Ransomware cũng giống như loại tội phạm bắt cóc tống tiền, chỉ khác nó nằm trên máy tính, bắt cóc chiếc máy hay chính xác hơn là dữ liệu của bạn và đòi tiền chuộc. Liệu bạn có đang là nạn nhân của ransomware và nếu như máy đã dính ransomware thì phải làm gì?

Xem thêm: Tìm hiểu về ransomware, phần mềm mã độc chuyên khóa máy hoặc file rồi đòi tiền chuộc

Mike Cobb - giám đốc kỹ thuật tại công ty cứu hộ dữ liệu và giám định kỹ thuật số DriveSavers đưa ra một ví dụ rằng khi ransomware tấn công một máy chủ và các thiết bị lưu trữ kết nối với máy chủ đó thì người dùng từ xa khi truy cập vào các dữ liệu được chia sẻ từ máy chủ sẽ không thể thấy các thông điệp từ tống tiền nhưng tất cả các tập tin sẽ không thể mở được bình thường bởi chúng đều đã bị mã hoá. Người dùng chỉ nghĩ đơn thuần là họ bị mất kết nối với máy chủ và chỉ đến khi bộ phận điều hành hệ thống phát hiện ra thông điệp tống tiền thì đã muộn, tất cả người dùng truy cập vào máy chủ đã bị theo dõi.

Nếu như bạn nghi ngờ máy tính của mình đã dính ransomware thì dưới đây là những dấu hiệu sớm:

1. Một màn hình thông báo chặn truy cập:

Dấu hiệu rõ ràng nhất khi máy bạn dính ransomware là sẽ có một màn hình thông báo mỗi khi khởi động máy, ngăn bạn sử dụng máy tính và hướng dẫn bạn cách trả tiền chuộc để phục hồi máy tính. Nếu một ngày đẹp trời, bạn mở máy tính và thấy màn hình như vậy thì chắc chắn máy bạn đã dính ransomware.

2. Không thể mở các tập tin:

Nếu bạn không thể mở các tập tin bình thường trên máy tính, chẳng hạn như tập tin .mp3 mà khi nhấp vào lại hiện một cái bảng thông báo kiểu như: "Windows không thể mở tập tin này, để mở tập tin Windows cần biết bạn cần phần mềm nào để mở. Windows có thể tìm kiếm online tự động hoặc bạn tự chọn trong danh sách phần mềm đã được cài vào máy." Còn nếu như trên máy Mac, bạn sẽ thấy một thông điệp như: "Không có ứng đụng nào được thiết lập để mở văn bản này, bạn có thể tìm trên App Store một ứng dụng có thể mở hoặc chọn những ứng dụng đang có trên máy tính."

Những thông điệp kể trên thường xuất hiện mỗi khi chúng ta mở một file có định dạng lạ. Tuy nhiên nếu những file có định dạng quen thuộc như .txt hay .mp3 hay tất cả các loại tập tin trên máy khi nhấp vào đều hiện ra thông báo kiểu này thì rất có khả năng máy bạn đã dính một loại ransomware mã hoá tập tin.

3. Đuôi mở rộng lạ thường:

Mối tập tin trên máy tính có một định dạng gồm các ký tự sau dấu chấm của tên tập tin và chức năng của phần đuôi này là giúp máy tính biết được loại tập tin cần đọc và đọc bằng phần mềm gì, chẳng hạn như .exe, .doc, .pdf ...

Các tập tin bị mã hoá bởi ransomware thường bị thay đổi phần định dạng, chẳng hạn như file .exe bị đổi thành .crypted, .cryptor .... Các tập tin dần bị đổi định dạng và sau cùng File Explorer hay Finder sẽ hiển thị tất cả dưới dạng các biểu tượng trắng do không hiểu được tập tin đó là gì.

4. Bạn nhận được các hướng dẫn để trả tiền chuộc:

Tập tin hướng dẫn chuộc dữ liệu do ransomware .CCC gây ra, tất cả các tập tin đều bị đổi sang .ccc.

Nếu máy tính bị nhiễm ransomware, hacker tạo ra con ransomware này sẽ để lại vài dòng hướng dẫn cho bạn. Hacker muốn bạn đọc được những hướng dẫn này bởi mục tiêu cuối cùng của hắn vẫn là đòi được tiền chuộc từ bạn. Thường thì những dòng hướng dẫn cách chuộc dữ liệu sẽ hiển thị ngay tại màn hình chặn truy cập khi bạn mở máy tính, tuy nhiên hacker cũng có thể soạn sẵn một file văn bản và để tại một nơi dễ tìm.

Bạn hãy tìm những tập tin .txt hoặc .html có ký tự khởi đầu là một dấu gạch dưới (_), tiếp sau đó là một thông điệp rõ ràng được in hoa kiểu như "_OPEN ME", "_DECRYPT YOUR FILES" hoặc "_YOUR FILES HAVE BEEN ENCRYPTED". Sẽ có ít nhất 1 tập tin hướng dẫn như vậy nằm tại mọi thư mục có chứa dữ liệu đã bị mã hoá bởi ransomware.

Nếu dính ransomware, bạn phải làm gì?

Cobb nhấn mạnh rằng bạn không nên mở các tập tin hướng dẫn này trừ khi muốn trả tiền cho kẻ tống tiền. Tuy nhiên, việc có nên hay không trả tiền chuộc lại dữ liệu đã bị mã hoá vẫn gây nhiều tranh cãi. Nhiều chuyên gia bảo mật cho rằng đây là giải pháp cuối cùng bởi "Khi bạn trả tiền tức là bạn đang thoả hiệp với tội phạm. Không có gì đảm bảo rằng sau khi trả tiền, bạn sẽ có thể lấy lại dữ liệu," theo chuyên gia bảo mật Christopher Budd đến từ Trend Micro.

Ransomware phổ biến tại Việt Nam hay không?

Cá nhân mình thì may mắn chưa đụng phải ransomware bao giờ và ban đầu mình nghĩ rằng loại phần mềm độc hại chuyên đi bắt cóc dữ liệu tống tiền nạn nhân này chỉ phổ biến tại một số khu vực nhất định, cũng giống như nhiều loại malware, worm, trojan nổi tiếng khác. Tuy nhiên, một người bạn của mình đã dính phải ransomware, không rõ vì lý do gì nhưng cũng có khả năng là do ... mày mò deep web.

Khởi động máy lên là hiện ngay một bảng thông báo đầy khiêu khích như trên hình. Hacker đã để lại thông điệp cho biết toàn bộ dữ liệu đã bị mã hoá RSA4096 và chỉ có thể giải mã bằng một phần mềm có trên "Secret Server" của hacker. Thêm vào đó, hacker còn đưa ra 2 giải pháp: 1 là chờ đợi một phép màu và nạn nhân phải trả gấp đôi số tiền chuộc, 2 là trả ngay cho hắn 3 bitcoin (khoảng 600 đô la Mỹ thời điểm đó, giờ chắc cao hơn nhiều), ngoài ra không còn cách nào khác để lấy lại dữ liệu. Ngay bên dưới, hacker còn đưa ra nhiều đường link thuộc về deep web (onion) và 4 bước để tiến hành trả tiền chuộc lại dữ liệu như tải và cài đặt trình duyệt củ hành (Tor Browser), nhập địa chỉ và thực hiện các hướng dẫn.

Như vậy có thể nói ai cũng có thể trở thành nạn nhân của ransomware. Theo một nghiên cứu của công ty bảo mật BitDefender vào năm 2015 với 3009 người dùng Internet tại Mỹ, Pháp, Đức, Đan Mạch, Anh quốc và Romania thì có đến 50% người dùng không nhận thức rõ ràng về việc ransomware là một mối đe doạ khiến họ có thể mất quyền hay giới hạn quyền truy cập dữ liệu cá nhân. Hơn 1 nửa số số nạn nhân cho biết họ sẵn sàng trả tối đa 500 đô để lấy lại dữ liệu mã hoá và tài liệu cá nhân luôn được ưu tiên hàng đầu. BitDefender cũng đã phát hành một loại "vaccine" phòng chống các loại ransomware mã hoá thuộc các họ CTB-Locker, Locky và TeslaCrypt phổ biến, anh em có thể tải về tại đây, hoàn toàn miễn phí.

