Hướng dẫn phòng và diệt virus CTB-Locker phục hồi lại dữ liệu bị mã hóa

Posted on 07/11/2016

CTB-Locker (ransomware) là một biến thể của loại virus tống tiền cực kỳ nguy hiểm đang lây nhiễm mạnh trên toàn thế giới. Ngay sau khi nhiễm vào máy tính, virus sẽ lập tức mã hóa toàn bộ các file dữ liệu đồng thời đổi tên file thành phần mở rộng với các ký tự ngẫu nhiên (vd: tailieu.doc.dxxfkvy) và yêu cầu người dùng nộp tiền chuộc để lấy lại khóa (key) để giải mã lấy lại dữ liệu

Hướng dẫn phòng và diệt virus CTB-Locker phục hồi lại dữ liệu bị mã hóa

Hacker ghi rõ: thời gian tối đa để người dùng có cơ hội nộp tiền chuộc lấy lại dữ liệu là 96 tiếng (4 ngày), sau thời hạn trên, khóa giải mã sẽ bị hủy trên máy chủ của Hacker đồng nghĩa với dữ liệu của người dùng vĩnh viễn ko giải mã đc nữa

Bộ mã nguồn của mã độc tống tiền này đang được các Hacker rao bán cho bất kỳ ai và được dùng để phát triển thành các biến thể mới của virus nhằm chống bị phát hiện bởi phần mềm diệt virus. Chính vì vậy, các biến thể của virus tống tiền như CTB-Locker… có sức lây lan rất nhanh và rộng

Để diệt virus và phục hồi dữ liệu bị mã hóa, các bạn cần thực hiện theo đúng các bước sau:

  • Bước 1: cài đặt phần mềm diệt virus Norton theo hướng dẫn tại đây, nhớ cập nhật phiên bản Norton mới nhất, sau đó quét toàn bộ máy để diệt sạch virus
  • Bước 2: Phục hồi lại dữ liệu đã bị virus mã hóa, việc lấy lại dữ liệu được thực hiện theo 2 hướng:

1. Giải mã dữ liệu đã bị mã hóa (hầu hết mọi người đều đi theo hướng này, nhưng hiện tại là bất khả thi trừ khi nộp tiền cho Hacker để nhận lại khóa giải mã)
2. Phục hồi lại file gốc đã bị virus xóa (xem bài hướng dẫn bên dưới)

Hướng dẫn phục hồi dữ liệu gốc bị virus mã hóa:

Đối với các biến thể cũ của virus tống tiền trước đây, ta có thể giải mã dữ liệu theo hướng dẫn tại đây. Tuy nhiên, với biến thể mới là CTB-Locker thì hiện tại chưa có cách để giải mã dữ liệu, vì vậy, ta cần phục hồi file dữ liệu gốc đã bị virus xóa (hoặc ghi đè) theo 3 bước sau (từ dễ đến khó):

Lưu ý: hãy đảm bảo đã sao lưu toàn bộ dữ liệu, chúng tôi không chịu trách nhiệm bất cứ tổn thất nào khi bạn làm theo hướng dẫn trong bài viết này

Cách 1:

  • Mở “My Computer” tìm đến thư mục hoặc file tài liệu bị mã hóa, bấm chuột phải và chọn mục “Restore previous versions
  • phuc-hoi-du-lieu-ransomware-01
  • Tại cửa sổ “Previous Versions” hiện ra các phiên bản đã sao lưu của dữ liệu, bạn hãy chọn ngày trước khi bị nhiễm virus và chọn “Restore” để phục hồi lại dữ liệu. Hãy cố gắng nhiều lần để tìm được phiên bản dữ liệu còn tốt chưa bị mã hóa (xem ảnh trên)
  • Bạn có thể xem danh sách các file đã bị virus mã hóa bằng cách vào “My Documents” và mở file “7kýtự.html” (với 7kýtự là 7 ký tự ngẫu nhiên vd: dxxfkvy.html)

Cách 2:

phuc-hoi-du-lieu-ransomware-02

  • Cửa sổ ShadowExplorer hiện ra, hãy chọn tên ổ đĩa chứa dữ liệu, sau đó chọn ngày cần phục hồi dữ liệu (xem hình trên)
  • Tiếp đó, duyệt cây thư mục và tìm đến thư mục chứa dữ liệu bị mã hóa (hoặc tìm đến file bị mã hóa) rồi bấm chuột phải vào chọn “Export” để phục hồi lại bản sao của ngày hôm đó (xem hình trên)
  • Bạn có thể xem danh sách các file đã bị virus mã hóa bằng cách vào “My Documents” và mở file “7kýtự.html” (với 7kýtự là 7 ký tự ngẫu nhiên vd: dxxfkvy.html)
  • Hãy cố gắng chọn nhiều phiên bản ngày phù hợp để tìm được bản sao dữ liệu được phục hồi tốt nhất

Leave a Reply

Your email address will not be published. Required fields are marked *