Ransomware là gì?

Ransomware là một loại phần mềm độc hại mã hóa dữ liệu trên máy tính bị tấn công và sau đó yêu cầu tiền chuộc. Loại virus này tấn công cả công ty và cá nhân. Trong phần lớn các trường hợp, kẻ gian nói về việc tăng tiền chuộc nếu bạn không trả tiền kịp thời. Giải mã tệp mà không có khóa gần như không thể.

Ransomware hoạt động như thế nào?

Sau khi vi rút được cài đặt trên máy tính, nó mã hóa các tệp có định dạng nhất định. Tệp MS Office, những bức ảnh, video, tệp văn bản thuần túy, Tài liệu Photoshop, 3Dự án DS Max – ransomware nhắm vào tất cả. Mật mã nó sử dụng có thể khác – AES-256, RSA-1024/2048/4096 hoặc sự kết hợp của chúng, nhưng dù sao thì chúng hầu như không thể giải mã bằng lực lượng vũ phu.

Mặc dù phần mềm được gọi là “ransomware,”Chủ sở hữu trả số tiền được yêu cầu. Số tiền được yêu cầu để khôi phục tệp, mà chỉ có thể được tiến hành với công cụ giải mã được cung cấp bởi những người bảo trì ransomware. Loại vi-rút này rất thành công vì nhu cầu về loại phần mềm độc hại này tăng lên mỗi ngày.

Số liệu thống kê về các cuộc tấn công ransomware 2016-2021

Số cuộc tấn công ransomware trong lần gần đây nhất 5 năm, từng năm

Ransomware đã trở thành mối đe dọa lớn đối với bất kỳ hệ thống máy tính nào. Nếu bạn chạy một máy tính bị nhiễm virus, các tệp của bạn sẽ hoàn toàn không thể truy cập được, bao gồm ảnh cá nhân của bạn, video và danh bạ. Bằng cách trả số tiền, tin tặc sẽ giải mã các tệp của bạn, bao gồm dữ liệu được lưu trữ trên ổ đĩa di động. Tuy nhiên, Có rất nhiều trường hợp kẻ gian bỏ qua lời hứa của chính mình và dừng cuộc trò chuyện sau khi nhận được tiền. Vì thế, trả tiền chuộc không phải là một giải pháp rủi ro.

Cách thức phân phối ransomware?

Trong mọi tình huống cụ thể, nó là một thủ tục rất đơn giản để tạo một bản sao mới của phần mềm độc hại và bắt đầu lây nhiễm các máy tính và lây lan sang các máy tính khác nhau. Một kế hoạch lan truyền như vậy được gọi là “ransomware-as-a-service”: kẻ gian mua chương trình ransomware từ nhà phát triển của nó và phát tán nó như họ muốn. Tệp điều hành ransomware có thể được gửi qua email, dưới dạng tệp macro được đính kèm vào email hoặc liên kết trong tin nhắn văn bản. Trong một số ít trường hợp, ransomware được đưa vào thông qua các trang đích khai thác.

Tệp đính kèm email độc hại

Ví dụ về tin nhắn rác có chứa ransomware trong tệp đính kèm

Các cuộc tấn công theo định hướng tập đoàn không chỉ được thực hiện thông qua các email mồi nhử, mà còn do vi phạm an ninh. Microsoft Exchange, RDP, một số sản phẩm của Adobe và các chương trình khác cho phép tin tặc đột nhập vào mạng công ty và triển khai ransomware1. Các cuộc tấn công như vậy được chuẩn bị lâu hơn nhiều so với trên các máy tính cá nhân, nhưng mang lại nhiều lợi nhuận hơn.

Ví dụ về ransomware

Làm cách nào bạn có thể giải mã các tệp của mình?

Không có tốt, lời khuyên một kích cỡ phù hợp với tất cả. Mọi tình huống đều khác nhau và chẳng ích gì nếu bạn lặp lại cùng một sai lầm hai lần. Điều tốt nhất bạn có thể làm là học hỏi từ những người khác và cố gắng tránh những sai lầm của những nạn nhân khác. Họ đây rồi:

  • Đổi tên tệp;
  • Sử dụng máy tính tích cực sau cuộc tấn công của phần mềm độc hại;
  • Thanh toán cho các bên thứ ba trái phép để giải mã tệp;
  • Sử dụng máy tính cho các mục đích hàng ngày trước khi loại bỏ ransomware;
  • Bắt đầu giải mã tệp trước khi xóa ransomware.