Còn về mặt phòng ngừa thì chúng ta có thể chủ động thực hiện các bước sau:

1. Sao lưu dữ liệu:

Anh em nên tập thói quen sao lưu dữ liệu lên các dịch vụ đám mây. Tại sao vậy? Carbonite - một công tyt cung cấp dịch vụ sao lưu đám mây cho các doanh nghiệp vừa và nhỏ cho biết trong suốt 12 tháng vừa qua đã có hơn 5000 người dùng gọi cho họ nhờ giúp đỡ do dính ransomware. Một trung tâp chăm sóc sức khoẻ đã mất quyền truy cập vào thư viện dữ liệu lưu trữ trong suốt 14 năm trong khi một tổ chức cộng đồng cũng không thể sử dụng 170.000 tập tin do ransomware mã hoá. Điều may mắn là cả 2 đều đã sao lưu dữ liệu trên đám mây nên họ không phải trả tiền chuộc cho kẻ tấn công.

Nếu lưu trên ổ cứng vật lý hay máy chủ, cần phải đảm bảo rằng các hệ thống lưu trữ này không kết nối trực tiếp với hệ thống desktop - nơi ransomware hay hacker có thể tấn công. Theo Anup Ghosh - giám đốc điều hành công ty bảo mật Invincea: "Rất nhiều người dùng đang lưu trữ tài liệu trên các ổ cứng mạng. Tuy nhiên, loại hình lưu trữ chia sẻ qua mạng này cũng nhiều rủi roi như môi trường desktop một khi bị lây nhiễm ransomware. Nếu các bản sao lưu được thực hiện mà không có kết nối Internet, bản sao lưu này sẽ không thể bị tác động từ những chiếc máy đã nhiễm ransomware và như vậy dữ liệu của bạn vẫn an toàn". Tương tự như khi bạn sao lưu dữ liệu bằng một chiếc ổ cứng gắn ngoài, những chiếc ổ này chỉ được kết nối với máy tính khi sao lưu, sau đó ngắt kết nối nhằm phòng ngừa lây nhiễm từ máy.

2. Hãy nói không với các email và đường link khả nghi

Phương pháp phổ biến để hacker thả ransomware lây nhiễm máy tính là "dụ khị" nạn nhân bằng cách gởi email spam chứa các tập tin có chứa mã độc hay lừa bạn nhấn vào một đường dẫn kích hoạt mã độc. Chẳng hạn như vụ tấn côn ransomware gần đây nhất nhằm vào các thành viên quốc hội Mỹ, hacker đã đánh lừa các chuyên viên IT tạm thời chặn truy cập vào các tài khoản Yahoo mail.

Một phương pháp khác với tỉ lệ thành công cao hơn là malvertising - lợi dụng một mạng quảng cáo để truyền mã độc đến những trang web có hiển thị quảng cáo mà người dùng thường ghé thăm. Hình thức tấn công này đã vừa mới xảy ra trên 2 trang tin nổi tiếng là New York Times và BBC. Bạn có thể dùng các phần mềm chặn quảng cáo và thường xuyên cập nhật trình duyệt để có thể ngăn ngừa khả năng nhiễm mã độc.

3. Vá và chặn:

Tuy nhiên, không phải lúc nào người dùng cũng cảnh giác với các loại hình tấn công kể trên. Chúng ta vẫn có thể vô ý mở các file đính kèm trong email, đường link hay click vào quảng cáo có chèn mã độc. Do đó trong trường hợp tập tin hay link có malware đã được kích hoạt, chúng ta cần có các công nghệ bảo mật để chặn đứng khả năng lây nhiễm. Hiện tại, nhiều hãng bảo mật đã sử dụng công nghệ deep learning và trí thông minh nhân tạo (AI) trên các sản phẩm bảo mật của mình.

Kết hợp với phần mềm bảo mật, các cá nhân và doanh nghiệp cũng phải chủ động thực hiện các tiêu chuẩn bảo mật khác chẳng hạn như cập nhật hệ điều hành, vá các lỗ hổng bảo mật. Trong môi trường web, hacker thường khai thác các lỗ hổng đến từ Java và Flash, do đó chúng ta nên theo dõi cập nhật các phần mềm này hay gỡ bỏ hoàn toàn.

