- Triệu chứng chung của máy tính khi bị nhiễm ransomware đó là tự nhiên máy chạy rất chậm. Dữ liệu trong máy tự động bị mã hoá và không thể sử dụng được. Các file dữ liệu sẽ bị mã hoá và thêm đuôi lạ. Ví dụ ta có một file tên “tailieu.docx” Sau khi bị nhiễm ransomware thì file sẽ bị mã hoá và đổi đuôi thành “tailieu.docx.sthpepb”. Cần lưu ý là với mỗi loại ransomware và với mỗi phiên bản thì đuôi file bị mã hoá sẽ khác nhau. Vd: .sthpepb, .CRAB, .KRAB, .kodg, .mkos…
- Bên dưới là một số các biện pháp xử lý khi máy tính bị nhiễm Ransomware. Trong khuân khổ bài viết này, Alldcm sẽ sử dụng mẫu ransomware tên Gandcrab V5.03 để làm hướng dẫn.
1. > Cách ly thiết bị nhiễm Ransomware. 2. > Khởi động lại máy tính với chế độ Safe Mode With Networking. 3. > Xác định tên, phiên bản của loại Ransomware đang bị nhiễm. 4. > Cài đặt phần mềm quét Malwares. 5. > Tìm kiếm công cụ để giải mã (decryption) Ransomware. 6. > Một số biện pháp phòng chống lây nhiễm Ransomware.
- > Cách ly thiết bị nhiễm Ransomware.
Một số loại ransomware được thiết kế để có thể lây nhiễm và mã hoá các tập tin bên trong các thiết bị lưu trữ ngoài như USB, ổ cứng di động. Hoặc thậm chí là lây nhiễm toàn bộ hệ thống mạng cục bộ. Vì vậy, phải cách ly thiết bị bị nhiễm càng nhanh càng tốt.
- Bước 1: Ngắt kết nối internet.
– Cách đơn giản nhất là rút cáp mạng ra khỏi máy tính. Hoặc vào mục Network and Internet trong Control Panel bằng cách nhấn phím Windows + R để mở cửa sổ Run. Sau đó gõ control > OK.
Truy cập Network and Internet.
– Chọn Network and Sharing Center.
– Chọn tiếp vào mục Change adapter settings.
– Nhấp chuột phải vào card mạng đang kết nối internet chọn Disable.
- Bước 2: Thoát tất cả các ổ đĩa di động hay USB đang kết nối với máy tính.
Mở My Computer (This PC). Nhấn chuột phải lên thiết bị muốn ngắt kết nối rồi chọn Eject.
- Bước 3: Đăng xuất khỏi các tài khoản lưu trữ đám mây (Cloud).
– Hình bên dưới mô tả cách thực hiện đăng xuất ra khỏi ứng dụng lưu trữ đám mây OneDrive của Microsoft. Đầu tiên mở Windows Explorer. Nhấp chuột phải lên biểu tượng OneDrive > Settings.
Thẻ Account chọn Unlink this PC > OK.
- > Khởi động lại máy tính với chế độ Safe Mode With Networking.
Khi khởi động Windows ở chế độ này. Hệ thống sẽ chỉ load hạn chế một số tập tin và trình điều khiển (driver) cơ bản cần thiết để hoạt động. Và load thêm các driver và một số dịch vụ mạng để máy tính có thể kết nối internet và các máy tính khác trong mạng.
* Thực hiện trên Windows XP, Vista hay Windows 7.
- Click vào Start → Shutdown → Restart → OK. Để khởi động lại máy tính. Trong quá trình boot khởi động máy, nhấn liên tục phím F8 cho đến khi xuất hiện bảng Advanced Boot Options. Dùng phím mũi tên đi xuống chọn dòng “Safe Mode with Networking” nhấn Enter.
* Thực hiện trên Windows 8 hay Windows 10.
- Cách 1: Mở cửa sổ RUN (phím Windows + R) gõ vào lệnh msconfig > OK.
– Chuyển sang tab Boot. Mục Boot options đánh dấu check vào Safe boot. Tiếp tục, chọn vào mục Network rồi nhấp OK như hình bên dưới.
Hộp thoại xác nhận System Configuration xuất hiện. Đánh dấu check tại mục “Don’t show this message again” chọn Restart.
* Lưu ý: Nếu muốn thoát khỏi chế độ safe mode ở những lần khởi động tiếp theo. Ta chỉ cần thực hiện lại các bước tương tự như trên. Tuy nhiên, thay vì chọn “Safe boot” thì ta chỉ cần bỏ chọn dấu check ở mục “Safe boot”. Nhấp chọn OK rồi restart lại máy.
- Cách 2: Nhấn chuột vào biểu tượng cửa sổ Windows bên góc trái màn hình chọn Settings.
– Cửa sổ Windows Settings xuất hiện. Nhấp chọn mục Update & Security.
– Khung bên trái chọn mục Recovery. Khung bên phải mục “Advanced startup” chọn Restart now.
– Lựa chọn mục Troubleshoot.
– Chọn Advanced options.
– Tiếp tục chọn mục Startup Settings.
– Chọn Restart.
– Đến đây ta nhấn phím số 5 trên bàn phím để chọn mục “Enable Safe Mode with Networking”.
Kết quả.
* Lưu ý: Để có thể truy cập internet ta phải cắm lại dây mạng hoặc bật lại card mạng đã tắt ở bước 1 bên trên. Để bật lại ta nhấn chuột phải vào card mạng đang dùng rồi chọn Enable.
- > Xác định tên, phiên bản của loại Ransomware đang bị nhiễm.
