giải-mã-dữ-liệu-bị-mã-hóa

Ransomware là gì?

Ransomware là một phần mềm độc hại được các hacker sử dụng để tấn công các cá nhân và doanh nghiệp bằng cách mã hóa dữ liệu trên máy tính, làm cho người dùng không thể truy cập dữ liệu. Sau đó, chúng sẽ yêu cầu nạn nhân trả tiền để giải mã dữ liệu bị mã hóa. Các cuộc tấn công ransomware được ghi nhận càng ngày càng tăng về cả số lượng lẫn mức độ nguy hiểm.

 

Nguyên nhân

Ransomware thường lây lan qua thư rác, email lừa đảo hoặc thông qua các trang web không an toàn hoặc được tải xuống theo ổ đĩa, để lây nhiễm vào thiết bị điểm cuối và xâm nhập vào mạng. Các hacker có thể lợi dụng các lỗ hổng bảo mật của hệ điều hành, phần mềm ứng dụng, phần mềm hệ thống chưa được vá lỗi để thực hiện các cuộc tấn công có chủ đích. Ngoài ra, việc sử dụng các phần mềm “bẻ khóa” hay các phần mềm điều khiển máy tính từ xa mà không có các chính sách bảo mật phù hợp cũng có thể khiến máy tính nhiễm mã độc.

Khi đã xâm nhập, ransomware sẽ khóa tất cả các tệp mà nó có thể truy cập bằng thuật toán mã hóa mạnh. Cuối cùng, chúng yêu cầu tiền chuộc (thường phải trả bằng Bitcoin) để giải mã các tệp và khôi phục toàn bộ hoạt động cho các hệ thống CNTT bị ảnh hưởng. Trong một số trường hợp, mã độc ransomware được cài đặt cùng với trojan để có quyền kiểm soát nhiều hơn trên thiết bị nạn nhân.

 

Ransomware

 

Nhận biết dữ liệu bị mã hóa bởi ransomware

Dấu hiệu rõ ràng nhất để nhận biết dữ liệu bị mã hóa là dữ liệu bị đổi đuôi file hàng loạt sang các định dạng khác (.locked .CRAB .KRAB .kodg .hets .mkos …), không thể truy cập vào các file một cách bình thường. Ngoài ra khi bị mã hóa dữ liệu, hệ thống không thể hoạt động như bình thường mà sẽ bị chậm hoặc treo máy (Các vụ tấn công thường xảy ra vào ngày nghỉ thứ 7, chủ nhật khi các nạn nhân lơ là cảnh giác).

Trong mỗi mục folder sẽ xuất hiện một file *.txt, *.hta (thường là Readme.txt, hoặc Recovery_My_File.txt). Đó là bảng thông báo cho chúng ta biết máy tính đã bị nhiễm mã độc, chúng sẽ phân biệt chủng loại bị nhiễm đương nhiên đó là kèm link hướng dẫn phương pháp thanh toán để có thể giải mã dữ liệu cho máy tính.

 

giai ma du lieu bi virus ma hoa
Thông báo yêu cầu chuyển tiền của hacker

 

giai ma du lieu bi virus ma hoa
Các file bị đổi đuôi hàng loạt

 

Lưu ý khi giải mã dữ liệu bị mã hóa bởi ransomware

Việc làm theo yêu cầu của hacker để được nhận được mã khóa giải mã dữ liệu là vô cùng rủi ro và tốn kém. Rất nhiều nạn nhân dù đã trả tiền nhưng không được giải mã hoặc nhận được khóa nhưng không giải mã được dữ liệu. Nguy hiểm hơn, trong quá trình này dữ liệu có thể bị mã hóa thêm nhiều lớp nữa, khiến quá trình giải mã dữ liệu phức tạp và tốn kém hơn rất nhiều.

Điều đầu tiên bạn nên làm khi phát hiện dữ liệu bị mã hóa là không can thiệp, không tắt máy, không scan diệt virus hay bất cứ thao tác gì. Mọi tác động đều có thể dẫn tới việc xử lý, khôi phục dữ liệu sau này trở nên phức tạp và khó khăn hơn. Cách xử lý tối ưu nhất chính là backup tất cả dữ liệu bị mã hóa ra hệ thống lưu trữ độc lập như HDD box v.v… Tiếp theo, hãy tháo ổ cứng, niêm phong và ngay lập tức tham khảo tư vấn của chuyên gia.

HTI Services đã có nhiều năm kinh nghiệm trong việc xử lý các trường hợp dữ liệu bị virus mã hóa. Các chuyên gia của chúng tôi sẽ phân tích hiện trạng hệ thống, đánh giá các rủi ro có khả năng gặp phải trong quá trình giải mã, từ đó đưa ra phương án hợp lý nhất đảm bảo dữ liệu cho khách hàng. Xem hướng dẫn thu thập thông tin cho việc đánh giá tình trạng mã hóa dữ liệu tại đây.

 

Liên hệ với chúng tôi qua Hotline 0928.765.688 để được tư vấn miễn phí.

092 876 5688