Thêm vào đó, việc loại trừ các ứng dụng trên máy cũng là một cách để chống lại các cuộc tấn công. Trong danh sách loại trừ này (whitelist), máy tính sẽ không được phép cài đặt bất cứ thứ gì nếu không được phê chuẩn.

4. Nếu đã dính, ngắt kết nối ngay:

Như trường hợp của trung tâm y tế MedStar Health hồi đầu năm nay, ngay sau khi phát hiện ransomware bắt đầu lây nhiễm, các chuyên viên IT đã ngay lập tức tắt hầu hết các kết nối mạng nhằm ngăn ngừa khả năng lây nhiễn lan rộng. Stu Sjouwerman - giám đốc điều hành công ty bảo mật KnowBe4, không chỉ ngắt kết nối các hệ thống đã lây nhiễm khỏi mạng tổng, các chuyên viên IT cũng cần phải tắt Wi-Fi và Bluetooth trên những chiếc máy này nhằm ngăn ngừa malware lan sang máy khác qua 2 kết nối này.

Việc cần làm tiếp theo là xác định loại ransomware tấn công. Nếu nó là một biến thể của một họ ransomware nào đó thì các công ty bảo mật có thể cung cấp các công cụ giải mã giúp mở khoá những tập tin hay vượt qua màn hình chặn truy cập mà không cần phải trả tiền cho kẻ tấn công tuỳ theo độ phức tạp của phương pháp mã hoá được sử dụng.

Tham khảo: CSO, Wired

tancantn

TÍCH CỰC

8 năm

có mấy chục ghi JAV bản đẹp nè

Việt Phát Xít

ĐẠI BÀNG

@tancantn hộp e bác ơi 😆

sudungmaytinh

GÀ

@tancantn Vãi bác. hình như video nó ko bị dính hả bác? Chắc VIRUS chỉ thích thịt các loại tài liệu dạng DOC PDF...

ca_chien

@sudungmaytinh Nó thịt hết hình như còn định dạng file mp4 và xml mình thấy là còn. không biết mấy con khác có thịt hết ko thì mình ko biết.

tamnam

@sudungmaytinh Dính hết, tôi vừa bị dính, gần như không còn dùng được bất cứ tài nguyên gì của cái ổ cứng 500GB.

Con này nó kinh khủng lắm, tôi phát choáng luôn. Chưa bao giờ thấy con virus nào nó tệ hại như con này.

Bà con, khi dùng Skype, hoặc nói chung các messenge tool thì k nên kích vào bất cứ thứ gì gửi tới mà k chắc chắn...

mtancong

CAO CẤP

vãi dự liệu cũng bắt cóc tống tiền nữa.

like2lan

@mtancong Chưa đi làm đúng không, dữ liệu giá trị hơn bộ máy hàng trăm, hàng nghìn lần.

amio1st

@mtancong Đã từng bị dính mà ko co cách giải đành format. mất 1 số may cũng BK ra HDD khác nên cũng ko sao, tải lại 1 số. Nó mã hóa tất cả tập tinh từ Picture, Movie. Iso, MDS, docx vv. Mỏ ra toàn lỗi mà còn đề mã hóa APS 254bit (chắc 1 dạng thuật toán nén) gì đó 😆 nó chiếm cả homepage của web. Thậm chí ko vào được mạng chỉ vào được qua đường link chúng cung cấp, nói chung vào trang nào củng bĩ chỉa vào trang hacker, Trình vius update mới nhất cũng ko dò ra được Kas, bkav vv. Tìm trên mạng chả thý thông tin gì chỉ biết dịch ra thì bị tống tiền ( khi nó mã hó thì máy chãy rất ì ạch gần CPU load 100% ( nó dùng cpu mã hóa) nên ai bị tắt máy liền thì chưa kịp mã hóa vẫn còn lấy lại được. Để lâu nó load cpu mã hóa hết là xong tiu lun dữ liệu, nhìn cái ngày nó set khi mã hóa là như nhau gần như cách từng giây (lúc đó đang tính giải quết virus nén chưa nghĩ đến điều này. Có thể phải cài lại mbr cho máy boot win mini cứu dữ liệu 😃.

