Virus mã hóa tống tiền hay còn gọi là Cryptolocker là một chương trình Trojan ransomware và nó truy cập vào tất cả các phiên bản Windows.
Virus mã hóa tống tiền và cách thức hoạt động của nó
Khi virus mã hóa tống tiền được cài đặt trên máy tính của bạn, nó sẽ tạo ra môt cách ngẫu nhiên tên thực thi trong thư mục %AppData% hoặc %LocalAppData%. Thực thi này sẽ được đưa ra và bắt đầu quét tất cả các ký tự ổ đĩa trên máy tính của bạn cho các tập tin dữ liệu để mã hóa.
Tìm kiếm CryptoLocker cho các tập tin với phần mở rộng tập tin nhất định để mã hóa. Các tập tin nó mã hóa bao gồm các tài liệu quan trọng và các file như .doc, .docx, .xls, .pdf, vv… Khi các tập tin được phát hiện, virus rút sẽ nối thêm một tập tin mở rộng mới 7z.encrypted cho tên tập tin.
Trong khi mã hóa các tập tin, ransomware cũng tạo ra một Decrypt_instructions.txt để chuộc các tập tin văn bản ở trong mỗi thư mục mà tập tin đã bị mã hóa. Các ransomware cũng sẽ thay đổi hình nền desktop Windows.
Cả hình nền và văn bản khoản tiền chuộc sẽ chứa các thông tin tương tự về cách truy cập các trang web để thanh toán và nhận các tập tin của bạn trở lại. Khi bạn đi đến URL được liệt kê trong văn bản chuộc tiền bạn sẽ được đưa đến một trang web TOR – nơi bạn có thể tìm số tiền phải trả và làm thế nào để thực hiện thanh toán.
Crytolocker sẽ chiếm quyền điều khiển mở rộng .exe để khi bạn khởi động một thực thi nó sẽ cố gắng xoá các bản sao Volume Shadow trên các máy tính bị ảnh hưởng.
Khi nó hoàn tất việc má hóa dữ liệu các tập tin nó sẽ hiển thị màn hình đòi tiền chuộc(khoảng 499USD) và nó cũng sẽ thông báo bạn phải trả tiền chuộc trong vòng 96 giờ hoặc khóa mã hóa tin sẽ bị phá hủy trên máy chủ.
Lưu ý: Nếu bạn không có kế hoạch trả tiền chuộc và muốn cố gắng để khôi phục tập tin thì bạn có thể làm theo các hướng dẫn dưới đây. Nhưng quá trình gỡ bỏ có nguy cơ bị mất các tập tin vì không thể đảm bảo rằng bạn sẽ phục hồi lại được. Các file có thể bị tổn hại vĩnh viễn khi cố gắng loại bỏ chúng hoặc khôi phục lại các tài liệu được mã hóa.
Phần mềm Malwarebytes có thể phát hiện và loại bỏ virus này, nhưng chúng lại không thể phục hồi được các tập tin mã hóa, do bản chất của việc mã hóa này đòi hỏi cần có một khóa riêng để giải mã.
Loại bỏ virus tống tiền mã hóa dữ liệu với phần mềm Malwarebytes Anti-Malware miễn phí
Malwarebytes Anti-Malware sử dụng công nghệ hàng đầu để phát hiện và loại bỏ tất cả các dấu vết của phần mềm độc hại bao gồm cả worm, Trojan, rootkit, Rogue, dialers, spyware, vv… Và nên chạy nó bên cạnh phần mềm chống virus mà không có xung đột.
Bước 1: sau khi tải về, đóng tất cả các chương trình, sau đó nhấn chuột vào biểu tượng trên máy tính để bắt đầu cài đặt Malwarebytes Anti-Malware.
Bước 2: sau khi cài đặt xong. Để bắt đầu hệ thống quét bạn có thể click vào Scan Now.
Bước 3: quá trình quét hoàn tất, bạn sẽ được trình bày dưới một màn hình hiển thị các tập tin đã bị nhiễm virus. Để loại bỏ các chương trình độc hại nhấp vào Remove Selected(Các file bị nhiễm virus tìm thấy có thể khác với những gì thể hiện trong hình ảnh).
Malwarebytes Anti-Malware sẽ cách ly tất cả các tập tin độc hại và khóa tài khoản mà nó đã tìm thấy. Vì vậy bạn nên bấm Yes để khởi động lại máy tính khi thấy thông báo như sau:
Cách giải mã Virus mã hóa tống tiền
Hiện tại, tính đến thời điểm này thì chưa có cách nào để giải mã các tập tin bị mã hóa. Virus tống tiền là rất nguy hiểm do cách mã hóa các tập tin của người sử dụng. Nó sử dụng AES-265 và phương pháp mã hóa RSA để đảm bảo rằng người dùng bị ảnh hưởng không có sự lựa chọn nào ngoài việc trả tiền lấy khóa riêng để giải mã. Khóa công khai RSA chỉ có thể được giải mã với khóa riêng tương ứng.
Hãy luôn có kế hoạch sao lưu dữ liệu thường xuyên để tránh mất đi những dữ liệu quan trọng.