Cách Xóa Mã Độc Double Pulsar Trên Máy Tính

Công cụ kiểm tra và loại bỏ mã độc DoublePulsar

Đánh giá mức độ nhiễm và ước tính thời gian xử lý trên hệ thống của bạn

Kết quả đánh giá

Mức độ rủi ro:
Thời gian xử lý ước tính:
Tỷ lệ thành công ước tính:

Hướng dẫn toàn diện cách xóa mã độc DoublePulsar trên máy tính

⚠️ Cảnh báo quan trọng

DoublePulsar là một công cụ khai thác nguy hiểm được sử dụng bởi mã độc WannaCry và NotPetya. Việc xử lý không đúng cách có thể dẫn đến mất dữ liệu vĩnh viễn hoặc làm trầm trọng thêm tình trạng nhiễm độc. Luôn sao lưu dữ liệu quan trọng trước khi thực hiện bất kỳ thao tác nào.

DoublePulsar là gì?

DoublePulsar là một backdoor (cửa hậu) được phát triển bởi NSA và sau đó bị rò rỉ bởi nhóm hacker Shadow Brokers vào tháng 4 năm 2017. Đây là một công cụ khai thác mức kernel cho phép kẻ tấn công thực thi mã từ xa trên các hệ thống Windows chưa được vá lỗi.

Cơ chế hoạt động của DoublePulsar

  • Khai thác lỗ hổng SMB: Sử dụng lỗ hổng trong giao thức SMB (EternalBlue) để xâm nhập hệ thống
  • Cài đặt backdoor: Tạo một dịch vụ ẩn trong kernel cho phép thực thi mã từ xa
  • Tồn tại dai dẳng: Có khả năng tồn tại ngay cả khi hệ thống được khởi động lại
  • Tàng hình: Không xuất hiện trong danh sách tiến trình hoặc dịch vụ thông thường

Dấu hiệu máy tính bị nhiễm DoublePulsar

  1. Hệ thống hoạt động chậm bất thường, đặc biệt khi truy cập mạng
  2. Xuất hiện các kết nối mạng bất thường đến cổng 445 (SMB)
  3. Các dịch vụ hệ thống bị sửa đổi hoặc tạo mới mà không có lý do rõ ràng
  4. Xuất hiện các file lạ trong thư mục hệ thống (ví dụ: %SystemRoot%\system32\drivers\)
  5. Phát hiện các tiến trình ẩn sử dụng CPU cao mà không có ứng dụng tương ứng
  6. Hệ thống thường xuyên crash với lỗi “Blue Screen of Death” (BSOD)

Hướng dẫn chi tiết xóa mã độc DoublePulsar

Bước 1: Ngắt kết nối mạng

Trước khi thực hiện bất kỳ thao tác nào, hãy ngắt kết nối máy tính khỏi mạng (cả có dây và không dây) để ngăn chặn sự lây lan hoặc điều khiển từ xa:

  1. Rút cáp mạng (nếu có)
  2. Tắt Wi-Fi
  3. Vô hiệu hóa tất cả kết nối mạng trong Network Settings

Bước 2: Chế độ an toàn (Safe Mode)

Khởi động hệ thống ở chế độ Safe Mode với Networking để giới hạn hoạt động của mã độc:

  1. Khởi động lại máy tính
  2. Nhấn giữ phím F8 (hoặc Shift + F8 cho Windows 8/10/11) khi hệ thống đang khởi động
  3. Chọn Safe Mode with Networking
  4. Đăng nhập với tài khoản quản trị viên

Bước 3: Kiểm tra và xác minh nhiễm DoublePulsar

Sử dụng các công cụ chuyên dụng để xác minh sự hiện diện của DoublePulsar:

Công cụ Mô tả Cách sử dụng
DoublePulsar Detection Script (PowerShell) Script chính thức từ Microsoft để phát hiện DoublePulsar Chạy trong PowerShell với quyền admin: IEX (New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/countercept/doublepulsar-detection-script/master/invoke-doublepulsar-detection.ps1")
Nmap Công cụ quét mạng để phát hiện cổng 445 bất thường nmap -sV -p 445 --script smb-vuln-ms17-010 <địa_chỉ_IP>
Wireshark Phân tích lưu lượng mạng để phát hiện hoạt động đáng ngờ Lọc lưu lượng với tcp.port == 445 và tìm kiếm các gói tin bất thường
Process Hacker Công cụ quản lý tiến trình nâng cao Kiểm tra các tiến trình ẩn và kết nối mạng bất thường

Bước 4: Loại bỏ DoublePulsar

Sau khi xác nhận nhiễm, thực hiện các bước loại bỏ sau:

Phương pháp 1: Sử dụng công cụ chuyên dụng

  1. Tải xuống công cụ EternalBlue-DoublePulsar-Mitigation từ GitHub
  2. Giải nén và chạy file mitigate.bat với quyền admin
  3. Làm theo hướng dẫn trên màn hình
  4. Khởi động lại hệ thống sau khi hoàn thành

Phương pháp 2: Thủ công (cho chuyên gia)

⚠️ Cảnh báo

Phương pháp thủ công chỉ nên được thực hiện bởi những người có kinh nghiệm cao. Sai sót có thể gây hỏng hệ thống.