@habu@

@mtancong Mình gặp một máy dính *.ccc
Kết quả delete cả ổ cứng, vì khách ko chịu nộp tiền cho bọn nó 😁
Trung tâm cứu dữ liệu cũng bó tay!

@like2lan Không phải là chưa đi làm, mà chưa bị như thế bao h. Dữ liệu mình lưu trên đám mây, thiết bị nhớ là chính. Có bị gì thì mình cài lại win thôi có hơi mất tg nhưng cũng tốt. Mà win mình có bản ghost nên không vấn đề gì.

[HD]YêU cÔnG NgHệ

VIP

Xài máy tính hạn chế ít cắm usb với kick link vớ vẩn là ko bị

Kinh Thuyên

😁 dính con này thì xác định toi sạch dữ liệu

BigDargon

Bị dính máy chạy chậm hơn, lúc đó tắt nóng bằng nguồn, cài win rồi quét virus ổ còn lại. có ông anh đã dính con này, tới khi nó mã hoá hết ổ mới cho hay 😆))

kijutonet

Cơ quan mình có vài người đang và đã dính con .cerber.
Rất nguy hiểm. Cả đống dữ liệu chưa giải mã được.

@kijutonet Giải đằng trời, 😁

joethinh

Nếu đã thấy cái màn hình chặn truy cập, thì không còn nghi ngờ gì nữa. Và chỉ còn biết tự khóc mà thôi.

xyzmen

Mình có ông chú làm ở bên an ninh mạng, ổng nói có một cách hoàn toàn miễn phí để giải mã các mây tính bị dạng này, cách duy nhất là... Gia nhập đám hacker này!

tdcn

Bài hay, cảm ơn mod🆒

Ro_tt

Bài viết rất hay.

muadtdd02

còn mình thì chỉ mong cái hdd toi cho khỏe đời, lý do ư: nhiều dữ liệu bàn giao vữa vời quá

Black Mamba

Mình luôn lưu trữ tất cả tài liệu công việc và những dữ liệu cá nhân quan trọng lên cloud hết, mình sử dụng đồng thời cả Dropbox, Google Drive và Mega để đề phòng. Những thứ còn lại có dung lượng lớn hơn thì không cần thiết lắm nên chỉ lưu trữ trên ổ cứng và bản sao lưu trên ổ cứng khác thôi, có mất cũng không sao, và luôn có thể lấy lại được từ những nguồn khác.

hotletokhonganh1990

@Black Mamba Khôn vãi ra ....đúng là ko ăn ko ăn hỏng của bạn đc cái gì ..

elliwood

Trứng

Cơ quan mình cũng bị con này, mã hóa toàn những file chứa dữ liệu. Có 1 cách khôi phục file bị mã hóa là vào trang này của Kaspersky. Không rõ là nó có hoạt động không vì mình đã xóa sạch đóng file bị mã hóa rồi và tùy vào bị phiên bản ransomware nào nữa. Nếu bị khoảng hơn 1 năm trước thì có lẽ có tác dụng vì nghe nói nhóm phát tán con này đã bị bắt rồi và chúng nói chỉ có vài master key thôi, không phải random đâu !
Link đây mọi người: https://noransom.kaspersky.com/

No Ransom: Free ransomware file decryption tools by Kaspersky

Don’t know how to remove ransomware? The No More Ransom website contains free decryption tools and comprehensive information on ransomware protection.

noransom.kaspersky.com

ngockiennq

@hugnvn87 vậy bác nghĩ là mac hay linux không dính sao? Nếu mình có đủ kiến thức thì chẳng có hacker nào hack được máy của mình dù là hệ điều hành gì đi chăng nữa, còn nếu đã không có kiến thức thì dùng hệ điều hành gì cũng bị dính như thường

Phi-Nhan

@ngockiennq Mình e suy nghĩ này của bạn cũng nguy hiểm như một người biết bơi sẽ có khả năng nhảy xuống cứu người hơn một người không biết bơi vậy đó. Sự đời lẽ nào chỉ đơn giản có kiến thức là không bị đâu bạn. Bạn thử nghĩ coi, chẳng lẽ bạn không có phút lơ đễnh sao. Không lẽ mọi kiến thức về mấy loại lừa đảo này bạn đều cập nhật liên tục sao... Thành thực khuyên bạn không nên ỉ i như thế. Chết vì thiếu hiểu biết là có. Nhưng không phải lúc nào người ta cũng chết vì thiếu hiểu biết.

