🚨 CẢNH BÁO KHẨN CẤP: CHI TIẾT CHIẾN DỊCH PHÁT TÁN RANSOMWARE NÚP BÓNG TOOL TELEGRAM CRACK 🚨
Gần đây, cộng đồng MMO và Marketing đang bị nhắm mục tiêu bởi một chiến dịch mã độc cực kỳ tinh vi, ẩn mình trong các bộ công cụ crack nổi tiếng như TeamPlus, Nghiaplus (Kéo mem, Spam, Buff cảm xúc, Lọc data...).
Dưới đây là toàn bộ phân tích kỹ thuật chi tiết về hành vi, cơ chế lây nhiễm và cách xử lý triệt để tận gốc mã độc này!
📌 1. BẢN CHẤT CỦA "CÚ LỪA" (CƠ CHẾ NGỤY TRANG)
Hacker sử dụng một phương pháp ngụy trang vô cùng xảo quyệt gọi là Dropper & Overwriting Trick:
Lần khởi chạy đầu tiên: File chạy chính (ví dụ
Kích hoạt ngầm: Khi bạn gõ
Che mắt nạn nhân: Ngay sau đó, mã độc tự động ghi đè/thay thế chính file
Kết quả: Ở các lần chạy tiếp theo, bạn vẫn thấy giao diện công cụ Telegram hiện lên bình thường và tin rằng "tool crack chạy rất tốt", trong khi mã độc thực sự đã chạy ẩn vĩnh viễn trong hệ thống từ trước.
⚙️ 2. CƠ CHẾ HOẠT ĐỘNG KỸ THUẬT CHI TIẾT
Sau khi lây nhiễm, mã độc đổi tên thành dịch vụ bảo mật giả mạo của Microsoft và nấp tại:
Mã độc sở hữu các mô-đun tàn phá hệ thống cực kỳ đáng sợ:
🛡 Evasion (Lẩn tránh máy ảo): Nó tự quét cấu hình phần cứng. Nếu phát hiện RAM thấp, dung lượng ổ C < 60GB, hoặc tên người dùng hệ thống là
🔑 4 Móc xích Duy trì (Persistence): Để đảm bảo luôn khởi động cùng máy tính của bạn, nó đăng ký cùng lúc 4 cơ chế:
Registry Run Key: Tạo khóa
Task Scheduler: Tạo tác vụ tự động kích hoạt mỗi khi đăng nhập với đặc quyền cao nhất (
Startup Shortcut: Tạo file
WMI Event Subscription: Cơ chế chạy ngầm siêu cấp, tự động đánh thức mã độc mỗi 60 phút ngay cả khi bạn đã xóa Scheduled Task hoặc Registry.
🌐 Kết nối C2 điều khiển (Backdoor/RCE): Kết nối liên tục qua ngrok tới địa chỉ:
📂 Silent Exfiltration (Đánh cắp dữ liệu ngầm): Lặng lẽ quét toàn bộ ổ đĩa (
💀 Ransomware Engine (Mã hóa tống tiền): Tích hợp bộ mã hóa RSA-2048 + AES-256-CBC. Khi có lệnh từ hacker, nó sẽ khóa sạch dữ liệu thành đuôi
🔍 3. CÁCH KIỂM TRA HỆ THỐNG BỊ NHIỄM
Mở PowerShell (Admin) và chạy lệnh sau để kiểm tra xem hệ thống có tệp mã độc đang ẩn nấp hay không:
(Nếu kết quả trả về
🛠 4. KHỐI LỆNH DIỆT TẬN GỐC MÃ ĐỘC (MỘT-CLICK COPY)
Mở PowerShell với quyền Administrator (Admin), chạm vào khối lệnh bên dưới để tự động sao chép, dán vào và nhấn Enter:
# 1. Tắt tiến trình chạy ẩn của mã độc
# 2. Xóa Scheduled Task khởi động cùng máy
# 3. Xóa khóa Registry tự khởi chạy ngầm cùng Windows
# 4. Xóa shortcut ẩn trong thư mục Startup của người dùng
# 5. Dọn dẹp cơ chế WMI Event Subscription ngầm
Gần đây, cộng đồng MMO và Marketing đang bị nhắm mục tiêu bởi một chiến dịch mã độc cực kỳ tinh vi, ẩn mình trong các bộ công cụ crack nổi tiếng như TeamPlus, Nghiaplus (Kéo mem, Spam, Buff cảm xúc, Lọc data...).
Dưới đây là toàn bộ phân tích kỹ thuật chi tiết về hành vi, cơ chế lây nhiễm và cách xử lý triệt để tận gốc mã độc này!
