Hôm nay nhận được một cuộc gọi của khách hàng hỏi về cách cứu dữ liệu bị nhiễm Virus tống tiền CTB-locker. Mình cấp tốc viết bài này mong là anh em nào gặp sẽ xử lý được.
Ngày đăng: 26-10-2015
30,181 lượt xem
HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER
Hoạt động của Virus là nhúng một đoạn mã độc thông qua quá trình download sofware, mở một email lạ có kèm file nén dạng zip hoặ rar.. thậm chí email từ địa chỉ của một người quen của chúng ta ( trường hợp máy người đó đã bị nhiễm mã độc CrytoLocker). Vì vậy xin anh em cẩn thận khi download các chương trình cho miễn phí trên mạng như các chương trình tự nhận driver, chương trình cứu dữ liệu, các đoạn mã code web hay code phần mềm, chương trình dọn dẹp máy tính... hoặc khi nhận một email có nội dung ngôn ngữ nước ngoài, thông báo trúng giải thưởng... Khi máy chúng ta bị nhiễm chúng ta sẽ nhận được bảng thông thông báo như sau :
Nhớ là không có logo của Phước Lợi Group và địa chỉ web cuudulieuocung.vn đâu nha! Mai mốt tự nhiên có tin đồn Virus này do PLG tống tiền chắc chết tui luôn, hì hì !
Lúc bạn bị nhiễm loại Virus này thì các file dữ liệu như Word, Excel, PDF của bạn sẽ bị mã hóa. Rồi một email gởi đến cho bạn báo giá khoảng 1500USD để bạn có thể được mã hóa dữ liệu mình trở lại. Trên thực tế có 2 dạng mã hóa của Virus, ban đầu nó sẽ xóa dữ liệu của chúng ta, sau đó đưa ra những tên file và đường dẫn là những file bị mã hóa. Trường hợp này chúng ta có thể dùng các chương trình phục hồi dữ liệu bị xóa để lấy lại được ( mình sẽ hướng dẫn phần này sau vì bây giờ bận quá). Nhưng với những biến thể về sau thì khó khăn vô cùng. Bởi lẽ virus này sẽ chuyển dữ liệu của chúng ta về server của chúng rồi mới để lại các file rác như dạng mã hóa, như vậy nếu may mắn khi chúng chuyển dữ liệu mà vẫn còn để lại dấu vết thì với phần mềm chuyên dụng hơn chúng ta cũng có thể phục hồi lại được, nhưng nếu không còn dấu vết thì chúng ta đành pó tay. Hiện nay Bkav đã phát hành tool quét tìm mã độc này. Các bạn download tại đây ! Nếu server bị lỗi các bạn có thể download tại địa chỉ : www.bkav.com.vn/download/BkavRS.exe .Sau khi download về chúng ta không cần cài đặt mà chạy ngay. Giao diện như hình sau :
HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER
Lẽ đương nhiên là tool này chỉ giúp bạn quét tìm xem máy mình có nhiễm mã độc của Virus tống tiền này hay không và diệt nó thôi chứ không có giúp bạn lấy lại dữ liệu. Trong trường hợp dữ liệu bạn quan trọng xin mang đến cho chúng tôi kiểm tra xem nó ở trong dạng nào và chúng tôi sẽ phục hồi lại dữ liệu cho các bạn.
HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER
Thông báo khẩn : Cho đến thời điểm bạn đọc được thông báo này thì biến thể của mã độc CrytoLocker đã phát triển đến mức không lường trước được. Hiện nay nhiều đơn vị trên toàn thế giới và trong nước Việt Nam của chúng ta đã trở thành nạn nhân của nó. Hiện nay nó không xóa, không chuyển về server mà nó đã phát triển một đoạn code mã hóa hoàn toàn dữ liệu của bạn và chưa có cách nào để có thể mã hóa lấy lại được dữ liệu. Hiện tại bạn chỉ có thể chờ đợi các hacker mũ trắng ra tay, còn không thì bạn chuyển tiền như hướng dẫn email để nhận được key mã hóa, nhưng điều này không có gì là đảm bảo, có khi "tiền mất mà tật vẫn mang". Nếu bạn thật sự đang có dữ liệu quan trọng tôi chân thành khuyên bạn hãy sao lưu nó vào một hoặc 2 thiết bị lưu trữ và cất giữ nó vào một chổ an toàn, đây là cảnh báo đã ở cấp độ cao trên toàn thế giới. Và điều lưu ý nữa là hãy điện thoại cho tất cả người mình quen biết để nhắc nhở họ sao lưu dữ liệu quan trọng của mình. Cho đến bây giờ có vài ý tưởng về cách phục hồi dữ liệu trở lại nhưng dường như là vô vọng với biến thể mới của nó, nếu tính năng System Restore có bật trên ổ cứng của bạn thì hãy cố gắng phục hồi trở lại với bản backup gần nhất. Đừng bao giờ trả tiền chuộc vì có thể nói chưa ai may mắn được những kẻ cơ hội này đối xử tốt cả. Mình sẽ cố gắng cập nhật thường xuyên những gì mình tìm hiểu được. Sau đây là một gợi ý nữa. nếu bạn đã bị nhiễm mã độc này. Hãy coppy key của bạn và kiểm tra xem Kaspersky có thể có mã mở khóa cho bạn, mặc dù tỉ lệ rất thấp nhưng biết đâu bạn là người may mắn :
Link kiểm tra key locker của Kaspersky
Sáng nay mình đã đến một công ty quen bị nhiễm, đây là hình ảnh thông báo mới nhất của nó :
Và xin thưa là pó tay với dữ liệu nhé! Thấy đó nhưng không làm gì được.
HÃY QUÉT MÁY TÍNH CỦA MÌNH ĐỂ KHỎI PHẢI CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER
Thật tình mà nói ngay từ khi virus phát tán các trang web nước ngoài cũng đã rộ lên những thông tin về cách cứu dữ liệu các file bị mã hóa, lúc đó mình đã tìm cách thử nhưng thành công hầu như rất ít bởi lẽ điều kiện có thể cứu được là phục hồi lại file bịvirus xóa nhưng với biến thể virus hiện tại thì nó đã ghi đè lên chính file bị xóa hoặc mã hóa chính file đó luôn, điều kiện thứ 2 là bạn có chỉnh hệ thống ở chế độ sao lưu ( system restore ) nhưng hầu như mọi máy tính đều tắt chế độ này nên chúng ta không có 1 bản sao lưu nào để phục hồi, điều kiện thứ 3 là có một bản nháp của file dữ liệu trước đó, nhưng từ lúc virus nhiễm vào máy cho đến lúc nó bộc phát là một khoảng thời gian dài do vậy gần như các file rác tạm (.tmp) này đều bị mất. Lẽ đương nhiên vẫn có một số máy có còn may mắn lọt vào 1 trong các điều kiện đó, và như vậy nên vẫn còn khoảng 10% để gọi là còn nước còn tát. Tuy biết các phương pháp này từ lâu nhưng mình đã thử và chưa khả quan cho lắm nên mình mới nói là vẫn chưa thể giải mã được. Đôi khi mình làm không chắc ăn mà để khách hàng mang máy từ xa đến thì mình áy náy lắm. Vì thế có anh ở Bình Dương, Đồng Nai và các tỉnh miền tây mình đều từ chối. Tuy vậy nếu anh em nào ở TP. HCM nếu muốn mình kiểm tra thử thì cứ mang đến cho mình, mình sẽ cố gắng hết sức. Xin lưu ý là điện thoại trước để có thể mình tư vấn kiểm tra tại chổ trước. Cảm ơn các bạn!
HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER
Nhân tiện mình tặng các bạn film hướng dẫn cách làm luôn, lẽ dĩ nhiên là nếu bạn may mắn : Link
Và cả luôn phần mềm đây : Link
Soft cứu dữ liệu file bị xóa : pass mở file nén là : cuudulieuocung.vn
GetDataBack-for-FAT-and-NTFS-v4.0.0.1-Portable
GetDataBack-FAT-NTFS-v4.32-with-Key
Get-Data-Back-for-NTFS-FAT.v4.22.(x32-x64).en
File excel mẫu đã bị mã hóa, yên tâm không còn virus mà chỉ là bị mã hóa thôi : Link
Các bạn thân mến! Cảm ơn Chúa có nhiều anh em Hacker mũ trắng quyết định ra tay nghiên cứu cách giải mã file bị nhiễm virus tống tiền. Vì thế mong các anh em gần xa ủng hộ. Nếu ai đang có mẫu virus ( file bị nhiễm) hoặc email mà khi bạn click vô link thì máy bị nhiễm, xin vui lòng gởi cho chúng tôi xin mẫu. Có 2 cách, cách thứ 1 : vào link http://mega.nz đăng nhập với email cuudulieuocung.vn@gmail.com password la cuudulieu sau do upload file mẫu vào thư mục mẫu-virus mình đã tạo, sau đó email cho mình biết để mình chuyển file cho các anh em hacker mũ trắng ra tay giúp đỡ. Cách 2 là forward trực tiếp email virus sang cuudulieuocung.vn@gmail.com nhớ ghi rõ trong tiêu đề là mẫu virus để mình biết chứ thôi mình bị nó xơi luôn là tiêu. Cảm ơn tất cả các bạn, mong rằng mọi cố gắng của chúng ta sẽ có kết quả tốt.
Thưa các bạn! Tin mới nhất là cảnh sát Hà Lan đã bắt được một nhóm tội phạm tống tiền bằng phương pháp mã hóa dữ liệu Bitcryptor, họ đã thu thập được gần 20.000 key mã hóa và đã cung cấp cho các đơn vị viết tool giải mã như Kaspersky, Norton... Tuy nhiên có đến hàng ngàn tổ chức tội phạm như vậy cho nên có vô số biến thể của nó, việc dùng tool giải mã nếu thành công thì bạn là người may mắn trong số hàng triệu nạn nhân ( và có thể nói có hàng tỉ mã khóa khác nhau, không ai giống ai cả). Hiện nay đã có một số nạn nhân chuyển tiền cho các tổ chức tội phạm này vì dữ liệu quá quan trọng nên đành bấm bụng làm liều. Cũng có trường hợp được trả lại key ( vì bọn chúng cũng phải làm như vậy để thêm lòng tin cho mọi người) nhưng càng như vậy chúng càng thích thú và càng tung hoành ngang ngược hơn nữa. Không chừng việc bạn làm là đang tiếp trợ cho các tổ chức khủng bố nữa đó! Phương cách tốt nhất là bạn hãy sao lưu dữ liệu của mình trước khi gọi là quá muộn! Không nên mở một email lạ, thậm chí email từ người quen nhưng nội dung khác lạ, hãy điện thoại hỏi lại người quen xem gởi cái gì cho mình, các bạn sẽ thấy email đó là do virus tự gởi. Cho đến thời điểm này số tiền chúng khai báo khi cảnh sát bắt được là trên 300 triệu USD ( chỉ là một nhóm nhỏ ) đây quả là một cơ hội cho bọn xấu mà thiết nghĩ nó sẽ lại càng phát triển tin vi hơn!
HƯỚNG DẪN CỨU DỮ LIỆU BỊ NHIỄM VIRUS TỐNG TIỀN CTB-LOCKER
Hiện nay riêng Phước Lợi Group thì không tán thành phương pháp chuyển tiền cho bọn chúng nên vẫn chưa giúp các bạn được, chúng tôi với nhiều anh em hacker mũ trắng làm việc ngày đêm, dù biết rằng trình độ của mình là hạn hẹp chẳng bằng ai, song chúng tôi vẫn chọn cách làm gọi là đúng nhất dù là đang đi trong sự dò dẫm mà thôi. Kính xin các bạn gởi mẫu thật nhiều cho chúng tôi bởi vì có quá nhiều biến thể. Cảm ơn các bạn! Nếu anh em nào bị nhiễm mà dữ liệu không quan trọng thì xin đừng cài máy lại, xin đừng diệt virus mà hãy liên hệ với chúng tôi để cho chúng tôi những mẫu virus nguyên vẹn. Đó cũng là một nghĩa cử cao đẹp hy sinh vì đại nghĩa! Cảm ơn các bạn!
Nếu có Anh Chị hay Bác nào lớn tuổi đọc bài viết này xin thứ lỗi cho Lợi vì cách viết xưng là "mình" và gọi là "các bạn". Xin cảm ơn!
Nếu anh chị em nào đọc thấy hay thì share facebook, google + giúp mình.
Vậy là mình có động cơ để viết tiếp. Cảm ơn các bạn!
Cảm tạ Chúa !
Gửi bình luận của bạn