Lây nhiễm mã độc tống tiền có nghĩa là dữ liệu của bạn đã bị mã hóa hoặc hệ điều hành của bạn đang bị chặn bởi tội phạm mạng. Những tội phạm này thường yêu cầu tiền chuộc để giải mã dữ liệu. Mã độc tống tiền có thể xâm nhập vào một thiết bị theo nhiều cách khác nhau. Các con đường phổ biến nhất bao gồm sự lây nhiễm từ các trang web độc hại, các tiện ích bổ sung không mong muốn trong tệp tải xuống và thư rác. Mục tiêu của các cuộc tấn công bằng mã độc tống tiền bao gồm cả cá nhân và công ty. Việc áp dụng các biện pháp khác nhau để bảo vệ chống lại các cuộc tấn công bằng mã độc tống tiền với sự cảnh giác và phần mềm phù hợp là những bước quan trọng để đi đúng hướng. Một cuộc tấn công bằng mã độc tống tiền có thể dẫn đến việc mất dữ liệu, tốn những khoản tiền lớn hoặc cả hai.
Phát hiện mã độc tống tiền
Làm cách nào để biết máy tính của bạn bị lây nhiễm? Sau đây là một số cách để phát hiện cuộc tấn công bằng mã độc tống tiền:
- Trình quét virus phát cảnh báo – nếu thiết bị có trình quét virus, nó có thể phát hiện sớm việc lây nhiễm mã độc tống tiền, trừ khi nó đã bị bỏ qua.
- Kiểm tra phần mở rộng tập tin – ví dụ, phần mở rộng thông thường của tập tin hình ảnh là ".jpg". Nếu phần mở rộng này đã thay đổi thành một tổ hợp chữ cái lạ thì có thể đã có sự lây nhiễm mã độc tống tiền.
- Thay đổi tên – tên các tập tin có khác với tên mà bạn đã đặt không? Chương trình độc hại thường thay đổi tên tập tin khi mã hóa dữ liệu. Do đó, đây có thể là một manh mối.
- Tăng hoạt động của CPU và ổ đĩa – việc tăng hoạt động của ổ đĩa hoặc bộ xử lý chính có thể chỉ ra rằng mã độc tống tiền đang hoạt động dưới nền.
- Liên lạc mạng đáng ngờ – phần mềm tương tác với tội phạm mạng hoặc với máy chủ của kẻ tấn công có thể dẫn đến liên lạc mạng đáng ngờ.
- Các tập tin được mã hóa – dấu hiệu muộn về hoạt động của mã độc tống tiền là không thể mở được các tập tin.
Cuối cùng, một cửa sổ có chứa một yêu cầu đòi tiền chuộc xác nhận rằng có một vụ lây nhiễm mã độc tống tiền. Phát hiện mối đe dọa càng sớm thì việc chống lại phần mềm độc hại càng dễ dàng hơn. Việc phát hiện sớm sự lây nhiễm Trojan mã hóa có thể giúp xác định loại mã độc tống tiền nào đã lây nhiễm vào thiết bị đầu cuối. Nhiều Trojan tống tiền tự xóa sau khi đã thực hiện việc mã hóa để nạn nhân không thể kiểm tra và giải mã chúng.
Đã xảy ra việc lây nhiễm mã độc tống tiền – bạn có những tùy chọn nào?
Mã độc tống tiền thường được chia thành hai loại: mã độc tống tiền khóa máy và mã độc tống tiền điện tử. Virus mã độc tống tiền khóa máy sẽ khóa toàn bộ màn hình, trong khi mã độc tống tiền điện tử mã hóa các tập tin riêng lẻ. Bất kể loại Trojan mã hóa nào, nạn nhân thường có ba lựa chọn:
- Họ có thể trả tiền chuộc và hy vọng tội phạm mạng giữ lời hứa giải mã dữ liệu.
- Họ có thể thử gỡ bỏ phần mềm độc hại bằng các công cụ có sẵn.
- Họ có thể đặt lại cài đặt gốc cho máy tính..
Loại bỏ Trojan mã hóa và giải mã dữ liệu – cách thực hiện
Cả loại mã độc tống tiền và giai đoạn phát hiện sự lây nhiễm mã độc tống tiền đều có tác động đáng kể đến cuộc chiến chống lại virus. Bạn không thể loại bỏ phần mềm độc hại và khôi phục các tập tin với mọi biến thể của mã độc tống tiền. Sau đây là ba cách để chống lại sự lây nhiễm.