📌 1. BẢN CHẤT CỦA "CÚ LỪA" (CƠ CHẾ NGỤY TRANG)
Hacker sử dụng một phương pháp ngụy trang vô cùng xảo quyệt gọi là Dropper & Overwriting Trick:
Lần khởi chạy đầu tiên: File chạy chính (ví dụ
tuong_tac.py) thực chất là mã nguồn thuần của một tác nhân độc hại (Interactive Ransomware Agent), hoàn toàn không có giao diện PyQt5.Kích hoạt ngầm: Khi bạn gõ
python tuong_tac.py, mã độc lập tức kích hoạt, tự nhân bản vào thư mục hệ thống ẩn và đăng ký tự khởi động cùng Windows.Che mắt nạn nhân: Ngay sau đó, mã độc tự động ghi đè/thay thế chính file
tuong_tac.py ở thư mục làm việc của bạn bằng một phiên bản tool sạch (có giao diện thật).Kết quả: Ở các lần chạy tiếp theo, bạn vẫn thấy giao diện công cụ Telegram hiện lên bình thường và tin rằng "tool crack chạy rất tốt", trong khi mã độc thực sự đã chạy ẩn vĩnh viễn trong hệ thống từ trước.
⚙️ 2. CƠ CHẾ HOẠT ĐỘNG KỸ THUẬT CHI TIẾT
Sau khi lây nhiễm, mã độc đổi tên thành dịch vụ bảo mật giả mạo của Microsoft và nấp tại:
%APPDATA%\Microsoft\SecurityHealth\WindowsSecurityHealth.pywMã độc sở hữu các mô-đun tàn phá hệ thống cực kỳ đáng sợ:
🛡 Evasion (Lẩn tránh máy ảo): Nó tự quét cấu hình phần cứng. Nếu phát hiện RAM thấp, dung lượng ổ C < 60GB, hoặc tên người dùng hệ thống là
sandbox, malware, virus, vbox, vmware... nó sẽ tự động thoát lập tức để tránh bị các chuyên gia bảo mật phân tích.🔑 4 Móc xích Duy trì (Persistence): Để đảm bảo luôn khởi động cùng máy tính của bạn, nó đăng ký cùng lúc 4 cơ chế:
Registry Run Key: Tạo khóa
SecurityHealthService tại đường dẫn khởi động của người dùng.Task Scheduler: Tạo tác vụ tự động kích hoạt mỗi khi đăng nhập với đặc quyền cao nhất (
highest privilege).Startup Shortcut: Tạo file
.lnk ẩn trỏ vào pythonw.exe trong thư mục Startup.WMI Event Subscription: Cơ chế chạy ngầm siêu cấp, tự động đánh thức mã độc mỗi 60 phút ngay cả khi bạn đã xóa Scheduled Task hoặc Registry.
🌐 Kết nối C2 điều khiển (Backdoor/RCE): Kết nối liên tục qua ngrok tới địa chỉ:
https://pointy-friend-deacon.ngrok-free.dev Cho phép hacker mở dòng lệnh (CMD/PowerShell) của máy bạn từ xa, cài cắm thêm trojan ngân hàng hoặc đánh cắp token.📂 Silent Exfiltration (Đánh cắp dữ liệu ngầm): Lặng lẽ quét toàn bộ ổ đĩa (
C:\, D:\, E:\...) để nén và tải lên máy chủ của hacker tất cả các file tài liệu cá nhân ở Desktop, Documents, Downloads và các file chứa SSH Key (.ssh).💀 Ransomware Engine (Mã hóa tống tiền): Tích hợp bộ mã hóa RSA-2048 + AES-256-CBC. Khi có lệnh từ hacker, nó sẽ khóa sạch dữ liệu thành đuôi
.locked, xóa sạch bản sao lưu hệ thống và hiển thị thông điệp đòi tiền chuộc READ_ME_NOW.txt.🔍 3. CÁCH KIỂM TRA HỆ THỐNG BỊ NHIỄM
Mở PowerShell (Admin) và chạy lệnh sau để kiểm tra xem hệ thống có tệp mã độc đang ẩn nấp hay không:
powershell
Test-Path "$env:APPDATA\Microsoft\SecurityHealth\WindowsSecurityHealth.pyw"
(Nếu kết quả trả về
True -> Máy tính của bạn chắc chắn đã bị nhiễm).🛠 4. KHỐI LỆNH DIỆT TẬN GỐC MÃ ĐỘC (MỘT-CLICK COPY)
Mở PowerShell với quyền Administrator (Admin), chạm vào khối lệnh bên dưới để tự động sao chép, dán vào và nhấn Enter:
powershell
# 1. Tắt tiến trình chạy ẩn của mã độc
taskkill /F /IM pythonw.exe
# 2. Xóa Scheduled Task khởi động cùng máy
schtasks /delete /tn "WindowsSecurityHealthService" /f
# 3. Xóa khóa Registry tự khởi chạy ngầm cùng Windows
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealthService" /f
# 4. Xóa shortcut ẩn trong thư mục Startup của người dùng
Remove-Item "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\SecurityHealth.lnk" -Force -ErrorAction SilentlyContinue
# 5. Dọn dẹp cơ chế WMI Event Subscription ngầm
Get-WmiObject -Namespace root/subscription -Class __Eve
❤2