  1. Mở Registry Editor (regedit) và điều hướng đến: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  2. Tìm kiếm các khóa đăng ký đáng ngờ (thường có tên ngẫu nhiên như “aswSP” hoặc “WdNisSvc” giả mạo)
  3. Kiểm tra giá trị ImagePath của các dịch vụ – DoublePulsar thường trỏ đến file trong %SystemRoot%\system32\drivers\
  4. Xuất bản sao lưu registry trước khi xóa bất kỳ khóa nào
  5. Xóa các khóa đăng ký đáng ngờ và file driver tương ứng
  6. Sử dụng sc delete [tên_dịch_vụ] để xóa dịch vụ

Phương pháp 3: Cài đặt bản vá bảo mật

Microsoft đã phát hành bản vá cho lỗ hổng EternalBlue (MS17-010). Hãy đảm bảo hệ thống của bạn được cập nhật:

  1. Mở Windows Update (wuauclt trong CMD)
  2. Kiểm tra và cài đặt tất cả các bản cập nhật quan trọng
  3. Đối với Windows 7/Server 2008, tải bản vá thủ công từ Microsoft Update Catalog
  4. Khởi động lại hệ thống sau khi cài đặt

Bước 5: Làm sạch hệ thống

  1. Sử dụng Malwarebytes hoặc HitmanPro để quét toàn bộ hệ thống
  2. Chạy TDSSKiller từ Kaspersky để phát hiện rootkit
  3. Sử dụng AdwCleaner để loại bỏ phần mềm quảng cáo và PUPs
  4. Xóa tất cả file tạm thời bằng %temp%temp trong CMD

Bước 6: Khôi phục và phòng ngừa

  1. Khôi phục hệ thống từ bản sao lưu sạch (nếu có)
  2. Thay đổi tất cả mật khẩu quan trọng
  3. Cài đặt và cấu hình tường lửa phần cứng/mềm
  4. Triển khai giải pháp endpoint protection như CrowdStrike hoặc SentinelOne
  5. Thực hiện kiểm tra thâm nhập định kỳ

So sánh các phương pháp loại bỏ DoublePulsar

Phương pháp Hiệu quả (%) Độ khó Thời gian (trung bình) Rủi ro Chi phí
Công cụ tự động 85-95% Thấp 15-30 phút Thấp Miễn phí
Thủ công (chuyên gia) 90-99% Cao 1-3 giờ Cao Miễn phí
Cài đặt lại hệ thống 100% Trung bình 2-4 giờ Trung bình Miễn phí (có thể mất dữ liệu)
Dịch vụ chuyên nghiệp 95-100% Thấp 24-48 giờ Thấp $200-$1000

Câu hỏi thường gặp về DoublePulsar

1. DoublePulsar có thể lây lan qua mạng nội bộ không?

Có. DoublePulsar khai thác lỗ hổng SMB, có thể lây lan nhanh chóng trong mạng nội bộ nếu không được bảo vệ đúng cách. Đây là lý do vì sao WannaCry có thể lây nhiễm hàng trăm nghìn máy tính chỉ trong vài giờ.

2. Làm sao để biết máy tính của tôi có bị nhiễm không nếu không có triệu chứng?

Bạn nên sử dụng các công cụ phát hiện chuyên dụng như:

3. Tôi có thể tự loại bỏ DoublePulsar mà không cần chuyên gia không?

Đối với người dùng có kiến thức kỹ thuật trung cấp trở lên, hoàn toàn có thể tự loại bỏ bằng cách sử dụng các công cụ tự động và làm theo hướng dẫn chi tiết. Tuy nhiên, nếu:

  • Hệ thống của bạn thuộc mạng doanh nghiệp
  • Bạn không tự tin với các thao tác kỹ thuật
  • Dữ liệu trên hệ thống cực kỳ nhạy cảm

Thì nên cân nhắc sử dụng dịch vụ chuyên nghiệp.

4. Sau khi loại bỏ DoublePulsar, tôi có cần làm gì thêm không?

Có. Sau khi loại bỏ thành công, bạn nên:

  1. Cập nhật tất cả phần mềm và hệ điều hành
  2. Thay đổi tất cả mật khẩu quan trọng
  3. Cài đặt giải pháp bảo mật endpoint hiện đại
  4. Thực hiện kiểm tra thâm nhập để đảm bảo không còn lỗ hổng
  5. Xây dựng kế hoạch ứng phó sự cố (IRP)
  6. Đào tạo nhân viên về nhận thức bảo mật

Nguồn thông tin uy tín về DoublePulsar

Để tìm hiểu thêm về DoublePulsar và các biện pháp phòng ngừa, bạn có thể tham khảo các nguồn thông tin uy tín sau:

✅ Lời khuyên cuối cùng

Phòng ngừa luôn tốt hơn chữa trị. Để bảo vệ hệ thống của bạn khỏi DoublePulsar và các mối đe dọa tương tự:

  1. Luôn cập nhật hệ điều hành và phần mềm
  2. Vô hiệu hóa SMBv1 nếu không cần thiết
  3. Triển khai giải pháp phát hiện và ứng phó điểm cuối (EDR)
  4. Thực hiện sao lưu dữ liệu định kỳ và kiểm tra khả năng phục hồi
  5. Đào tạo nhân viên về nhận thức bảo mật
  6. Thực hiện kiểm tra thâm nhập định kỳ

Leave a Reply

Your email address will not be published. Required fields are marked *