HTI Services

092.8765.688 htiservices@htigroup.vn

  • vi
    • en

HTI Services
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en

RANSOMWARE – BE AWARE [MAKOP]

RANSOMWARE – BE AWARE [MAKOP]

quantri2025-03-17T09:55:51+07:00
quantri 2025-03-17 An toàn dữ liệu, Bài viết chia sẻ thông tin, Tin tức

Makop Ransomware là một nhánh của biến thể ransomware PHOBOS và hoạt động theo cấu trúc liên kết. Có thông tin cho rằng Makop Ransomware đang tích cực nhắm mục tiêu vào nhiều doanh nghiệp, tổ chức, trong đó gồm cả các tổ chức hoạt động trong các lĩnh vực trọng yếu. Trong bài viết này, hãy cùng phác thảo các kiểu tấn công đã được xác định của ransomware Makop và khám phá tệp thực thi được các nhánh của Makop sử dụng, từ đó rút ra những cách phòng chống các cuộc tấn công mã hóa dữ liệu hiệu quả nhất.

makop-ransomware

 

  1. Nguồn gốc của Makop Ransomware

Makop Ransomware ban đầu được quảng cáo trên một diễn đàn dark web vào tháng 1 năm 2020 bởi một cá nhân sử dụng tên “Makop” như một chương trình Ransomware-as-a-Services (RaaS). Các tính năng đáng chú ý mà Makop quảng cáo cho các chi nhánh liên kết bao gồm:

  • Các chi nhánh có thể chọn phần mở rộng tên tệp của các tệp được mã hóa (Ví dụ: “.makop”, “.mkp” hoặc các tên khác )
  • Mã độc tạo một ID duy nhất cho mỗi hệ thống bị mã hóa trong mạng chung của tổ chức
  • Các chi nhánh có thể chọn số tiền chuộc tùy chỉnh

  1. Cơ chế lây nhiễm

Phần mềm tống tiền Makop tận dụng các kỹ thuật khác nhau để xâm nhập vào mạng của các tổ chức và đưa các payload vào. Các vector tấn công phổ biến nhất bao gồm khai thác các hệ thống kết nối với internet và giao thức điều khiển máy tính từ xa (RDP), email lừa đảo có chứa tệp đính kèm có mã độc (chúng thường sử dụng phần mở rộng tệp bất thường để vượt qua trình quét email). Ransomware Makop cũng có thể được phân phối qua các kênh tải xuống đáng ngờ như các trang web lưu trữ tệp miễn phí và không chính thức, mạng chia sẻ ngang hàng (P2P), …

Sau khi xâm nhập thành công, Makop sẽ sử dụng hỗn hợp các công cụ tùy chỉnh và có sẵn sao để tiến hành các hoạt động của mình:

  • PowerShell: tải xuống và thực thi một tập lệnh hàng loạt trên hệ thống
  • exe: quét mạng và tìm kiếm các thư mục được chia sẻ
  • exe: tìm kiếm tên tệp hoặc tạo danh sách tệp
  • exe: chặn các thao tác nhập từ chuột
  • exe: tấn công brute-force RDP
  • Tập lệnh hàng loạt: vô hiệu hóa và xóa các bản sao Volume Shadow
  • exe: tệp thực thi phần mềm tống tiền
  • RDP: di chuyển ngang hàng trong hệ thống

Các tác nhân đe dọa này cũng được biết đến là tận dụng PuTTY, Mimikatz, YDArk, Advanced Port Scanner và PsExec để thực hiện các cuộc tấn công.

  1. Mã hóa

Một trong những tệp thực thi đã được xác định của Makop Ransomware là tệp thực thi mã hóa có GUI tích hợp trên VirusTotal. Mẫu này giải mã các chuỗi trong thời gian chạy để làm cho việc phân tích tĩnh trở nên khó khăn. Nó bao gồm tên thư viện, tên API, chuỗi được sử dụng để thực hiện các thao tác trong khi thực thi và các chuỗi tạo nên ghi chú ransomware.

Makop Ransomware sử dụng thuật toán AES-256 để mã hóa tệp sau đó đổi tên tệp theo định dạng sau:

File_Name.Extension.[8-Character_ID].[Email_Address].mkp

makop-ransomware

 

  1. Lời khuyên từ chuyên gia HTI Services

  • Duy trì sao lưu dữ liệu ngoại tuyến và thường xuyên cập nhật các bản sao lưu.
  • Triển khai xác thực đa yếu tố cho tất cả các dịch vụ trong phạm vi có thể, đặc biệt là đối với webmail, hệ thống máy ảo và các tài khoản truy cập vào các hệ thống quan trọng.
  • Cân nhắc hạn chế/vô hiệu hóa các hoạt động và quyền của các dòng lệnh và tập lệnh.
  • Vô hiệu hóa Kết nối máy tính từ xa, sử dụng các tài khoản có ít đặc quyền nhất. Đảm bảo ghi nhật ký và cấu hình RDP phù hợp.
  • Kiểm tra thường xuyên tính toàn vẹn của thông tin được lưu trữ trong cơ sở dữ liệu.
  • Triển khai hệ thống xác thực email để ngăn chặn thư rác và hỗ trợ phát hiện email giả mạo.
  • Áp dụng white list/Triển khai nghiêm ngặt chính sách hạn chế phần mềm để chặn các tệp nhị phân chạy từ đường dẫn %APPDATA% và %TEMP%. Mẫu phần mềm độc hại thường được thả và thực thi từ các vị trí này.
  • Duy trì phần mềm diệt virus được cập nhật trên toàn bộ hệ thống.
  • Thực hiện định kỳ việc đánh giá lỗ hổng, kiểm tra xâm nhập và kiểm toán bảo mật thông tin của các mạng/hệ thống quan trọng, đặc biệt là máy chủ chứa cơ sở dữ liệu.