@ngockiennq Subdomain của Kaspersky mà bạn, tùy bạn thôi !

@officialnguyen Bạn nghĩ là những người có kiến thức là họ ỉ i sao. Chính những người nghĩ rằng mac miễn nhiễm virus còn win mới bị mới chính là những người dễ dính nhất. Ngoại trừ phim và nhạc thì mọi dữ liệu mình đều lưu trữ trên cả onedrive và ggdrive chứ kg dễ gì xóa được dữ liệu của tôi đâu.

chicken29986

Bên mình từng dính bạn virus này. Trong vòng 2 tiếng nó mã hoá toàn bộ dữ liệu tại 1 máy trạm và ổ mạng của một phòng. Lý do là người dùng click vào link trong email, rồi trojan nó chui vào máy bao giờ ko biết. Mất mất dữ liệu trong 3 ngày làm việc😔 bao giờ dính phải virus này thì mới thấy giá trị của các giải pháp backup bằng cloud:(

kkzbanana

@chicken29986 IT dep của CTY bác tệ quá. Bulid 1 con VM host chia quyền user bác ah, luôn có 1 back-up server và quyền admin accept, password 30 days thôi.

@kkzbanana IT có cố đến đâu, người dùng họ không ý thức được thì cũng chịu bác ạ.
Chưa kể người bị dính virus lại là lãnh đạo phòng, nên quyền của account đó cao hơn các account thường khác.
Bác làm trong doanh nghiệp tư nhân, lãnh đạo ý thức được thì mới đặt được password 30 ngày, chứ bác cứ thử làm trong doanh nghiệp nhà nước xem, mình đố đấy =)). Đặt 30 ngày xong, thì chính IT mới mệt vì có khi được vài lần, người dùng ko nhớ là đang dùng cái gì, lại gọi ầm ầm để reset ý chứ.
Đợt đó đúng đợt bọn mình nâng cấp hệ thống, vừa đúng lúc turn off hệ thống backup, nên đến lúc dính mới bị mất dữ liệu nhiều thế.

Khi bị phát hiện nhiểm, có thể shutdown máy rồi cắm ổ cứng vào máy win sạch copy gấp dữ liệu còn lại vào ổ cứng khác. Sau đó nếu cài lại được máy bị đính thì an tâm. Còn bất khả kháng ko cài lại được thì diệt bằng thằng kaper sau khi update cũng tạm ổn,nhưng file coi như quang tèo coi như để đó chờ bản giải mả. Hic chắc phải mấy tjangs nauwx mới có. Đợi IBM nhào vô tóm mấy thằng hack tạo ra nó.

denmilu

bạn xem lại tỉ giá dùm mình.

Bài viết chung chung quá. Quá tệ khi đề cập gặp trường hợp đã dính mã độc tống tiền thì cần làm gì.
Tuy nhiên phần biện pháp đề phòng bạn viết khá tốt. Người dùng chỉ cần đọc chỗ phòng này là đủ. Còn khi bị nhiễm hãy liên hệ với những người chuyên gia, ví dụ trung tâm vncert là một ví dụ. Có thể ng ta ko giãi mã đc cho bạn nhưng ng ta sẽ cho bạn lời khuyên sát nhất.

bk9sw

@denmilu thằng bạn mình nó báo như thế hồi nó dính, mình ko rành vụ này lắm 😁

@bk9sw 20 ngày trước 1btc = 650$, giờ sau khi sàn giai dịch btc lớn nhất thế giới bị hack thì giá btc giảm đi gần 30% bạn :D