Thường khi bị nhiễm ransomware. Ở những nơi dữ liệu bị virus mã hoá thường có một file *.txt do virus tạo ra. Trong trường hợp này là file STHPEPB-DECRYPT.txt. Mở file này ra ta có thể biết được tên con virus này là GANDCRAB V5.03.
- Đối với một số loại ransomware mà ta không thể biết được tên thì ta vào địa chỉ sau: https://id-ransomware.malwarehunterteam.com Mục “Ransom Note” ta chọn Choose File rồi duyệt đến file *.txt do virus tạo ra. Mục “Sample Encrypted File” ta tải lên một file dữ liệu đã bị virus mã hoá để làm mẫu. Cuối cùng chọn Upload để tải lên như hình.
– Kết quả sau khi Upload lên.
- > Cài đặt phần mềm quét Malwares.
- Truy cập trang web https://www.malwarebytes.com. Sau đó, nhấp chuột vào nút FREE DOWNLOAD để tải phần mềm Malwarebytes về máy tính.
– Malwarebytes sau khi được tải về.
Khi tải về xong ta chạy file cài đặt Malwarebytes. Chọn vào mục Personal Computer như hình dưới.
Nhấp chọn vào nút Install để tiến hành cài đặt phần mềm Malwarebytes.
Malwarebytes đang được cài đặt.
- Khi cài đặt hoàn tất. Ta có thể nhấp chuột vào nút Activate license để kích hoạt bản quyền đã mua. Ở đây nếu chỉ tạm thời cài vào để quét ransomware. Ta có thể dùng thử 14 ngày bản Premium mặc định. Để tiến hành quét thì ta chỉ cần nhấn nút Scan bên dưới.
- Sau khi nhấn Scan chương trình sẽ bắt đầu quét các file hệ thống quan trọng của Windows. Quét các đối tượng khởi động cùng máy tính hay quét trong RAM, trong registry…
- Kết thúc quá trình quét. Nếu phát hiện các mối đe doạ thì Malwarebytes sẽ đưa ra cảnh báo. Ta nên nhấp chọn vào nút Quarantine để chương trình tự động cách ly các đối tượng này.
Cuối cùng nhấp chọn nút Done để hoàn tất quá trình quét.
- > Tìm kiếm công cụ để giải mã (decryption) Ransomware.
Khi hệ thống đã hoàn toàn sạch ransomware, bước tiếp theo ta phải tìm cách giải mã để lấy lại dữ liệu bị mã hoá trước đó. Mỗi loại ransomware lại có thuật toán mã hoá và cách giải mã khác nhau. Chính vì vậy, ta phải xác định được tên, chủng loại ransomware đó. (Như phần trên ta biết được hệ thống đang bị nhiễm con GANDCRAB V5.03).
Đầu tiên ta truy cập trang web: https://www.google.com. Sau đó, tìm kiếm với từ khoá là: “Tên ransomware + phiên bản + công cụ giải mã”. Chẳng hạn hệ thống hiện tại đang bị nhiễm Gandcrab phiên bản v5.03 thì ta gõ từ khoá: “gandcrab v5.03 decryptor tool”. Kế tiếp là lựa chọn công cụ được cung cấp miễn phí từ các bảo mật lớn. Ở đây, ta sẽ chọn công cụ giải mã được phát hành bởi bộ phận Lab của Bitdefender.
– Truy cập vào link. Ta kéo chuột xuống tìm và nhấp vào nút “Download the GandCrab decryption tool” để tải công cụ này về.
– Công cụ này hỗ trợ giải mã nhiều phiên bản của Gandcrab từ version 1 đến version 5.
– Tiến hành chạy cài đặt công cụ “BDGandCrabDecryptor.exe”. Đánh dấu chọn vào mục “I agree with the terms of use” rồi nhấn nút CONTINUE để tiếp tục.
– Cửa sổ nhắc nhở rằng chương trình cần có internet để giải mã. Nhấn OK để tiếp tục.
- Tại đây ta đánh dấu check vào cả hai mục là “Scan entire system” và “Backup files”. Cuối cùng! nhấp chọn START TOOL để tiến hành giải mã.
* Trong đó:
- Scan entire system: Quét toàn bộ hệ thống.
- Backup files: Tạo bản sao lưu file trước khi giải mã. Nhằm tránh rủi ro xảy ra lỗi hoặc hư hỏng file gốc trong quá trình giải mã.
* Lưu ý: Để quá trình giải mã thành công thì yêu cầu máy tính phải có kết nối internet. Và có ít nhất một bản sao của thông báo đòi tiền chuộc trên máy tính (file: “STHPEPB-DECRYPT.txt”).
Công cụ đang thực hiện quá trình quét và giải mã.
- Khi xuất hiện dòng chữ “The threat is gone!” như hình bên dưới nghĩa là quá trình quét và giải mã tập tin đã thành công.
Dữ liệu trước khi giải mã.
Dữ liệu sau khi giải mã thành công.
Mở thử file.
6. > Một số biện pháp phòng chống lây nhiễm Ransomware.
- Luôn luôn sao lưu dữ liệu ở nơi an toàn.
- Liên tục cập nhật các bản vá bảo mật của hệ thống lẫn phần mềm.
- Cài đặt phần mềm diệt virus chính hãng.
- Không truy cập các trang web độc hại hoặc click vào những đường link không an toàn.
- Không cài đặt các phần mềm crack, hoặc chạy các phần mềm không rõ nguồn gốc.
- Nhờ chuyên gia hoặc người có kinh nghiệm can thiệp nếu bị nhiễm….
