Tránh những virus phá hoai tống tiền kinh hoàn đến từ Internet

Từ trước đến nay đã sản sinh ra không biết là bao nhiều loại virus quấy phá cũng như trộm cắp thông tin mật của người dùng như trojain horse, cũng như phá hoại phần cứng của nạn nhân, nhưng đến hôm nay lại xuất hiện thêm 1 loại virus khiến cộng đồng mạng khiếp sợ, nó lây truyền thông qua tin nhắn facebook, email, twitter, vv. Nó chính là ransomeware virus chuyển mã dữ liệu của tất cả các file trong máy của bạn và tống tiền bạn bằng cách yêu cầu bạn nạp bitcoin để trả lại dữ liệu. Nhưng bạn nào có lở bị nhiễm thì đừng dại dột mà gửi tiền cho hacker, hắn sẽ tiến tục vòi vĩnh thêm tiền cho đến khi hắn thích dừng thì thôi. Có người đã bị tống tiền $10 000 để phục hồi dữ liệu. Những người đã và đang dùng BKAV nên lưu ý là BKAV hiện vẫn chưa cập nhật diệt và chặn loại virus này, nên dùng KAV, Bitdefnce, McAffee, Norton security. Để phục hồi dữ lệu tốt nhất là làm theo cách sau.

1. Dùng công cụ decrypt

a. CoinVault, Bitcryptor, CryptXXX: Công cụ Ransoware Decryptor của Kaspersky có thể giúp bạn giải mã dữ liệu bị mã hóa bởi 3 ransomware CoinVault, Bitcryptor và CryptXXX. Bạn tìm hiểu về công cụ này tại link https://noransom.kaspersky.com.

b. Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper: Ngoài 3 ransomware trên, Kaspersky còn cung cấp nhiều Decyptor Tool khác giúp giải mã các ransomware: Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper. Bạn download tại đây: http://support.kaspersky.com/viruses/utility.

c. Autolocky: Emisoft cung cấp công cụ Decypter cho ransomware Autolocky tại link https://decrypter.emsisoft.com/autolocky. Autolocky là một biến thể của Locky nhưng không phức tạp bằng. Hiện Emisoft đã có thể giải mã. Khi bị nhiễm Autolocky, file sẽ bị mã hóa và đổi tên thành đuôi *.locky.

d. PETYA: Ransomware này khá hiểm độc. Nó ghi đè Master Boot Record (MBR) khiến máy tính không thể khởi động (kể cả ở chế độ Safe Mode). Hiện đã có công cụ Petya Ransomware Decrypt Tool & Password Generator giúp bạn có thể giành lại quyền truy cập máy tính. Tuy nhiên, các bước tiến hành tương đối phức tạp; bạn nên tham khảo cách tiến hành tại đây: http://www.thewindowsclub.com/petya-ransomware-decrypt-tool-password-generator.

e. Operation Global III: Ransomware này mã hóa dữ liệu của bạn và đổi tên file thành .EXE. Không những vậy, nó còn chèn đoạn mã độc vào file với mục đích lây lan sang các máy khác. Bạn tham khảo bài viết về hoạt động và cách khắc phục ransomware này tại link http://www.bleepingcomputer.com/forums/t/559220/operation-global-iii-ransomware-not-only-encrypts-but-infects-your-data-as-well.

http://manual-removal.com/cerber/

Nemucod, DMALocker2, HydraCrypt, DMALocker, CrypBoss, Gomasom, LeChiffre, KeyBTC, Radamant, CryptInfinite, PClock, CryptoDefense, Harasom: Ngoài công cụ giải mã cho Autolocky (trình bày ở mục 3), Emisoft còn cung cấp công cụ giải mã cho tất cả các ransomware trên. Bạn có thể download tại đây: https://decrypter.emsisoft.com.

Nemucod mã hóa và đổi tên file thành *.crypted. Ngoài ra, bạn còn thấy xuất hiện file DECRYPT.txt trên Desktop.

DMALocker2 mã hóa nhưng không đổi tên file. Ransomware này tự cung cấp thông tin mình là DMALocker2 với ID là “DMALOCK 43:41:90:35:25:13:61:92″

HydraCrypt mã hóa và đổi tên file thành *.hydracrypt* hoặc *.umbrecrypt* DMALocker tương tự DMALocker2. Nhưng có ID là “DMALOCK 41:55:16:13:51:76:67:99″

CrypBoss mã hóa và đổi tên file thành *.crypt hoặc *.R16M01D05. Đồng thời còn yêu cầu bạn gửi mail về địa chỉ mail có dạng @dr.com Gomasom mã hóa và đổi tên file thành *.crypt. Trong tên file có địa chỉ email để liên hệ

LeChiffre mã hóa và đổi tên file thành *.LeChiffre. Đồng thời yêu cầu bạn liên hệ qua địa chỉ email decrypt.my.files@gmail.com KeyBTC tạo ra file DECRYPT_YOUR_FILES.txt và yêu cầu bạn liên hệ keybtc@inbox.com

Radamant mã hóa và đổi tên file thành *.rdm hoặc *.rrk

CryptInfinite mã hóa và đổi tên file thành *.CRINF PClock mã hóa nhưng không đổi tên file. Ransomware này tự nhận mình là CryptoLocker; đồng thời tạo ra file enc_files.txt trong thư mục User Profile của bạn.

CryptoDefense tự cung cấp thông tin mình là CryptoDefense và tạo ra file HOW_DECRYPT.txt

Harasom mã hóa và biến tất cả file thành đuôi *.html. Ransome note cho biết nó là Spamhaus hoặc US Department of Justice

f. Tesla: Cisco cung cấp công cụ dòng lệnh TeslaCrypt Decryption Tool giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware Tesla. Bạn tìm hiểu về công cụ này tại đây: http://blogs.cisco.com/security/talos/teslacrypt.

g. Decrypt Protect: Ransomware này cũng được giải mã bởi Emisoft. Bạn download công cụ tại đây: http://tmp.emsisoft.com/fw/decrypt_mblblock.exe.

h. TorrentLocker, Alpha Crypt, TeslaCrypt: Bạn tham khảo cách giải mã 3 loại ransomware này tại link: http://www.bleepingcomputer.com/virus-removal/threat/ransomware.

2. Cách 2 dùng shadows explore để trả tập tin về nguyên trạng

http://www.shadowexplorer.com/downloads.html

3. Dùng data recovery để phục hồi dữ liệu lúc chưa bị virus.