Xử lý khi máy tính bị nhiễm mã độc mã hóa dữ liệu (Ransomware)

By | 3:45 pm | 08/07/2016

Nhiễm mã độc mã hóa dữ liệu ransomware là tình huống sự cố rất nghiêm trọng.Nếu máy tính bạn bị nhiễm ransomware, xin chia buồn cùng bạn.
Sau đây là những việc bạn cần làm ngay để xử lý tình huống nhiễm ransomware:

  1.  Nếu máy tính bị nhiễm được kết nối trong mạng LAN, hãy nhanh chóng ngắt kết nối mạng của máy tính. Nếu máy tính còn được kết nối đến các thiết bị/vùng lưu trữ khác như External HDD, NAS, SAN thì cũng ngay lập tức ngắt các kết nối này. Nhanh chóng shutdown máy tính. Nếu chức năng shutdown của hệ điều hành Windows đã bị khóa, tắt máy bằng cách ngắt nguồn điện. Mục đích nhằm ngăn chặn lây lan, khiến hậu quả thêm trầm trọng.
  2.  Khởi động máy tính từ hệ điều hành sạch (từ ổ đĩa CD/DVD hoặc USB) hoặc tháo ổ cứng để kết nối vào máy tính sạch khác. Thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị mã hóa;
    Nên sao lưu cả các file đã bị mã hóa ra thiết bị lưu trữ khác để sau này có thể cần dùng đến. Có thể một thời gian sau sẽ có được công cụ giải mã loại ransomware bạn nhiễm. Hoặc chính tác giả ransomware quyết định cung cấp khóa giải mã cho ransomware mình phát tán (đã từng có trường hợp như vậy).
  3. Nếu máy tính có bật Volume Shadow Copy trước đó, bạn thử khôi phục lại các mốc thời điểm tạo VSS xem có kết quả không.
  4. Nếu bạn có bản backup và dự định phục hồi lại dữ liệu, hãy format, cài đặt lại Windows và dùng các phần mềm Anti-virus, Anti-ransomware quét kỹ để đảm bảo máy không còn ransomware. Sau đó hãy tiến hành phục hồi dữ liệu.
  5. Khởi động vào chế độ Safe Mode của Windows, sử dụng các chương trình Anti-ransomware với cập nhật mới nhất và quét ở chế độ Deep-scan để hy vọng tiêu diệt được ransomware ra khỏi máy tính.
  6. Nhận diện ransomware đang bị nhiễm. Một số ransomware tự cung cấp thông tin về nó, nhưng nhiều ransomware khác thì không. Lúc này, bạn cần sử dụng công cụ ID Ransomware để giúp nhận diện.
  7. Sau khi biết được loại ransomware, bạn tìm kiếm công cụ giải mã dữ liệu, hy vọng danh sách các Decryptor Tool  này có ransomware bạn bị nhiễm. Các công cụ decryptor được cập nhật liên tục bởi các hãng bảo mật lớn nên nếu không tìm thấy từ danh sách ở bài viết trên, bạn nên tìm kiếm thêm từ Google với từ khóa là ransomware bạn bị nhiễm.  Thử khôi phục các file bị ảnh hưởng từ Windows:

    Các tập tin dữ liệu đã bị mã hóa hầu như không thể giải mã được. Nhưng trong 1 số trường hợp, có thể sử dụng các phần mềm khôi phục dữ liệu (ShadowExplorer,getdataback,7 data recovery,recuva,FTK, EaseUs, R-STUDIO) để khôi phục các tập tin nguyên bản đã bị xóa.

  8. Nếu ransomware ngăn chặn không cho phép bạn truy cập Windows, hoặc bạn có thể truy cập Windows nhưng không thực hiện được những thao tác quan trọng, sử dụng công cụ WindowsUnlocker của Kaspersky để xóa ransomware tác động vào Registry và giành lại quyền truy cập Windows.
  9. Nếu đã thử mọi bước trên mà vẫn không hiệu quả, bạn chỉ còn 2 lựa chọn: Trả tiền chuộc hoặc Mất dữ liệu. Nếu dữ liệu thật sự quan trọng và số tiền chuộc không quá nhiều, bạn có thể cân nhắc phương án này (thường ở mức vài trăm USD, sau đó tăng lên ~1.000 USD nếu bạn nộp chuộc trễ hơn deadline). Nhưng một tình huống có thể xảy ra là dù bạn trả tiền chuộc thì vẫn KHÔNG giải mã được dữ liệu. Chưa kể việc liên hệ và thanh toán tiền chuộc không phải lúc nào cũng thành công (đa phần thanh toán bằng Bitcoin và quá trình mua loại tiền này khá phức tạp).
  10. Bạn cần rút ra bài học và tìm cách ngăn chặn sự cố này tiếp diễn: sao lưu dữ liệu thường xuyên, lưu trữ dữ liệu sao lưu tách biệt trong thời gian đủ lâu, đào tạo end-user về cách tránh lây nhiễm ransomware, cập nhật HĐH và các phần mềm Anti-virus, Anti-ransomware,… Tham khảo thêm Hướng dẫn phòng tránh mã độc mã hóa dữ liệu Ransomware