Phát hiện mã độc tống tiền – càng sớm càng tốt!
Nếu phát hiện mã độc tống tiền trước khi xuất hiện yêu cầu tiền chuộc, bạn có lợi thế là có thể xóa phần mềm độc hại. Dữ liệu đã bị mã hóa cho đến thời điểm này vẫn bị mã hóa, nhưng bạn có thể ngăn chặn virus mã độc tống tiền. Phát hiện sớm đồng nghĩa với việc có thể ngăn chặn phần mềm độc hại lây lan sang các thiết bị và tập tin khác.
Nếu bạn sao lưu dữ liệu bên ngoài hoặc trong bộ nhớ đám mây, bạn sẽ có thể khôi phục dữ liệu bị mã hóa của bạn. Nhưng bạn có thể làm gì nếu không có bản sao lưu dữ liệu? Chúng tôi khuyến cáo bạn sử dụng một giải pháp bảo mật Internet đáng tin cậy. Có thể đã có một công cụ giải mã để đối phó với mã độc tống tiền mà bạn là nạn nhân của nó. Bạn cũng có thể truy cập trang web của dự án No More Ransom (Không còn tiền chuộc) Sáng kiến toàn ngành này được phát động nhằm trợ giúp tất cả những nạn nhân của mã độc tống tiền.
Hướng dẫn loại bỏ mã độc tống tiền mã hóa tập tin
Nếu bạn là nạn nhân của cuộc tấn công bằng mã độc tống tiền mã hóa tập tin, bạn có thể làm theo các bước sau để loại bỏ Trojan mã hóa.
Bước 1: Ngắt kết nối internet
Đầu tiên, hãy loại bỏ mọi kết nối, cả ảo lẫn vật lý. Chúng bao gồm các thiết bị không dây và có dây, ổ cứng ngoài, các phương tiện lưu trữ và tài khoản đám mây. Việc này có thể ngăn chặn sự lây lan của mã độc tống tiền trong mạng. Nếu bạn nghi ngờ rằng các khu vực khác đã bị ảnh hưởng, hãy thực hiện các bước sao lưu sau đây cho các khu vực này.
Bước 2: Tiến hành điều tra sử dụng phần mềm bảo mật internet của bạn
Thực hiện quét virus bằng phần mềm bảo mật internet mà bạn đã cài đặt. Việc này giúp bạn xác định các mối đe dọa. Nếu tìm thấy các tập tin nguy hiểm, bạn có thể xóa hoặc cách ly chúng. Bạn có thể sử dụng phần mềm diệt virus để xóa các tập tin độc hại theo cách thủ công hoặc tự động. Việc loại bỏ phần mềm độc hại theo cách thủ công chỉ được khuyến cáo cho những người dùng am hiểu máy tính.
Bước 3: Sử dụng một công cụ giải mã mã độc tống tiền
Nếu mã độc tống tiền lây nhiễm máy tính của bạn và mã hóa dữ liệu, bạn sẽ cần một công cụ giải mã phù hợp để lấy lại quyền truy cập. Tại Kaspersky, chúng tôi liên tục điều tra các loại mã độc tống tiền mới nhất để có thể cung cấp các công cụ giải mã phù hợp nhằm chống lại những cuộc tấn công này.
Bước 4: Khôi phục bản sao lưu của bạn
Nếu bạn đã sao lưu dữ liệu của bạn bên ngoài hoặc trong bộ nhớ đám mây, hãy tạo bản sao lưu dữ liệu chưa bị mã độc tống tiền mã hóa. Nếu bạn không có bản sao lưu nào, việc dọn dẹp và khôi phục máy tính của bạn sẽ khó hơn nhiều. Để tránh tình trạng này, chúng tôi khuyến cáo bạn tạo các bản sao lưu thường xuyên. Nếu bạn có xu hướng quên những việc như vậy, hãy sử dụng dịch vụ sao lưu đám mây tự động hoặc đặt cảnh báo trong lịch để nhắc bạn.
Cách loại bỏ mã độc tống tiền khóa màn hình
Trong trường hợp mã độc tống tiền khóa màn hình, trước tiên, nạn nhân phải đối mặt với thách thức truy cập thực vào phần mềm bảo mật. Khi khởi động máy tính ở chế độ Safe Mode, có khả năng hành động khóa màn hình sẽ không tải được và nạn nhân có thể sử dụng chương trình diệt virus của họ để chống lại phần mềm độc hại.
