# Mallox: Phân Tích Kỹ Thuật Và Biện Pháp Giảm Thiểu Tấn Công Ransomware Mallox Mallox: Phân Tích Kỹ Thuật Và Biện Pháp Giảm Thiểu Tấn Công Ransomware Mallox Mallox ransomware là một mối đe dọa nghiêm trọng với các tổ chức có hệ thống hạ tầng bảo mật yếu kém. Tấn công qua lỗ hổng Microsoft SQL Server cho thấy sự quan trọng của việc cập nhật và vá lỗi thường xuyên. Ngoài ra, phòng ngừa bằng cách tăng cường sao lưu dữ liệu và triển khai các biện pháp an ninh mạnh mẽ là rất cần thiết. Mallox ransomware cũng như các biến thể ransomware khác đòi hỏi các tổ chức phải có kế hoạch ứng phó rõ ràng và chuẩn bị kỹ lưỡng. **1. Giới thiệu về Mallox Ransomware** Mallox là một biến thể của phần mềm độc hại thuộc nhóm ransomware, xuất hiện vào cuối năm 2021 và tiếp tục hoạt động tích cực trong năm 2022 và 2023. Cũng như các ransomware khác, mục tiêu chính của Mallox là mã hóa dữ liệu của nạn nhân, sau đó yêu cầu một khoản tiền chuộc để cung cấp khóa giải mã. Điểm đặc biệt của Mallox là nó tận dụng các lỗ hổng trong Microsoft SQL Server để xâm nhập hệ thống, tấn công các tổ chức có hạ tầng máy chủ không được vá lỗi hoặc bảo mật kém. **2. Phương thức tấn công** Mallox ransomware thường nhắm vào các máy chủ và hệ thống dễ bị tổn thương, đặc biệt là các hệ thống sử dụng Microsoft SQL Server. Quá trình tấn công thường diễn ra như sau: Xâm nhập qua Remote Desktop Protocol (RDP): Nhiều phiên bản của Mallox được phát hiện lợi dụng các dịch vụ RDP không bảo mật, sử dụng các tấn công brute force để đánh cắp thông tin xác thực từ các quản trị viên hệ thống hoặc truy cập trái phép vào các máy chủ. Tấn công thông qua các lỗ hổng của Microsoft SQL Server: Mallox khai thác các lỗ hổng chưa được vá trong Microsoft SQL Server, từ đó có quyền truy cập vào hệ thống. Các tổ chức có cấu hình yếu hoặc không cập nhật thường xuyên rất dễ bị tấn công. Sử dụng các phần mềm và công cụ mã hóa mạnh: Sau khi xâm nhập, Mallox sẽ mã hóa tất cả các tệp dữ liệu quan trọng trên máy chủ, bao gồm tài liệu, cơ sở dữ liệu, và tập tin nhạy cảm khác. Tên tệp thường sẽ được đổi thành các định dạng đuôi độc đáo như ".mallox" hoặc các định dạng khác theo biến thể. **3. Hành vi và đặc điểm kỹ thuật** **Mallox thường sử dụng các kỹ thuật như sau** để tối đa hóa hiệu quả của cuộc tấn công: **Mã hóa mạnh mẽ:** Các biến thể của Mallox ransomware thường sử dụng thuật toán mã hóa AES-256 để mã hóa các tệp trên máy của nạn nhân. Điều này làm cho việc khôi phục dữ liệu trở nên cực kỳ khó khăn nếu không có khóa giải mã. **Thông điệp đòi tiền chuộc:** Sau khi mã hóa dữ liệu, Mallox sẽ tạo một tệp văn bản trong đó có thông điệp yêu cầu tiền chuộc. Nạn nhân thường được yêu cầu liên hệ qua email hoặc truy cập một trang web trên dark web để nhận được hướng dẫn thanh toán bằng tiền mã hóa như Bitcoin. Thông điệp này thường khuyến cáo nạn nhân không sử dụng các công cụ giải mã từ bên thứ ba để tránh mất dữ liệu hoàn toàn. **Tính đa dạng của Mallox:** Mallox không có một mẫu duy nhất mà thường thay đổi cách thức hoạt động để tránh bị phát hiện bởi các công cụ bảo mật. Các phiên bản mới của Mallox liên tục được phát hiện với những thay đổi về hành vi mã hóa, phương thức xâm nhập và kênh truyền thông tin. **4. Kỹ thuật MITRE ACC\&CK** **4.1. Initial Access (T1190 - Exploit Public-Facing Application)** **Tấn công ứng dụng có lỗ hổng:** Mallox khai thác các máy chủ cơ sở dữ liệu không được bảo mật tốt hoặc cấu hình sai, **đặc biệt là Microsoft SQL Server.