của mã độc tống tiền, thế nhưng các nhà nghiên cứu của Avast cho biết điểm yếu trong lược đồ này đã “mở đường” cho việc tạo ra bộ giải mã để giúp khôi phục dữ liệu bị mất trong các cuộc tấn công mã hóa dữ liệu và tống tiền nạn nhân.
Avast cho biết công cụ giải mã này nhắm vào các tệp được mã hóa vào năm 2023 hoặc đầu năm 2024 và có phần mở rộng là [.]bitenc, [.]ma1x0, [.]mallab, [.]malox, [.]mallox, [.]malloxx và [.]xollam. Công ty đã đưa ra hướng dẫn chi tiết về cách sử dụng công cụ giải mã, khuyến cáo nạn nhân của mã độc tống tiền Mallox nên chạy công cụ trên cùng một máy tính mà các tệp đã bị mã hóa.
Các tin tặc đứng sau Mallox thường thực hiện các cuộc tấn công với mục tiêu là các tổ chức trong nhiều lĩnh vực như chính phủ, công nghệ thông tin, dịch vụ pháp lý, sản xuất, dịch vụ bán lẻ và giao thông vận tải. Giống như các nhóm RaaS khác, những kẻ điều hành Mallox đã thực hiện hành vi tống tiền kép, đánh cắp dữ liệu của nạn nhân và đe dọa sẽ tiết lộ dữ liệu đó trên một trang web dựa trên Tor trừ khi nạn nhân trả tiền chuộc.
Trong khi Mallox chủ yếu tập trung vào các hệ thống Windows, các biến thể của nó gần đây được phát hiện nhắm vào máy Linux và hệ thống VMWare ESXi. Trong mọi trường hợp, phương pháp xâm nhập được ưa thích của tin tặc là khai thác các lỗ hổng chưa được vá và tấn công bằng cách sử dụng kỹ thuật Brute Force các mật khẩu yếu.
Sau khi thỏa hiệp ban đầu, những kẻ tấn công sẽ triển khai nhiều chương trình nhúng mã độc, tập lệnh batch và PowerShell để leo thang đặc quyền và tải xuống các công cụ bổ sung, bao gồm cả phần mềm tống tiền mã hóa tệp. Mã độc sử dụng thuật toán mã hóa ChaCha20 để mã hóa các tệp của nạn nhân và thêm phần mở rộng “[.]rmallox” vào đó. Sau đó, nó đưa ra một ghi chú tiền chuộc vào mỗi thư mục chứa các tệp được mã hóa.
Mallox chấm dứt các tiến trình chính liên quan đến hoạt động của cơ sở dữ liệu SQL và mã hóa các tệp lưu trữ và sao lưu, gây ra sự gián đoạn nghiêm trọng. Nó nâng cao đặc quyền để sở hữu các tệp và tiến trình, khóa các tệp hệ thống, vô hiệu hóa các giải pháp bảo mật và chức năng Automatic Repair bằng cách sửa đổi cài đặt cấu hình boot và xóa các bản sao shadow để ngăn việc khôi phục dữ liệu.
Dưới đây là các bước cài đặt công cụ giải mã Mallox
Bước 1: Tải xuống công cụ tại đây.
Bước 2: Chạy bộ cài đặt (khuyến nghị chạy với quyền quản trị viên). Như đã đề cập, lưu ý trình giải mã này phải được thực hiện trên cùng một máy tính nơi các tệp bị mã hóa.
Hình 1. Thông báo lưu ý trước khi cài đặt
Bước 3: Ở cửa số tiếp theo, người dùng được yêu cầu lựa chọn vị trí (ổ đĩa, thư mục và tệp) cần giải mã.
.png)
Hình 2. Lựa chọn vị trí cần giải mã
Bước 4: Tiếp đó, người dùng có thể chọn sao lưu các tệp đã mã hóa của mình. Các bản sao lưu này có thể giúp ích nếu có bất kỳ sự cố nào xảy ra trong quá trình giải mã. Tùy chọn này được chọn theo mặc định, Avast khuyến cáo người dùng nên làm như vậy. Sau khi chọn “Decrypt”, quá trình giải mã sẽ bắt đầu. Hãy để trình giải mã hoạt động và đợi cho đến khi nó giải mã xong tất cả các tệp.
Hình 3. Sao lưu các tệp mã hóa và tiến hành giải mã
Dương Ngân
(Tổng hợp)
09:00 | 05/11/2024
14:00 | 22/02/2024
07:00 | 15/01/2024
10:00 | 05/07/2023
16:00 | 06/12/2024
Ngày 03/12, Cơ quan Cảnh sát châu Âu (Europol) cho biết đã triệt phá thành công một dịch vụ nhắn tin mã hóa được sử dụng cho hoạt động buôn bán ma túy và vũ khí quốc tế.
10:00 | 03/04/2024
Với vai trò là Cơ quan mật mã quốc gia, Ban Cơ yếu Chính phủ đã chỉ đạo tổ chức nghiên cứu, xây dựng thuật toán mã khối dân sự để thiết kế, chế tạo các sản phẩm bảo mật, an toàn thông tin phục vụ phát triển kinh tế số, xã hội số.
15:00 | 31/08/2023
Viện Tiêu chuẩn và Công nghệ Quốc gia của Bộ Thương mại Mỹ (NIST) đã bắt đầu một quy trình thu hút, đánh giá và tiêu chuẩn hóa các thuật toán mật mã hạng nhẹ phù hợp để sử dụng trong các môi trường hạn chế. Tháng 8/2018, NIST đã đưa ra lời kêu gọi xem xét các thuật toán cho các tiêu chuẩn mật mã hạng nhẹ với mã hóa xác thực dữ liệu liên kết (AEAD - Authenticated Encryption with Associated Data) và các hàm băm tùy chọn. Họ đã nhận được 57 yêu cầu gửi lên để được xem xét tiêu chuẩn hóa. Vào ngày 07/02/2023, NIST đã thông báo về việc lựa chọn dòng ASCON để tiêu chuẩn hóa mật mã hạng nhẹ.
09:00 | 01/08/2023
Mọi người đều biết rằng nên chuẩn bị cho một “tương lai lượng tử”, nhưng nó được cho là sẽ xảy ra sau 10 - 20 năm nữa. Thế nhưng vào những ngày cuối cùng của năm 2022, cộng đồng công nghệ thông tin (CNTT) khá xôn xao trước một nghiên cứu do một nhóm các nhà khoa học Trung Quốc trình bày. Kết quả nghiên cứu này tuyên bố rằng trong tương lai gần nhất, có thể bẻ khóa thuật toán mã hóa RSA với độ dài khóa là 2048 bit, đây vốn là nền tảng cho hoạt động của các giao thức internet bằng cách kết hợp khéo léo tính toán cổ điển và tính toán lượng tử. Vậy thực hư mối đe dọa này như thế nào? Liệu có một sự đột phá trong năm nay?
