Hướng dẫn cứu dữ liệu bị nhiễm Virus tống tiền CTB-locker

Hôm nay nhận được một cuộc gọi của khách hàng hỏi về cách cứu dữ liệu bị nhiễm Virus tống tiền CTB-locker. Mình cấp tốc viết bài này mong là anh em nào gặp sẽ xử lý được.

Ngày đăng: 26-10-2015

29,738 lượt xem

HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER

Hoạt động của Virus là nhúng một đoạn mã độc thông qua quá trình download sofware, mở một email lạ có kèm file nén dạng zip hoặ rar.. thậm chí email từ địa chỉ của một người quen của chúng ta ( trường hợp máy người đó đã bị nhiễm mã độc CrytoLocker). Vì vậy xin anh em cẩn thận khi download các chương trình cho miễn phí trên mạng như các chương trình tự nhận driver, chương trình cứu dữ liệu, các đoạn mã code web hay code phần mềm, chương trình dọn dẹp máy tính... hoặc khi nhận một email có nội dung ngôn ngữ nước ngoài, thông báo trúng giải thưởng... Khi máy chúng ta bị nhiễm chúng ta sẽ nhận được bảng thông thông báo như sau :

Nhớ là không có logo của Phước Lợi Group và địa chỉ web cuudulieuocung.vn đâu nha! Mai mốt tự nhiên có tin đồn Virus này do PLG tống tiền chắc chết tui luôn, hì hì !
Lúc bạn bị nhiễm loại Virus này thì các file dữ liệu như Word, Excel, PDF của bạn sẽ bị mã hóa. Rồi một email gởi đến cho bạn báo giá khoảng 1500USD để bạn có thể được mã hóa dữ liệu mình trở lại. Trên thực tế có 2 dạng mã hóa của Virus, ban đầu nó sẽ xóa dữ liệu của chúng ta, sau đó đưa ra những tên file và đường dẫn là những file bị mã hóa. Trường hợp này chúng ta có thể dùng các chương trình phục hồi dữ liệu bị xóa để lấy lại được ( mình sẽ hướng dẫn phần này sau vì bây giờ bận quá). Nhưng với những biến thể về sau thì khó khăn vô cùng. Bởi lẽ virus này sẽ chuyển dữ liệu của chúng ta về server của chúng rồi mới để lại các file rác như dạng mã hóa, như vậy nếu may mắn khi chúng chuyển dữ liệu mà vẫn còn để lại dấu vết thì với phần mềm chuyên dụng hơn chúng ta cũng có thể phục hồi lại được, nhưng nếu không còn dấu vết thì chúng ta đành pó tay. Hiện nay Bkav đã phát hành tool quét tìm mã độc này. Các bạn download tại đây !  Nếu server bị lỗi các bạn có thể download tại địa chỉ : www.bkav.com.vn/download/BkavRS.exe .Sau khi download về chúng ta không cần cài đặt mà chạy ngay. Giao diện như hình sau : 


 

HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER

Lẽ đương nhiên là tool này chỉ giúp bạn quét tìm xem máy mình có nhiễm mã độc của Virus tống tiền này hay không và diệt nó thôi chứ không có giúp bạn lấy lại dữ liệu. Trong trường hợp dữ liệu bạn quan trọng xin mang đến cho chúng tôi kiểm tra xem nó ở trong dạng nào và chúng tôi sẽ phục hồi lại dữ liệu cho các bạn.

HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER

Thông báo khẩn :   Cho đến thời điểm bạn đọc được thông báo này thì biến thể của mã độc CrytoLocker đã phát triển đến mức không lường trước được. Hiện nay nhiều đơn vị trên toàn thế giới và trong nước Việt Nam của chúng ta đã trở thành nạn nhân của nó. Hiện nay nó không xóa, không chuyển về server mà nó đã phát triển một đoạn code mã hóa hoàn toàn dữ liệu của bạn và chưa có cách nào để có thể mã hóa lấy lại được dữ liệu. Hiện tại bạn chỉ có thể chờ đợi các hacker mũ trắng ra tay, còn không thì bạn chuyển tiền như hướng dẫn email để nhận được key mã hóa, nhưng điều này không có gì là đảm bảo, có khi "tiền mất mà tật vẫn mang". Nếu bạn thật sự đang có dữ liệu quan trọng tôi chân thành khuyên bạn hãy sao lưu nó vào một hoặc 2 thiết bị lưu trữ và cất giữ nó vào một chổ an toàn, đây là cảnh báo đã ở cấp độ cao trên toàn thế giới. Và điều lưu ý nữa là hãy điện thoại cho tất cả người mình quen biết để nhắc nhở họ sao lưu dữ liệu quan trọng của mình. Cho đến bây giờ có vài ý tưởng về cách phục hồi dữ liệu trở lại nhưng dường như là vô vọng với biến thể mới của nó, nếu tính năng System Restore có bật trên ổ cứng của bạn thì hãy cố gắng phục hồi trở lại với bản backup gần nhất. Đừng bao giờ trả tiền chuộc vì có thể nói chưa ai may mắn được những kẻ cơ hội này đối xử tốt cả. Mình sẽ cố gắng cập nhật thường xuyên những gì mình tìm hiểu được. Sau đây là một gợi ý nữa. nếu bạn đã bị nhiễm mã độc này. Hãy coppy key của bạn và kiểm tra xem Kaspersky có thể có mã mở khóa cho bạn, mặc dù tỉ lệ rất thấp nhưng biết đâu bạn là người may mắn : 

Link kiểm tra key locker của Kaspersky

Sáng nay mình đã đến một công ty quen bị nhiễm, đây là hình ảnh thông báo mới nhất của nó :

Và xin thưa là pó tay với dữ liệu nhé! Thấy đó nhưng không làm gì được.

HÃY QUÉT MÁY TÍNH CỦA MÌNH ĐỂ KHỎI PHẢI CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER

Thật tình mà nói ngay từ khi virus phát tán các trang web nước ngoài cũng đã rộ lên những thông tin về cách cứu dữ liệu các file bị mã hóa, lúc đó mình đã tìm cách thử nhưng thành công hầu như rất ít bởi lẽ điều kiện có thể cứu được là phục hồi lại file bịvirus  xóa nhưng với biến thể virus hiện tại thì nó đã ghi đè lên chính file bị xóa hoặc mã hóa chính file đó luôn, điều kiện thứ 2 là bạn có chỉnh hệ thống ở chế độ sao lưu ( system restore ) nhưng hầu như mọi máy tính đều tắt chế độ này nên chúng ta không có 1 bản sao lưu nào để phục hồi, điều kiện thứ 3 là có một bản nháp của file dữ liệu trước đó, nhưng từ lúc virus nhiễm vào máy cho đến lúc nó bộc phát là một khoảng thời gian dài do vậy gần như các file rác tạm (.tmp) này đều bị mất. Lẽ đương nhiên vẫn có một số máy có còn may mắn lọt vào 1 trong các điều kiện đó, và như vậy nên vẫn còn khoảng 10% để gọi là còn nước còn tát. Tuy biết các phương pháp này từ lâu nhưng mình đã thử và chưa khả quan cho lắm nên mình mới nói là vẫn chưa thể giải mã được. Đôi khi mình làm không chắc ăn mà để khách hàng mang máy từ xa đến thì mình áy náy lắm. Vì thế có anh ở Bình Dương, Đồng Nai và các tỉnh miền tây mình đều từ chối. Tuy vậy nếu anh em nào ở TP. HCM nếu muốn mình kiểm tra thử thì cứ mang đến cho mình, mình sẽ cố gắng hết sức. Xin lưu ý là điện thoại trước để có thể mình tư vấn kiểm tra tại chổ trước. Cảm ơn các bạn!

HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER

Nhân tiện mình tặng các bạn film hướng dẫn cách làm luôn, lẽ dĩ nhiên là nếu bạn may mắn : Link

Và cả luôn phần mềm đây : Link

Soft cứu dữ liệu file bị xóa : pass mở file nén là : cuudulieuocung.vn

GetDataBack-for-FAT-and-NTFS-v4.0.0.1-Portable

 GetDataBack-FAT-NTFS-v4.32-with-Key

Get-Data-Back-for-NTFS-FAT.v4.22.(x32-x64).en

File excel mẫu đã bị mã hóa, yên tâm không còn virus mà chỉ là bị mã hóa thôi : Link

Các bạn thân mến! Cảm ơn Chúa có nhiều anh em Hacker mũ trắng quyết định ra tay nghiên cứu cách giải mã file bị nhiễm virus tống tiền. Vì thế mong các anh em gần xa ủng hộ. Nếu ai đang có mẫu virus ( file bị nhiễm) hoặc email mà khi bạn click vô link thì máy bị nhiễm, xin vui lòng gởi cho chúng tôi xin mẫu. Có 2 cách, cách thứ 1 : vào link http://mega.nz đăng nhập với email cuudulieuocung.vn@gmail.com password la cuudulieu sau do upload file mẫu vào thư mục mẫu-virus mình đã tạo, sau đó email cho mình biết để mình chuyển file cho các anh em hacker mũ trắng ra tay giúp đỡ. Cách 2 là forward trực tiếp email virus sang cuudulieuocung.vn@gmail.com nhớ ghi rõ trong tiêu đề là mẫu virus để mình biết chứ thôi mình bị nó xơi luôn là tiêu. Cảm ơn tất cả các bạn, mong rằng mọi cố gắng của chúng ta sẽ có kết quả tốt.

Thưa các bạn! Tin mới nhất là cảnh sát Hà Lan đã bắt được một nhóm tội phạm tống tiền bằng phương pháp mã hóa dữ liệu Bitcryptor, họ đã thu thập được gần 20.000 key mã hóa và đã cung cấp cho các đơn vị viết tool giải mã như Kaspersky, Norton... Tuy nhiên có đến hàng ngàn tổ chức tội phạm như vậy cho nên có vô số biến thể của nó, việc dùng tool giải mã nếu thành công thì bạn là người may mắn trong số hàng triệu nạn nhân ( và có thể nói có hàng tỉ mã khóa khác nhau, không ai giống ai cả). Hiện nay đã có một số nạn nhân chuyển tiền cho các tổ chức tội phạm này vì dữ liệu quá quan trọng nên đành bấm bụng làm liều. Cũng có trường hợp được trả lại key ( vì bọn chúng cũng phải làm như vậy để thêm lòng tin cho mọi người) nhưng càng như vậy chúng càng thích thú và càng tung hoành ngang ngược hơn nữa. Không chừng việc bạn làm là đang tiếp trợ cho các tổ chức khủng bố nữa đó! Phương cách tốt nhất là bạn hãy sao lưu dữ liệu của mình trước khi gọi là quá muộn! Không nên mở một email lạ, thậm chí email từ người quen nhưng nội dung khác lạ, hãy điện thoại hỏi lại người quen xem gởi cái gì cho mình, các bạn sẽ thấy email đó là do virus tự gởi. Cho đến thời điểm này số tiền chúng khai báo khi cảnh sát bắt được là trên 300 triệu USD ( chỉ là một nhóm nhỏ ) đây quả là một cơ hội cho bọn xấu mà thiết nghĩ nó sẽ lại càng phát triển tin vi hơn!

HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER

Hiện nay riêng Phước Lợi Group thì không tán thành phương pháp chuyển tiền cho bọn chúng nên vẫn chưa giúp các bạn được, chúng tôi với nhiều anh em hacker mũ trắng làm việc ngày đêm, dù biết rằng trình độ của mình là hạn hẹp chẳng bằng ai, song chúng tôi vẫn chọn cách làm gọi là đúng nhất dù là đang đi trong sự dò dẫm mà thôi. Kính xin các bạn gởi mẫu thật nhiều cho chúng tôi bởi vì có quá nhiều biến thể. Cảm ơn các bạn! Nếu anh em nào bị nhiễm mà dữ liệu không quan trọng thì xin đừng cài máy lại, xin đừng diệt virus mà hãy liên hệ với chúng tôi để cho chúng tôi những mẫu virus nguyên vẹn. Đó cũng là một nghĩa cử cao đẹp hy sinh vì đại nghĩa! Cảm ơn các bạn!