** Việc này cho phép tội phạm mạng chiếm quyền kiểm soát máy chủ, từ đó xâm nhập hệ thống mạng của nạn nhân. **4.2. Execution** **T1059.001 - Command and Scripting Interpreter:** PowerShell: Mallox sử dụng các lệnh PowerShell để thực thi mã độc. Nó thực thi một tệp batch (kill$.bat) để kết thúc các dịch vụ và quá trình trên hệ thống. **T1047 - Windows Management Instrumentation**: Ransomware thực hiện các quá trình liên quan đến WMI để chạy mã độc. Wmic.exe được sử dụng để tạo và chạy các tiến trình độc hại. **T1059.003 - Command and Scripting Interpreter**: Windows Command Shell: Mallox sử dụng dòng lệnh để thay đổi dữ liệu hệ thống, bao gồm việc xóa các dịch vụ và tệp. **4.3. Persistence** **T1547.001 - Boot or Logon Autostart Execution**: Registry Run Keys / Startup Folder: Mallox tạo các khóa registry để đảm bảo nó tự động khởi động lại sau khi hệ thống được reboot. Điều này giúp ransomware duy trì sự tồn tại trên hệ thống. **T1574.010 - Hijack Execution Flow**: Services File Permissions Weakness: Mallox khai thác các lỗ hổng trong quyền truy cập của tệp tin hệ thống để thay đổi quyền điều khiển các tiến trình và dịch vụ của hệ thống. **4.4. Defense Evasion** **T1036.005 - Masquerading**: Match Legitimate Name or Location: Mallox giả dạng thành các tệp tin hợp pháp như avast.exe, đặt trong các thư mục hợp lệ của hệ thống để tránh bị phát hiện. **T1218 - System Binary Proxy Execution**: Nó cũng sử dụng các công cụ hợp pháp của Windows như MSBuild.exe hoặc InstallUtil.exe để thực hiện mã độc mà không bị phát hiện. **T1070.004 - Indicator Removal on Host**: Sau khi thực hiện các hoạt động phá hoại, Mallox xóa các chỉ báo trên hệ thống để ngăn chặn việc phát hiện. Ví dụ: nó xóa các tệp batch sau khi thực thi chúng. **T1562.001 - Impair Defenses**: Disable or Modify Tools: Mallox tắt các công cụ bảo mật, ví dụ như GMER, nhằm giảm khả năng phát hiện mã độc. **4.5. Discovery** **T1082 - System Information Discovery**: Mallox kiểm tra ngôn ngữ của hệ thống và tránh thực hiện mã độc nếu hệ thống sử dụng các ngôn ngữ liên quan đến Nga hoặc các quốc gia trong khối Liên Xô cũ, chẳng hạn như tiếng Nga, Belarus, và Ukraine. **T1049 - System Network Connections Discovery**: Nó sử dụng các tệp như HQO.exe để quét và phát hiện các kết nối mạng trong môi trường bị nhiễm. **4.6. Credential Access** **T1003.001 - OS Credential Dumping**: LSASS Memory: Mallox sử dụng công cụ mã độc như Mimikatz để thu thập thông tin đăng nhập từ bộ nhớ LSASS, nhằm chiếm quyền điều khiển hệ thống và mạng. **4.7. Command and Control** **T1071.001 - Application Layer Protocol**: Web Protocols: Mallox kết nối với các máy chủ điều khiển từ xa qua giao thức HTTP, tải các payload độc hại và