Các công cụ giải mã tệp tin hiện có trên thị trường thường miễn phí. Các đề nghị như “trả cho chúng tôi ít hơn những kẻ lừa đảo yêu cầu và lấy lại các tập tin của bạn” là một điều rủi ro, và tiền của bạn vẫn đến tay kẻ gian. Như là “nhóm khôi phục tập tin” chỉ cần liên hệ với kẻ gian và yêu cầu họ cung cấp khóa giải mã với giá thấp hơn. Nhưng không có gì đảm bảo rằng những thủ đoạn ngoại giao như vậy sẽ mang lại hiệu quả. hơn thế nữa, họ có thể chỉ lấy tiền của bạn và biến mất, để lại cho bạn các tệp được mã hóa và ví của bạn trống rỗng.

Giải mã các tập tin bằng các công cụ đặc biệt

Biến thể ransomware từ mỗi “gia đình” là duy nhất, và yêu cầu một công cụ giải mã đặc biệt. STOP / Djvu ransomware, Ví dụ như, có thể được giải mã bằng một công cụ Emsisoft đặc biệt – STOPDecrypter; REvil ransomware mật mã – bởi Bitdefender decryptor. Nó miễn phí nhưng không đảm bảo cho bạn về khả năng giải mã tệp. Vẫn, Không thể giải mã mật mã được sử dụng bởi ransomware ở mức năng lượng hiện tại của PC. Các công cụ này cung cấp cho bạn khả năng cố gắng giải mã các tệp của bạn bằng các khóa giải mã bị rò rỉ từ các nạn nhân khác.

Giao diện Emsisoft Decrypter

Giao diện của Emsisoft Decrypter

Khi bạn đang trả tiền để giải mã các tệp của mình, bạn nhận được một khóa giải mã không công khai từ tin tặc. Vì loại phần mềm độc hại này thường được tạo ra bởi các chuyên gia, họ sẽ cung cấp cho bạn khóa giải mã này khi họ bắt đầu bán phần mềm của mình. Mã mà tin tặc sử dụng để tạo vi-rút thường không được công khai, và có thể khó xác định.

Cách ngăn chặn tiêm ransomware?

Cách quan trọng nhất để tránh lây nhiễm ransomware là có một chương trình chống vi-rút đáng tin cậy. Phần mềm chống vi-rút sẽ phát hiện các vi-rút đã lây nhiễm vào máy tính của bạn, dọn dẹp chúng và cập nhật các định nghĩa vi rút.

Chỉ các chương trình chống vi-rút mới có thể phát hiện và loại bỏ loại phần mềm độc hại này. Nếu bạn có một chương trình chống vi-rút thông thường, bạn có thể làm theo bước đầu tiên và cài đặt phiên bản miễn phí. Các phiên bản trả phí của chương trình cho phép bạn sử dụng chúng trên nhiều máy tính, vì vậy chúng sẽ hữu ích hơn.

Bên cạnh việc có một công cụ bảo mật, bạn cần tuân theo các quy tắc bảo mật cơ bản. Đừng mở các tệp đính kèm vào email, và không bao giờ bật macro trong Microsoft Office2. Tránh bất kỳ liên kết đáng ngờ nào trên Internet, đặc biệt là tại nơi làm việc – ngoài việc bị trừng phạt vì sự trì hoãn, bạn cũng có thể kích hoạt cuộc tấn công ransomware.

Macro MS Office

Bạn nên làm gì nếu phát hiện nhiễm ransomware?

Nói chung, bất kể bạn cố gắng thế nào để tránh lây nhiễm ransomware, cuối cùng bạn có thể bị nhiễm bệnh. Đầu tiên, tìm kiếm tệp readme với hướng dẫn giải mã dữ liệu. Đừng vội trả tiền – thông tin trong readme là cần thiết cho một mục đích khác. Tìm kiếm trên trang web của chúng tôi để biết hướng dẫn loại bỏ biến thể ransomware của bạn – nó được công nhận là “.[sự mở rộng] ransomware.

Sau khi loại bỏ ransomware, bạn cần báo cáo trường hợp của mình cho cơ quan thực thi pháp luật địa phương điều tra tội phạm mạng. Có một quy định của pháp luật rằng một pháp nhân phải hoàn trả tiền cho nạn nhân của việc lây nhiễm ransomware. Đây là danh sách các biện pháp thực thi luật chống tội phạm mạng ở các quốc gia khác nhau:

