Diễn Đàn SEO - vnseo.edu.vn - StalinLocker, hay còn được gọi với cái tên khác là StalinScreamer, là một mã độc dạng screenlocker/wiper. Khi thực thi, nếu sau 10 phút mà nạn nhân không nhập đúng mã yêu cầu, nó sẽ xóa sạch toàn bộ ổ nhớ trên máy tính nạn nhân. Với thời gian chờ, StalinLocker hiển thị hình ảnh cựu lãnh đạo liên bang Xô Viết Stalin cùng một đồng hồ đếm ngược và chạy bản nhạc Quốc ca Liên bang Xô Viết. Các hành vi của StalinLocker khi thực thi: Giải nén file “USSR_Anthem.mp3” vào thư mục %UserProfile%\AppData\Local sau đó chạy trình phát file mp3 này. Tự copy file thực thi của chính nó với đường dẫn %UserProfile%\AppData\Local\stalin.exe và tạo một autorun với tên là Stalin bằng cách ghi mới một registry key tại HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN với key name là Stalin và giá trị key là “%LOCALAPPDATA%\stalin.exe”. Autorun này giúp mã độc tự thực thi mỗi khi người dùng log on máy tính của họ. Ghi giá trị số giây đếm ngược còn lại chia cho 3 (ví dụ đồng hồ đếm ngược còn 180s thì giá trị được ghi là 60) vào file %UserProfile%\AppData\Local\fl.dat. Như vậy, nếu nạn nhận khởi động lại máy tính trong khoảng thời gian 10p đếm ngược thì sau khi nạn nhân log on, StalinLocker tiếp tục đếm ngược từ thời điểm gián đoạn thực thi. Cố gắng kết thúc mọi tiến trình ngoại trừ Skype và Discord nếu hai tiến trình này đang chạy trên hệ thống. StalinLocker kết thúc cả các tiến trình explorer.exe và taskmgr.exe Cố gắng tạo một tiến trình được lập lịch (Scheduled Task) với tên “Driver Update” để thực thi file stalin.exe Sau khi lần lượt thực hiện các thao tác trên, StalinLocker hiển thị màn hình khóa kèm đồng hồ đếm ngược 10p. Trong khoảng thời gian đếm ngược, StalinLocker yêu cầu nạn nhân nhập vào một đoạn mã. Theo các chuyên gia nghiên cứu tại MalwareHunterTeam, giá trị đoạn mã này được tính bằng cách trừ giá trị ngày tại thời điểm mã độc khởi chạy với giá trị ngày 30/12/1922 (là ngày thành lập Liên bang Xô Viết). Nếu nạn nhân nhập đoạn mã với giá trị được tính đúng, mã độc sẽ xóa autorun và kết thúc thực thi. Trong trường hợp nạn nhân không nhập được giá trị mã đúng, StalinLocker sẽ xóa tất cả các file trong từng ổ nhớ của máy tính. Mã độc thực hiện duyệt tên đại diện ổ nhớ (drive letter) từ ổ A đến ổ Z và xóa bất kỳ file nào mà nó truy cập được. Phòng chống mã độc Với các đặc tính của mã độc như đã giới thiệu ở phần trên, chúng ta có thể thấy mã độc thật sự rất nguy hiểm với người sử dụng thông thường. Như vậy, cần có một phương pháp phòng chống mã độc và ngăn chặn một cách tổng quan và đơn giản nhất cho tất cả người dùng mà họ không cần quá quan tâm tới các vấn đề kỹ thuật liên quan tới việc phát hiện, phân tích hay diệt mã độc. Luôn luôn cài đặt và sử dụng một phần mềm diệt virus chính hãng. Ví dụ: Kaspersky, Bitdifender, Avast, Norton, Bkav, … Việc xuất hiện một phần mềm diệt virus có thể chúng ta rất ít khi thấy mã độc nào được phát hiện hay diệt, tuy nhiên nó giúp chúng ta phòng tránh mã độc được các hiểm họa xâu xa và giúp chúng ta yên tâm hơn khi duyệt web hoặc download các phần mềm. Trước hết cần nhận thức một cách rõ ràng rằng phòng tránh mã độc và ngăn chặn mã độc không chỉ dựa vào các phần mềm diệt virus mà còn liên quan tới cả nhận thức của người dùng. Một cách tổng quan nhất, việc phòng tránh mã độc và ngăn chặn mã độc là tổng hòa của nhiều yếu tố khác nhau. Dưới đây tôi xin tóm tắt một số biện pháp như sau: Xây dựng chính sách với các thiết bị PnP: Với các thiết bị loại này: USB, CD/DVD, … virus có thể lợi dụng để thực thi mà không cần sự cho phép của người dùng. Do đó, cần thiết lập lại chế độ cho các thiết bị và chương trình này để hạn chế sự thực thi không kiểm soát của mã độc. Ngoài ra, trong quá trình sử dụng các thiết bị như USB, chúng ta không nên mở trực tiếp bằng cách chọn ổ đĩa rồi nhấn phím Enter, hoặc nhấp đôi chuột vào biểu tượng mà nên bấm chuột phải rồi click vào explore. Nguồn: SecurityBox