tiếp tục thực thi mã độc trên hệ thống nạn nhân. **4.8. Lateral Movement** **T1570 - Lateral Tool Transfer**: Mallox sử dụng Remote Desktop Connection để di chuyển ngang qua mạng của nạn nhân, tấn công các hệ thống khác trong cùng một môi trường mạng. **4.9. Impact** **T1489 - Service Stop**: Mallox tắt một số dịch vụ quan trọng của hệ thống, chẳng hạn như các phần mềm bảo mật và các dịch vụ cơ bản khác, nhằm ngăn chặn quá trình phát hiện mã độc và tăng cường khả năng mã hóa. **T1486 - Data Encrypted for Impact**: Mallox mã hóa dữ liệu trên hệ thống của nạn nhân và yêu cầu tiền chuộc để giải mã. Nó bỏ qua các tệp và thư mục có liên quan đến hệ điều hành và các phần mềm quan trọng của hệ thống. **T1490 - Inhibit System Recovery:** Mallox xóa các bản sao lưu volume shadow copies của hệ thống bằng cách sử dụng lệnh vssadmin, khiến việc khôi phục dữ liệu trở nên khó khăn hoặc không thể thực hiện. **5. Biện pháp giảm thiểu tấn công từ ransomware như Mallox** Để giảm thiểu nguy cơ bị tấn công bởi ransomware như Mallox, các tổ chức cần áp dụng một loạt biện pháp bảo mật chủ động và toàn diện. Dưới đây là những phương pháp tốt nhất giúp bảo vệ hệ thống: **5.1. Kiểm toán và kiểm kê (Audit and Inventory)** **Kiểm kê tài sản và dữ liệu:** Các tổ chức nên thực hiện việc kiểm kê chi tiết tất cả các tài sản, thiết bị và dữ liệu trong mạng lưới của mình. Điều này giúp xác định những điểm yếu tiềm tàng hoặc các thiết bị chưa được bảo vệ. **Xác định thiết bị và phần mềm hợp lệ và không hợp lệ:** Liệt kê rõ ràng các thiết bị và phần mềm được phép sử dụng, đồng thời kiểm tra sự hiện diện của các thiết bị hoặc phần mềm không hợp lệ. **Kiểm tra nhật ký sự kiện và sự cố**: Thường xuyên theo dõi và phân tích nhật ký hệ thống để phát hiện kịp thời các hành vi bất thường, giúp xác định và ngăn chặn các cuộc tấn công ngay từ sớm. **5.2. Cấu hình và giám sát (Configure and Monitor)** **Quản lý cấu hình phần cứng và phần mềm:** Các thiết bị và phần mềm phải được cấu hình đúng cách và cập nhật thường xuyên để tránh các lỗ hổng có thể bị khai thác. **Quyền quản trị tối thiểu:** Chỉ cấp quyền quản trị và truy cập cao cho những người thật sự cần thiết dựa trên vai trò công việc, giảm thiểu khả năng một tài khoản bị tấn công và gây ra thiệt hại. **Giám sát các cổng mạng, giao thức và dịch vụ:** Theo dõi lưu lượng mạng qua các cổng, giao thức và dịch vụ để phát hiện các hành vi đáng ngờ hoặc trái phép. **Kích hoạt cấu hình bảo mật trên thiết bị hạ tầng mạng:** Cấu hình tường lửa và router để chặn các lưu lượng không hợp lệ và bảo vệ mạng khỏi các cuộc tấn công. **Thiết lập danh sách phần mềm được phép:** Chỉ cho phép các ứng dụng hợp lệ và đã được xác nhận chạy trên hệ thống, giúp ngăn chặn mã độc và phần mềm không rõ nguồn gốc. **5.3. Cập nhật và vá lỗi (Patch and Update)** **Thực hiện đánh giá lỗ hổng định kỳ:** Đánh giá lỗ hổng thường xuyên trên hệ thống và ứng dụng để phát hiện các điểm yếu và kịp thời sửa chữa. **Vá lỗi và cập nhật hệ thống:** Thực hiện vá lỗi hoặc vá lỗi ảo đối với hệ điều hành và ứng dụng ngay khi có các bản cập nhật từ nhà cung cấp. Điều này giúp giảm thiểu nguy cơ tấn công từ các lỗ hổng đã biết. **Cập nhật phần mềm và ứng dụng**: Luôn giữ phần mềm ở phiên bản mới nhất để đảm bảo rằng các bản vá bảo mật quan trọng được áp dụng. **5.4. Bảo vệ và khôi phục (Protect and Recover)** Bảo vệ dữ liệu và các biện pháp khôi phục: Đảm bảo rằng các dữ liệu quan trọng được sao lưu định kỳ và có các kế hoạch khôi phục dữ liệu trong trường hợp bị mã hóa bởi ransomware. Kích hoạt xác thực đa yếu tố (MFA): Sử dụng MFA để thêm một lớp bảo mật bổ sung, giảm nguy cơ tài khoản bị tấn công và sử dụng trong các cuộc tấn công lateral movement. **5.5. Bảo mật và phòng thủ (Secure and Defend)** Phân tích sandbox để chặn email độc hại: Sử dụng môi trường sandbox để kiểm tra và ngăn chặn các email có chứa mã độc hoặc ransomware trước khi chúng được gửi đến người dùng cuối. Triển khai các giải pháp bảo mật mới nhất: Các lớp bảo vệ bao gồm bảo mật email, endpoint, web và mạng phải được cập nhật thường xuyên để đối phó với các mối đe dọa mới nhất. Phát hiện sớm các dấu hiệu tấn công: Theo dõi hệ thống để phát hiện các dấu hiệu bất thường như sự hiện diện của các công cụ khả nghi (ví dụ: Mimikatz). Sử dụng công nghệ phát hiện tiên tiến: Các giải pháp dựa trên AI và machine learning có khả năng phân tích hành vi bất thường, từ đó phát hiện và ngăn chặn các cuộc tấn công tiềm tàng ngay từ giai đoạn đầu. **5.6. Đào tạo và kiểm tra (Train and Test)** Đào tạo và đánh giá kỹ năng bảo mật cho nhân viên: Thường xuyên đào tạo nhân viên về các biện pháp bảo mật, nhận biết các email lừa đảo và các hành vi đáng ngờ. Tổ chức các bài kiểm tra thực chiến (red-team) và kiểm tra xâm nhập (penetration test): Các bài kiểm tra này giúp xác định các lỗ hổng trong hệ thống bảo mật của tổ chức, từ đó nâng cao khả năng phòng thủ trước các cuộc tấn công thực tế. **6. Lệnh Mallox sử dụng để dừng và xóa các dịch vụ liên quan đến SQL** > "C:\Windows\System32\cmd.exe" / C sc delete "MSSQLFDLauncher" && sc delete "MSSQLSERVER" && sc delete "SQLSERVERAGENT" && sc delete "SQLBrowser" && sc delete "SQLTELEMETRY" && sc delete "MsDtsServer130" && sc delete "SSISTELEMETRY130" && sc delete "SQLWriter" && sc delete "MSSQL$VEEAMSQL2012" && sc delete "SQLAgent$VEEAMSQL2012" && sc delete "MSSQL" && sc delete "SQLAgent" && sc delete "MSSQLServerADHelper100" && sc delete "MSSQLServerOLAPService" && sc delete "MsDtsServer100" && sc delete "ReportServer" && sc delete "SQLTELEMETRY$HL" && sc delete "TMBMServer" && sc delete "MSSQL$PROGID" && sc delete "MSSQL$WOLTERSKLUWER" && sc delete "SQLAgent$PROGID" && sc delete "SQLAgent$WOLTERSKLUWER" && sc delete "MSSQLFDLauncher$OPTIMA" && sc delete "MSSQL$OPTIMA" && sc delete "SQLAgent$OPTIMA" && sc delete "ReportServer$OPTIMA" && sc delete "msftesql$SQLEXPRESS" && sc delete "postgresql-x64-9.4" && rem Kill "SQL" && taskkill - f - im sqlbrowser.exe && taskkill - f - im sqlwriter.exe && taskkill - f - im sqlservr.exe && taskkill - f - im msmdsrv.exe && taskkill - f - im MsDtsSrvr.exe && taskkill - f - im sqlceip.exe && taskkill - f - im fdlauncher.exe && taskkill - f - im Ssms.exe && taskkill - f - im SQLAGENT.EXE && taskkill - f - im fdhost.exe && taskkill - f - im fdlauncher.exe && taskkill - f - im sqlservr.exe && taskkill - f - im ReportingServicesService.exe && taskkill - f - im msftesql.exe && taskkill - f - im pg\_ctl.exe && taskkill - f - im postgres.exe **7. IOC - Indicators of Compromise** **SHA256 hashes for Mallox ransomware samples:** > 6c743c890151d0719150246382b5e0158e8abc4a29dd4b2f049ce7d313b1a330 > > b03f94c61528c9f3731a2e8da4975c072c9ed4e5372d3ec6b0939eebe01e54a4 > > de9d3e17555e91072919dc700dc7e588cd52617debcad2f764ef9c7fbf6c9f7b > > 2a549489e2455a2d84295604e29c727dd20d65f5a874209840ce187c35d9a439 > > 1c8b6d5b79d7d909b7ee22cccf8f71c1bd8182eedfb9960c94776620e4543d13 > > 36269d1892283991a9db23492cd8efcd68af74060384b9686219a97f76a9989e > > 10eea0c13fd1a782c065627e23e7051edc1622f2eae5fbe138725369c12f4b6d > > Df30d74ab6600c1532a14c53a7f08f1afd41ec63cf427a4b91b99c3c2524caba > > 0463277782f9e98b0e7a028cea0f689a81cf080fa0d64d4de8ef4803bb1bf03a > > 1f793f973fd906f9736aa483c613b82d5d2d7b0e270c5c903704f9665d9e1185 > > e284ad63a832123240bd40b6c09565fae8525c00ddf308d5b8f5c8ce69ed6b09 > > e3a0bbd623db2b865fc3520c8d05e8b92016af2e535f0808460295cb8435836a > > 7c84eafb3b05f0d5316fae610d9404c54ef39383d0fe0e3c07407a26bb9f6750 > > 1276786fc51f3b7e987aa95ebff0a3e1e358ee4e86e2302e472f84710271af7b > > f730e83049c7fe81f6e4765ab91efbb7a373751d51fdafe697a4977dc7c1ea11 > > 05194b34f8ff89facdd7b56d05826b08edaec9c6e444bdc32913e02cab01afd4 > > c599bebc9ae54a54710008042361293d71475e5fbe8f0cbaceb6ee4565a72015 > > 060ed94db064924a90065a5f4efb50f938c52619ca003f096482353e444bd096 > > 90be90ad4fb906574f9e7afe587f0826a71152bfc32cfc665a58877562f2edd4 > > 1b2727af9fc187cd5c932c6defe50b983ad7508b4196ad6c5ff5e96686277c56 > > a9543bc9612276863fc77b663fa3ff6efb85db69a01baa86c6dfabf73684b5c1 > > 4e00f3e0e09d13e76da56009173098eefafc4ad50806583d5333990fa44e6420 > > 6c109d098a1f44017f3937a71628d9dbd4d2ca8aa266656ee4720c37cc31558e > > 7f8f1afa1390246409263e606aa05e2896b8d1da7018c534e67ca530a59ebda1 > > 8e54c38bc3585c3163c3e25d037bcf55695c274aaea770f2f59f0a0910a4b572 > > 724aa6dae72829e9812b753d188190e16fb64ac6cd39520897d917cfdccc5122 > > 7164ba41639c8edcd9ff1cf41a806c9a23de566b56a7f34a0205ba1f84575a48 > > 0e1c7ea4148e7473e15a8e55413d6972eec6e24ef365e9f629884f89645de71a > > 4ed74a205fad15c843174d7d8b30ae60a181e79f31cc30ebc683072f187e4cdd > > ee6fd436bf5aff181e3d4b9a944bf644076e902a1bbf622978b5e005522c1f77 > > ebdcf54719cceddffc3c254b0bfb1a2b2c8a136fa207293dbba8110f066d9c51 > > 9a3050007e1c46e226e7c2c27d4703f63962803863290449193a0d0ca9661b3b > > d6c51935d0597b44f45f1b36d65d3b01b6401593f95cb4c2786034072ad89b63 > > 586d4f86615cb3a8709ae1c08dde35087580814c1d1315af3d7b932639ff48e0 > > 8e974a3be94b7748f7971f278160a74d738d5cab2c3088b1492cfbbd05e83e22 > > 3fa36079fdc548db1b5122450c2e4c9e40c37059de116d1c03f6459b13fc2dc4 > > D15f12a7cf2e8ec3d6fceabfab64956c7e727caab91cff9c664f92b5c8552570 > > 0427a9f68d2385f7d5ba9e9c8e5c7f1b6e829868ef0a8bc89b2f6dae2f2020c4 > > 4cbac922af3cfaba5fa7a3251bd05337bffd9ed0ada77c55bb4f78a041f4ebf2 > > 10f96f64659415e46c3f2f823bdb855aab42d0bfced811c9a3b72aea5f22d880 > > 5ccff9af23c18998221f45396732539d18e330454327d1e7450095c682d8c552 > > 77fdce66e7f909300e4493cbe7055254f7992ba65f9b7445a6755d0dbd9f80a5 > > ee08e3366c04574f25909494ef276e65e98d54f226c0f8e51922247ca3cfade9 > > 2fd3c8fab2cfaaabf53d6c50e515dd5d1ef6eceeebdd5509c23030c4d54cb014 > > 603846d113ef1f588d9a3a695917191791fbad441f742bcfe797813f9fc5291e > > a5085e571857ec54cf9625050dfc29a195dad4d52bea9b69d3f22e33ed636525 > > 9b833d5b4bdbc516e4773c489ced531b13028094ce610e96ebc30d3335458a97 > > b9e895830878124e20293f477549329d4d8752ff118f4fe893d81b3a30852c0b > > cd80506f971b95b3b831cef91bb2ec422b1a27301f26d5deac8e19f163f0839a > > c0e35b19f97021416e3724006511afc95d6aa409404e812d8c62b955bc917d3c > > 342930d44aed72f826a3f0f4a3964158f2bd86fb53703fb3daa6c937b28a53e4 > > 9ee35c6eb97230cd9b61ba32dba7befea4122f89b3747d2389970050a1d019f9 > > e7e00e0f817fcb305f82aec2e60045fcdb1b334b2621c09133b6b81284002009 > > e3f63ab8ef91e0c52384c0e3e350db2427c8cb9237355800a3443b341cf8cf4f > > f7e8a0eac54dd040e2609546fca263f2c2753802ff57e7c62d5e9ccfa04bdb1a > > e7178a4bad4407316b85894307df32fdf85b597455364eb8ec4d407749e852ce > > SHA256 hashes for PowerShell scripts Updt.ps1 and Upddt.ps1 > > dcc9e23fd6ac926eb9ee7e0ee422dacd2059b4a42c8642d32bdf4f5c8eb33f6a > > fead3d518752ddb4d2407f16ca5f3c9b3c0bf01972a2618369d02913f7c6af1a > > 0901a9920c9f0c74fb2170524477693d62c8493715520ae95143abd8055e7a39 > > ba97fd533e8a552664695434227b24ca1e2e661c360a7a0a40ff59ba6b8fe949 > > 53da732df7599f5ad21a26b669500788a827f3a8358dcdca10997d2b8187c95c > > 189c9c4603defb14fa8c942f5ff7814804654269917640478686530f91c4b66c > > fd0030883b9e74b383ee6381a2aaa7e2e5b93a00003b555e2f7c8b7be65ab176 > > d22b3218c4b7f13fe114854d1dbda02c3ad94a1b6c69daa1cf6a504ada8b8bca > > b6447b0636085fcb41fd574e84500958f21dfe87fe06b0813fb9399d63f28851 > > 5c34f6fa6eada3197404bf95eced9d288688537598629158a4f4e18d6882cb9b > > d81b0425d4ec49bad194b8dc750524c2a29994fe972e733376349f47961cfa62 **System.bat** > 1e2515efb64200258752d785863fd35df6039441a80cb615dfff4fbdffb484ec > > 777a5782426e5b42e0e5e8445dd9602d123e8acc27aca4daa8e9c053f3d5b899 > > 9e3684be0b4c2dc93f962c03275e050fed57d9be6411396f51bdf8d4bb5e21c0 > > cb47327c7cce30cff8962c48fa3b51e57e331e1592ea78b21589164c5396ccd9 **IP addresses related to Mallox ransomware activity** > 103.96.72\[.]140 > > 80.66.75\[.]36 > > 80.66.75\[.]37 > > 80.66.75\[.]126 > > 80.66.75\[.]116 > > 92.118.148\[.]227 > > 62.122.184\[.]113 > > 87.251.64\[.]245 > > 119.3.125\[.]197 > > 49.235.255\[.]219 > > 80.66.75\[.]55 > > 87.251.67\[.]92 > > 121.4.69\[.]26 > > 124.223.11\[.]169 > > 45.93.201\[.]74 > > 80.66.75\[.]135 > > 194.26.135\[.]44 > > 80.66.75\[.]51 > > 89.117.55\[.]149 > > 5.181.86\[.]241 > > 185.170.144\[.]153 {% embed url="" %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://phantanloc.gitbook.io/locpt_wiki/homepage/2.it-cntt/2.6-quan-tri-mang-and-bao-mat/mallox-phan-tich-ky-thuat-va-bien-phap-giam-thieu-tan-cong-ransomware-mallox.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.