Trả tiền chuộc – có hay không?
Nói chung, không khuyến cáo trả tiền chuộc. Tương tự như chính sách không đàm phán trong tình huống con tin ngoài đời thực, cũng nên áp dụng biện pháp tương tự khi dữ liệu bị lấy làm con tin. Không khuyến cáo trả tiền chuộc vì không có gì đảm bảo rằng kẻ tống tiền sẽ thực sự thực hiện lời hứa và giải mã dữ liệu. Ngoài ra, việc thanh toán có thể khuyến khích loại tội phạm này phát triển mạnh.
Nếu có kế hoạch trả tiền chuộc, bạn không nên loại bỏ mã độc tống tiền khỏi máy tính của mình. Trên thực tế, tùy thuộc vào loại mã độc tống tiền hoặc kế hoạch giải mã của tội phạm mạng, mã độc tống tiền có thể là cách duy nhất để áp dụng mã giải mã. Việc gỡ bỏ phần mềm quá sớm sẽ khiến mã giải mã – được mua với giá cao – trở thành không sử dụng được. Nhưng nếu bạn thực sự nhận được một mã giải mã và nó hoạt động, bạn cần xóa mã độc tống tiền khỏi thiết bị ngay sau khi dữ liệu đã được giải mã.
Các loại mã độc tống tiền: Cách tiến hành có gì khác biệt?
Có nhiều loại mã độc tống tiền khác nhau, một số loại có thể được gỡ cài đặt chỉ bằng vài cú nhấp chuột. Tuy nhiên, ngược lại, có những biến thể phổ biến của virus phức tạp hơn nhiều và tốn nhiều thời gian hơn để loại bỏ nó.
Có nhiều tùy chọn khác nhau để loại bỏ và giải mã các tập tin bị nhiễm, tùy thuộc vào loại mã độc tống tiền. Không có công cụ giải mã nào có thể áp dụng chung cho tất cả các biến thể khác nhau của mã độc tống tiền.
Những câu hỏi sau đây rất quan trọng khi nói đến việc loại bỏ mã độc tống tiền đúng cách:
- Thiết bị đã bị lây nhiễm loại virus nào?
- Có chương trình giải mã phù hợp nào không và nếu có thì là chương trình nào?
- Virus xâm nhập vào hệ thống bằng cách nào?
Ví dụ, Ryuk có thể đã xâm nhập vào hệ thống thông qua Emotet, điều này nói lên sự khác biệt trong cách giải quyết vấn đề. Nếu là lây nhiễm Petya, Safe Mode là một cách tốt để loại bỏ nó. Bạn có thể tìm hiểu thêm về các biến thể khác nhau của mã độc tống tiền tại đây.
Kết luận
Kể cả với những biện pháp phòng ngừa bảo mật tốt nhất, chúng ta cũng không bao giờ có thể hoàn toàn chắc chắn loại trừ được cuộc tấn công bằng mã độc tống tiền. Trong trường hợp xấu nhất, phần mềm bảo mật Internet tuyệt vời, chẳng hạn như của Kaspersky cùng với sự chuẩn bị tốt và hành động cẩn trọng có thể giúp giảm thiểu hậu quả của một cuộc tấn công. Bằng cách ghi nhớ các dấu hiệu cảnh báo về cuộc tấn công bằng mã độc tống tiền, bạn có thể phát hiện và chống lại sự lây nhiễm ngay từ sớm. Tuy nhiên, kể cả khi bị yêu cầu tiền chuộc, bạn vẫn có các tùy chọn khác nhau và có thể chọn phương án phù hợp tùy theo tình hình cụ thể của bạn. Nhớ rằng việc sao lưu dữ liệu thường xuyên sẽ giúp giảm đáng kể tác động của một cuộc tấn công.
Kaspersky Internet Security đã nhận được hai giải thưởng AV-TEST cho hiệu suất và khả năng bảo vệ tốt nhất dành cho sản phẩm bảo mật internet năm 2021. Trong mọi bài kiểm tra, Kaspersky Internet Security đã thể hiện hiệu suất và khả năng bảo vệ vượt trội trước các mối đe dọa mạng.
Sản phẩm được khuyến cáo:
