Ransomware FARGO tấn công máy chủ SQL Server

[HustReMw]

Chuyên gia an ninh mạng của ASEC đã phát hiện dòng mã độc mã hóa tống tiền FARGO tấn công vào các máy chủ SQL Server không an toàn.

Hình 1: Cây process​

Theo hình 1 mã độc được tải xuống thông qua cmd.exe và powershell.exe. Hình 2 mã độc tiếp tục tải và chạy payload từ C&C 49.235.255.219. Hình 3 mã độc tạo file BAT để stop một số dịch vụ trên máy trong đó có SQL Server.

Hình 2: Mã độc tải payload

Hình 3: Tạo và thực thi file BAT

Hình 4: Chi tiết về file BAT
​

Ransomware chèn code độc hại vào tiến trình AppLaunch.exe, đây là tiến trình của Windows. Mã độc sẽ cố gắng xóa một số registry trong hình 5 và kill các tiến trình trong hình 6
​

Hình 5: Registry mã độc xóa

Hình 6: Danh sách các tiến trình bị kill
​

Khi ransomware mã hóa, các file có đuôi dưới bảng 1 sẽ được bỏ qua. Chúng ta có thể thấy các đuôi file biến thể ransomware như mallox, FARGO, FARGO2, FAGO3.
​

Bảng 1: Các đuôi file được bỏ qua

Bảng 2: Các file được bỏ qua

Bảng 3: Các thư mục được bỏ qua
​

Hình 7 cho thấy 1 file đồi tiền chuộc được tạo ra có tên ‘RECOVERY FILES.txt’

Hình 7 cho thấy 1 file đồi tiền chuộc được tạo ra có tên ‘RECOVERY FILES.txt’
​

Hình 7: Thông báo đòi tiến chuộc​

Các cuộc tấn công chủ yếu sử dụng phương pháp tấn công dò mật khẩu SQL Server, sau khi tìm được mật khẩu chính xác, hacker thông qua SQL Server tải và thực thi mã độc. Quản trị viên nên rà soát lại hệ thống, đặt mật khẩu mạnh, không public dịch vụ ra internet nếu không cần thiết.
​

Theo ASEC​

 

Ban quản trị cho hỏi cách diệt và phục hồi phai khi gặp mã độc fargo này với nhé. Mình bị đổi đuôi sang định dang.fargo3. Mình cảm ơn ban quản trị rất nhiều

 

bác thử dùng tool của avast xem sao https://www.avast.com/vi-vn/ransomware-decryption-tools#pc