Nếu có Anh Chị hay Bác nào lớn tuổi đọc bài viết này xin thứ lỗi cho Lợi vì cách viết xưng là "mình" và gọi là "các bạn". Xin cảm ơn! 

Nếu anh chị em nào đọc thấy hay thì share facebook, google + giúp mình.  

Vậy là mình có động cơ để viết tiếp. Cảm ơn các bạn!

Cảm tạ Chúa !

Bình luận (28)

Gửi bình luận của bạn

Captcha
  • trung hieu (26-11-2016) Trả lời
    usb cua minh bi virut doi duoi cac file thanh id-82D5F24D.legioner_seven@aol.com.xtbl lam sao de cuu dau add..
    • Lợi_IT (05-12-2016)
      Rất buồn là chỉ có cách trả tiền chuộc cho bọn tống tiền thì mới cứu lại được bạn ơn, phần này bên mình kkho6ng có làm.
  • Nguyên trong dung (18-09-2016) Trả lời
    Xin chào Máy tính em bị báo lỗi các file bị mã hóa do hacker làm bác nào chỉ em cách khắc phục ko ah
  • Lê Trọng Khánh (09-09-2016) Trả lời
    Xin chào Admin. Hiện tại máy của công ty em bị nhiễm virus zepto( nó bị mã hóa các file world và excel, JPEG thành file có đuôi zepto.. Xin được giúp đỡ.
  • Nguyễn Tú (23-08-2016) Trả lời
    Xin chào Admin. Hiện tại máy của cơ quan bị nhiễm virus zepto( nó bị mã hóa các file world và excel thành file zepto). Mong anh chị giúp đỡ.Xin cảm ơn.
    • Trần Cường (24-08-2016)
      Hiện tại máy mình cũng bị như bạn. dữ liệu vô cùng quan trọng. hiện mình không giám xóa nó đi. mong khôi phục được. mong Admin xem có cách nào khắc phục được nó. thân!!
    • tung (26-08-2016)
      Hiện tại mình cũng đang bị định các định dạng zepto mong được giúp đỡ
  • Nguyễn Thắng (11-07-2016) Trả lời
    Ad cho e hỏi là khoảng tháng trước laptop e bị mã hóa dữ liệu và mất hết hình ảnh và word trong ổ D v h e có thể lấy lại hình và word được không ạ! E cám ơn.
  • Ninh Lê Hoàng (19-05-2016) Trả lời
    Kính gửi anh em bạn bè bị nhiễm virus mã hóa locky, ceber. Mình có biết chút ít không dám múa rìu qua mắt thợ. Nếu bạn nào bị kết bạn FB với mình "moclan201". Nếu mình biết sẽ giúp khôi phục. Dù ít hay nhiều, mình vẫn sẽ cố gắng.
  • Nguyễn Thị Thanh Tuyền (09-05-2016) Trả lời
    Xin chào các bạn, may minh nhiễm virus từ skype làm mã hoá toàn bộ các dữ liệu biến đổi đuôi thành đuôi .cerber , có cách nào khôi phục được ko các bạn, xin các bạn giúp đơ, mình p cần thơ va mình hỏi nhiều chỗ sua máy tính đều ko sưa đc, xin các bạn IT giúp đỡ dùm minh
    • loi_IT (09-05-2016)
      Thực chất cho đến bây giờ chưa có cách nào giải mã được dữ liệu ngoại trừ trả tiền chuộc, mà có khi tiền mất mà dữ liệu cũng không có. Các anh em kỹ thuật lưu ý khi mình chưa làm được và chưa kiểm nghiệm thì xin đừng cung cấp link hướng dẫn không đúng cho mọi người vì như vậy càng làm cho tình hình tồi tệ thêm. Mong rằng các bạn luôn sao lưu dữ liệu của mình trước khi quá muộn!
  • Bích Hồng (03-05-2016) Trả lời
    Tất cả các file trong máy của mình bị nhiễm mã hóa thành file có đuôi là locky. Mong các anh hỗ trợ giúp. Thanks!
  • David Nguyen (28-04-2016) Trả lời
    Chào bạn ! Mình đã gởi mẫu cho bạn qua ://mega.nz bạn hổ trợ giúp. cảm ơn !