Cảnh sát – Estonia
Bộ Nội vụ – Croatia
cảnh sát viên – Ailen
Phòng giam tội phạm mạng – Ấn Độ
Cảnh sát mạng – Iran
Cảnh sát viên – nước Bỉ
CyberCrime – Bungari
Cảnh sát liên bang – Brazil
cảnh sát viên – Áo
ACSC – Châu Úc
Cảnh sát Scotland – Scotland
Lực lượng cảnh sát Singapore – Singapore
IC3 – Hoa Kỳ
Cảnh sát – Thụy Điển
Cảnh sát viên – Slovenia
Bộ Nội vụ – Xlô-va-ki-a
Cơ quan cảnh sát quốc gia – Nam Triều Tiên
Cảnh sát mạng – Ukraine
Cảnh sát quốc gia – Tây Ban Nha
Trung tâm An ninh mạng – Canada
Dự án Nomoreransom – Người israel
Cảnh sát tiểu bang – Nước Ý
Dự án tội phạm mạng – Nhật Bản
Cảnh sát viên – Latvia
ePolicija – Lithuania
Cảnh sát viên – Luxembourg
Cảnh sát viên – Malta
Thực thi pháp luật – nước Hà Lan
Cảnh sát viên – New Zealand
Cảnh sát viên – Hungary
Cảnh sát Hồng Kông – Hồng Kông
Cảnh sát Hellenic – Hy Lạp
cảnh sát viên – nước Đức
Cảnh sát viên – Phần Lan
Bộ Nội vụ – Nước pháp
Hành động gian lận – Nước Anh
Cảnh sát viên – Đan mạch
Cảnh sát viên – Cộng hòa Séc
Cảnh sát tội phạm mạng – Síp
Bộ Nội vụ – Nga

Làm thế nào để loại bỏ ransomware?

Ransomware không dễ loại bỏ, vì nó có rất nhiều tính năng cung cấp cho nó tính bền vững đáng kể. Phần lớn các biến thể ransomware có thể chặn cài đặt phần mềm chống phần mềm độc hại. Khác, đặc biệt là những người được định hướng vào cá nhân, thậm chí mang theo các tiện ích dọn dẹp cho phép vi rút xóa các chương trình chống vi rút hiện tại. Nói chung, loại vi-rút đó thường chặn quyền truy cập vào các trang web nơi bạn có thể tìm thấy hướng dẫn loại bỏ hoặc công cụ giải mã. Để tránh trường hợp mọi lời khuyên đều vô ích vì không mang lại hiệu quả, Tôi khuyên bạn nên khởi động PC của mình vào Chế độ An toàn với Kết nối mạng.

Khởi động lại Windows của bạn ở Chế độ An toàn với Kết nối mạng

Đừng sợ cái tên của nó – nó chỉ là một chế độ Windows cụ thể3. Trong chế độ này, hệ thống của bạn không khởi chạy tất cả các ứng dụng khởi động, và phần lớn các dịch vụ. Vì thế, ransomware sẽ không thể ngăn chặn nỗ lực của bạn để loại bỏ nó. Nhấn nút Bắt đầu, sau đó Power, và chọn Khởi động lại trong khi giữ nút Shift trên bàn phím của bạn. Điều đó sẽ bật chế độ Khắc phục sự cố.

Khởi động lại PC ở Chế độ An toàn

Sau khi khởi động vào màn hình Khắc phục sự cố, pic the Troubleshoot -> Advanced options -> Startup Settings. Ở đó, bạn cần nhấn phím trên bàn phím tương ứng với số tùy chọn Chế độ An toàn với Mạng. Nó khác nhau từ phiên bản Windows này sang phiên bản Windows khác, vì vậy tôi không thể dự đoán nó sẽ là cái nào trong trường hợp của bạn.

Khởi động lại vào Chế độ An toàn với Kết nối mạng

Hiện nay, khi máy tính được khởi chạy mà không có bất kỳ phần mềm độc hại nào chạy trong nền, bạn rất tốt để tải xuống công cụ loại bỏ. Lựa chọn của tôi để loại bỏ ransomware là GridinSoft Anti-Malware. Công cụ chống vi-rút đó có thể đối phó với ransomware trong ít hơn 10 từ phút, và khôi phục các yếu tố hệ thống mà phần mềm độc hại đã thay đổi trong quá trình hoạt động của nó.

Tải xuống và cài đặt GridinSoft Anti-Malware. Sau khi cài đặt, bạn có thể kích hoạt thời gian dùng thử 6 ngày miễn phí, trong đó tất cả các chức năng của một chương trình được cấp phép sẽ có sẵn cho bạn. Chỉ định email của bạn và kiểm tra nó để tìm khóa kích hoạt.

Khi bạn kích hoạt bản dùng thử miễn phí, khởi chạy toàn bộ quét. Nó sẽ kiểm tra từng góc trong hệ thống của bạn, và chắc chắn sẽ phát hiện ransomware.

Quét GridinSoft Anti-Malware

Khi quá trình quét kết thúc, nhấp vào nút Dọn dẹp để loại bỏ vi-rút khỏi PC của bạn. Nó sẽ mất ít hơn 10 giây.

Dọn dẹp ngay bây giờ GridinSoft Anti-Malware

  1. Đọc thêm về các lỗ hổng.
  2. Về khai thác trong macro Microsoft Office.
  3. Hướng dẫn chính thức của Microsoft lúc khởi động vào Chế độ an toàn