Khi bị dính mã độc, tất nhiên sẽ chẳng ai kịp nhận ra mà tắt máy hay làm những cái khác đâu bạn. Đối với các loại mã hóa tống tiền, sau khi âm thầm mã hóa thành công hết các tài liệu của người dùng xong nó sẽ tự bật các file .jpg, .htm, .txt lên để báo người dùng cần nộp tiền để được giải mã lại các tài liệu của họ. Khi gặp tình huống này, đa phần sợ quá làm các bước không nên kiểu như: đổi lại đuôi file, cài lại win, cắm ổ cứng di động vào để cài trình diệt virus hay copy dữ liệu, ..những việc này đa phần sẽ xóa mất các file hướng dẫn có chứa public key để phục vụ giải mã hoặc làm lây lan phá hủy dữ liệu bên các ổ di động.

Sau khi bị nhiễm thì cần làm gì?
1. Backup tất cả dữ liệu đã bị và chưa bị mã hóa ra bên ngoài (phần lớn hay dùng cách rút hdd máy bị nhiễm cắm qua một máy sạch để copy dữ liệu). Giữ nguyên hiện trạng máy bị nhiễm để tiến hành phân tích
2. Trong máy bị nhiễm sử dụng tiện ích procesxp và autorun để dò tìm các file mã độc đang nằm đâu trong máy (https://technet.microsoft.com/en-us/bb842062)
3. Đối với các file bị mã hóa, cần xác định nó bị thằng nào mã hóa, danh sách các thằng mã độc đi mã hóa có tại đây: http://esupport.trendmicro.com/solution/en-us/1114221.aspx
4. Sau khi tìm ra tên thằng mã hóa, có thể thử dùng các công cụ người ta cung cấp để thử giải mã tại đây: https://noransom.kaspersky.com/

5. Nếu vẫn không giãi mã được thì sao? Chúng ta cứ giữ nguyên trạng hết tất cả các file bị mã hóa, các mẫu mã độc và cả các file hướng dẫn trả tiền của hacker lại và CHỜ :D Vì có thể trong tương lai sẽ có người giải mã được, hoặc thằng hacker nó thương tình nó cấp cho key để giải mã (trường hợp TeslaCrypt V4 là 1 điển hình của việc hacker thương tình :D)

duongvannam27

denmilu đã nói: ↑

20 ngày trước 1btc = 650$, giờ sau khi sàn giai dịch btc lớn nhất thế giới bị hack thì giá btc giảm đi gần 30% bạn 😁

Khi bị dính mã độc, tất nhiên sẽ chẳng ai kịp nhận ra mà tắt máy hay làm những cái khác đâu bạn. Đối với các loại mã hóa tống tiền, sau khi âm thầm mã hóa thành công hết các tài liệu của người dùng xong nó sẽ tự bật các file .jpg, .htm, .txt lên để báo người dùng cần nộp tiền để được giải mã lại các tài liệu của họ. Khi gặp tình huống này, đa phần sợ quá làm các bước không nên kiểu như: đổi lại đuôi file, cài lại win, cắm ổ cứng di động vào để cài trình diệt virus hay copy dữ liệu, ..những việc này đa phần sẽ xóa mất các file hướng dẫn có chứa public key để phục vụ giải mã hoặc làm lây lan phá hủy dữ liệu bên các ổ di động.

Sau khi bị nhiễm thì cần làm gì?
1. Backup tất cả dữ liệu đã bị và chưa bị mã hóa ra bên ngoài (phần lớn hay dùng cách rút hdd máy bị nhiễm cắm qua một máy sạch để copy dữ liệu). Giữ nguyên hiện trạng máy bị nhiễm để tiến hành phân tích
2. Trong máy bị nhiễm sử dụng tiện ích procesxp và autorun để dò tìm các file mã độc đang nằm đâu trong máy (https://technet.microsoft.com/en-us/bb842062)
3. Đối với các file bị mã hóa, cần xác định nó bị thằng nào mã hóa, danh sách các thằng mã độc đi mã hóa có tại đây: http://esupport.trendmicro.com/solution/en-us/1114221.aspx
4. Sau khi tìm ra tên thằng mã hóa, có thể thử dùng các công cụ người ta cung cấp để thử giải mã tại đây: https://noransom.kaspersky.com/
5. Nếu vẫn không giãi mã được thì sao? Chúng ta cứ giữ nguyên trạng hết tất cả các file bị mã hóa, các mẫu mã độc và cả các file hướng dẫn trả tiền của hacker lại và CHỜ :D Vì có thể trong tương lai sẽ có người giải mã được, hoặc thằng hacker nó thương tình nó cấp cho key để giải mã (trường hợp TeslaCrypt V4 là 1 điển hình của việc hacker thương tình :D)