  • Vo Hoang Vu (27-04-2016) Trả lời
    Mình bị mã hoa all file thành file cerber xin Pro chỉ cách khắc phục Thanks
    • Hòa (28-04-2016)
      Xin chào các anh em IT của cuudulieuocung máy tính tôi cũng bị nhiễm virus qua Skype ngày 24/6/2016, hiện tại tất cả các file đều bị mã hóa có đuôi .cerber. Hy vọng các anh em IT sớm giả mã được và chia sẻ. Chúng rất biết ơn
    • Minh Tâm (04-05-2016)
      s://www.youtube.com/watch?v=yHfcRAN_0PA
  • Tanhy Phạm (25-04-2016) Trả lời
    Xin chào các bạn. Máy tính của mình bị loại vi rút này nhưng đuôi mã hóa là .cerber. Link bị nhiễm được gửi qua Skype đây (mình gửi cho các bạn hacker mũ trắng tham khảo; bạn nao không biết đừng click nhé, nguy hiểm) ://www.bit.ly/1SDJDE9?profile_image=lebroncarter228 Bây giờ toàn bộ dữ liệu của minh đã bị mã hóa đuôi .cerber hết và không biết làm sao. Hy vọng sớm nhận được tin vui của các bạn.
    • loi_IT (25-04-2016)
      Mỗi ngày, cứ hễ có tin anh em bị Virus mình lại buồn và mong sao sớm có phương cách giải quyết. Nhưng tài sức quá kém cỏi đành đứng nhìn mà thôi!
  • My Nguyễn (02-03-2016) Trả lời
    Máy nhà e cũng dính virus này, file ảnh, word, excel bị mã hóa hết, mọi người hướng dẫn e cách xử lý với ạ, giờ có nên cài lại win hay không? E đang hoang mang quá ạ
  • Le Duy Khang (11-01-2016) Trả lời
    Hy vọng các anh hacker mũ trắng. Mình vẫn đang ngày đêm chờ đợi và tin rằng một ngày gần nhât sẽ được phục hồi dữ liệu..Tks u.
  • Quốc Việt (04-12-2015) Trả lời
    Mr. Loi_IT: thanks anh Mr. Trường: Nếu máy anh chưa cài lại win thì Anh Trường có thể cho em xin số điện thoại được không a? Em muốn xin anh copy loại virus này trực tiếp trên máy anh qua teamviewer. Số đt của em: 098 987 9853
  • Trường (03-12-2015) Trả lời
    máy mình đang bị dính con virus này tất cả dữ liệu (word,excel,hình, video,..) tiêu hết.
    • Cứu+dữ+liệu (03-12-2015)
      Cố gắng đợi các anh Hacker mũ trắng ra tay nhé bạn! Họ đang làm việc ngày đêm đó!
  • Lợi_IT (22-11-2015) Trả lời
    Chào Việt! Mình đã nén và gởi mẫu cho bạn. Nhớ cẩn thận nhé! Cảm ơn bạn!
  • Quốc Việt (21-11-2015) Trả lời
    Chào anh. Bài viết rất có ích. Anh có thể nén và gửi cho em một số con virus mã hóa dữ liệu này không a?Em muốn nghiên cứu sâu về loại này để phòng chống cho mọi người. mail của em là: trinhquocviet0508@gmail.com Thanks & regards anh
  • Lợi_IT (11-11-2015) Trả lời
    Hi bạn! Thành thật chia buồn cùng bạn vì cho đến thời điểm này chưa có ai có thể giải mã được các file đã bị mã hóa, ngoại trừ tác giả của nó nhưng FBI vẫn chưa tìm ra được hung thủ!!! Nếu khi nào có phương pháp giải quyết mình sẽ báo ngay cho bạn!
  • Nguyen Viet Thuan (10-11-2015) Trả lời
    dữ liệu trong usb của mình hầu hết là các file exel bi mã hóa thành .CCC .Có cách nào để khôi phục lại không?
    • Ninh Lê Hoàng (14-11-2015)
      Hiện nay khôi phục được dữ liệu mã hóa .ccc tầm 40% file word, excel đọc tốt 0432123972.

.

 

Tin Hot nhất

Thống kê lượt xem

Tổng truy cập 1,709,116

Đang online4