HTI Services cung cấp Dịch vụ Tư vấn giải mã dữ liệu bị mã hóa được thực hiện bởi những chuyên gia đã có nhiều năm kinh nghiệm trong lĩnh vực Pháp y kỹ thuật số điện tử, Bảo mật dữ liệu, Phân tích mã độc, Điều tra tội phạm công nghệ cao. Sau khi kiểm tra và đánh giá tình trạng hệ thống, các chuyên gia của HTI Services sẽ đưa ra các phương án giải mã phù hợp, đảm bảo an toàn tối đa cho khách hàng cũng như toàn vẹn dữ liệu.

 

Liên hệ Hotline 0928.765.688 để được tư vấn chi tiết.

Từ khóa:

mã độcmã hóa dữ liệuMakopMakop RansomwarePhần mềm tống tiềnPHOBOSRaaSransomware Makopransomware PHOBOSRansomware-as-a-Servicestấn công mã hóa dữ liệu

Chia sẻ:

Facebook LinkedIn

Bài viết liên quan

data_recovery
12Jul12/07/2025

Khôi phục dữ liệu: Những câu hỏi thường gặp

Tổng hợp những câu hỏi thường gặp nhất mà người dùng đặt ra khi gặp sự cố mất dữ... read more

huy_du_lieu_an_toan
11Jul11/07/2025

Giải pháp hủy dữ liệu an toàn cho các cơ quan chính phủ trong thời đại số

Các cơ quan, tổ chức nhà nước hiện đang quản lý một khối lượng dữ liệu khổng lồ -... read more

be_khoa_mat_khau
10Jul10/07/2025

Bẻ khóa mật khẩu từ A đến Z

Bẻ khóa mật khẩu và truy cập vào dữ liệu bị mã hóa là chủ đề nhận được rất... read more

loi_dau_tu_hdd
09Jul09/07/2025

Lỗi đầu từ trong khôi phục dữ liệu HDD

Một trong những nguyên nhân phổ biến gây ra tình trạng mất dữ liệu trên ổ cứng HDD là... read more

tao_anh_o_dia
04Jul04/07/2025

Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe

Ổ đĩa NVMe SSD hiện đại cần các cách tiếp cận chuyên biệt để phân tích pháp y. Mỗi... read more

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun30/06/2025

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Search

Search
Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt

Bài viết mới nhất

data_recovery
Khôi phục dữ liệu: Những câu hỏi thường gặp
12/07/2025
huy_du_lieu_an_toan
Giải pháp hủy dữ liệu an toàn cho các cơ quan chính phủ trong thời đại số
11/07/2025
be_khoa_mat_khau
Bẻ khóa mật khẩu từ A đến Z
10/07/2025
loi_dau_tu_hdd
Lỗi đầu từ trong khôi phục dữ liệu HDD
09/07/2025
tao_anh_o_dia
Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe
04/07/2025

Tin tuyển dụng mới nhất

Tuyển dụng kỹ sư bán hàng
Kỹ sư bán hàng
26/08/2022
Tuyển dụng chuyên viên phân tích dữ liệu (Business Analystic)
04/08/2022

HTI Services - A member of HTI Group

Trụ sở Hà Nội: Tầng 12-VP2, Tòa nhà Sun Square, số 21 Lê Đức Thọ, Phường Từ Liêm, Thành phố Hà Nội

Chi nhánh Đà Nẵng: Tầng 5, Tòa nhà Vietnam Innovation Hub, 175 Trần Hưng Đạo, Phường An Hải, Thành phố Đà Nẵng

Chi nhánh Hồ Chí Minh: 203A Võ Thị Sáu, Phường Xuân Hòa, Thành phố Hồ Chí Minh

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Giờ làm việc: 8h30 – 17h30 từ Thứ 2 – Thứ 6, Từ 8h30 – 12h Thứ 7, Chủ Nhật nghỉ

Dịch vụ của chúng tôi

Tư vấn giải mã dữ liệu bị mã hóa

Hủy dữ liệu an toàn

Tư vấn điều tra nội bộ về rò rỉ dữ liệu

Khôi phục dữ liệu

Tư vấn đánh giá mức độ an toàn dữ liệu

Rà quét thiết bị điện tử

Chính sách

Đăng ký để nhận tin

Theo dõi chúng tôi

fb
yt
lkn

HTI Services - A member of HTI Group

Hanoi Head Office: 12F-VP2, Sun Square Building, 21 Le Duc Tho street, Tu Liem ward, Hanoi, Vietnam

Da Nang Branch: 5F, Vietnam Innovation Hub Building, 175 Tran Hung Dao street, An Hai ward, Da Nang City, Vietnam

Ho Chi Minh Branch: 203A Vo Thi Sau street, Xuan Hoa ward, Ho Chi Minh City, Vietnam

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Working hour: 8h30 – 17h30 on Monday – Friday,  8h30 – 12h on Saturday

Our services

Data decryption

Data destruction

Data breaches investigation consulting

Data recovery

Network security consulting

Electronic devices scanning

Newsletter

Follow us

fb
yt
lkn
All Rights Reserved © HTI Services 2022
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en
messenger
Zalo
Phone
0928765688

APPLICATION FORM

×
Click to select & upload your CV