@denmilu Tesla cũng bị à bạn :D

@duongvannam27 Một thằng hacker nào đó đặt tên mã độc của nó là teslacrypt. Bạn đọc hết bài mình đi :D

Dính con này coi như tất cả dữ liệu là đi tong, gần như mọi định dạng đều bị dính, trừ một số đuôi như exe, txt.

hsta94

Anh em cho mình hỏi là nếu mình mã hóa dữ liệu như BitLooker trước chẳng hạn, hay set quyền truy cập thêm, sửa, xoá file thì liệu có ngăn chặn đc ko nhỉ.

crazysexycool1981

@hsta94 Ủa, cục đã nhờ sự can thiệp của công ty thứ 3 và mở được lâu rồi mà? Đâu còn trạng thái "đang còn bó tay nữa là" đâu? :eek:
(Sent from CRAZYSEXYCOOL1981 using Blackberry PASSPORT.se)

@crazysexycool1981 Đó là trực tiếp cầm máy iphone mới làm đc như thế. Thử hack iphone từ xa của người dùng xem.

@duytuan006 Cái ổ cứng 10TB với 20TB thì dữ liệu to bằng cả cái nhà là cái chắc. Ông thử mã hóa hết thử xem mất mấy ngày. Hacker điều khiển từ xa chứ có phải là cầm cái hộp trực tiếp đâu mà suy nghĩ đơn giản thế.

duytuan006

@hsta94 Khi đã bị nhiễm loại này nó hoàn toàn tự động mã hóa phát hiện sớm rút điện còn cứu kịp...

Máy tính dính mấy con này để nó mã hóa hết thì đống dữ liệu xác định là vứt đi. Nó sẽ mã hóa từ thư mực chứa file virus chạy ( mã hóa AES-256), nên các bác yên tâm file đó bị dính thì xác định rồi, phát hiện kịp thời lập tức rút điện ra ngay, lấy ổ cứng đem qua máy khác quét . NIS và BIT là hai chương trình tin cậy để chống nó.

ưng mã siêu

@ca_chien
viết thêm tí xíu về hai chương trình này dùm đi bạn, NIS và BIT là hai chương trình tin cậy để chống nó.máy bị dính cerber, bỏ luôn hok xài mấy tháng nay, đang định xem lại tìm hướng giải quyết, tks u

@ưng mã siêu - NIS: Norton Internet Security
- BIT: Bitdefender Internet Security 2016( Đúng ra là BIS mới đúng, sory mình nhớ lộn).
Hai thằng này là chống hiệu quả thôi, chứ dính rồi không lấy lại được đâu!
Theo quan điểm cá nhân, nó mã hóa file 2 lần, sinh ra 2 cái "serect key" một cái nằm trong máy tính, một cái nó đem lên server của nó công với địa chỉ MAC cái card mạng.Nếu nạn nhân thỏa hiệp trong thời gian quy định thì nó lấy MAC dò lại key trả dữ liệu lại. Quá thời gian quy định thì không còn cách nào để lấy lại dữ liệu. EAS-256 ghê gớm lắm, hic

Ransomware - bắt cóc dữ liệu đòi tiền chuộc, phát hiện và đề phòng như thế nào?

No Ransom: Free ransomware file decryption tools by Kaspersky

No Ransom: Free ransomware file decryption tools by Kaspersky

CHỦ ĐỀ TƯƠNG TỰ

Ở bển lại quýnh nhau thì kinh tế lại càng khó khăn.

#Ransomware

#ransomware #bitlocker #hacker

Góc Cảnh Báo RaaS ( dịch vụ ransomware ).