CMC Corporation bị tấn công bởi Crypto Ransomware: Mối đe dọa mới xuất hiện (Phần 2)

Các bước xóa bỏ phần mềm tống tiền Crypto24

Khi máy tính bị nhiễm ransomware Crypto24, việc đầu tiên và quan trọng nhất là cách ly thiết bị để ngăn chặn mã độc lây lan sang các thiết bị lưu trữ khác hoặc lan rộng trong mạng nội bộ. Người dùng cần thực hiện theo các bước sau:

Bước 1: Ngắt kết nối Internet ngay lập tức

Ransomware có thể lợi dụng kết nối Internet để lây lan hoặc liên lạc với máy chủ của kẻ tấn công. Có hai cách để ngắt kết nối, cách đơn giản nhất để ngắt kết nối máy tính khỏi internet là rút cáp Ethernet ra khỏi bo mạch chủ. Tuy nhiên, một số thiết bị sử dụng kết nối không dây và đối với một số người dùng (đặc biệt là những người không am hiểu kỹ thuật), việc rút dây có thể gây khó khăn. Vì vậy, có thể thực hiện ngắt kết nối thủ công thông qua Bảng điều khiển (Control Panel) bằng cách: Vào Control Panel; Tìm kiếm và chọn "Network and Sharing Center"; Chọn "Change adapter settings" ở menu bên trái; Nhấp chuột phải vào từng kết nối mạng đang hoạt động (như Wi-Fi hoặc Ethernet) và chọn "Disable" (Vô hiệu hóa). Khi cần kết nối lại, chỉ cần nhấp chuột phải và chọn "Enable" (Kích hoạt).

Bước 2: Rút tất cả thiết bị lưu trữ ngoài

Ransomware có thể nhanh chóng mã hóa dữ liệu trên USB, ổ cứng di động hoặc các thiết bị lưu trữ gắn ngoài khác được kết nối với máy tính bị nhiễm. Do đó, cần truy cập "This PC" (hoặc "My Computer"); Nhấp chuột phải vào từng thiết bị lưu trữ ngoài đang kết nối và chọn "Eject" (Đẩy ra) trước khi rút thiết bị ra khỏi cổng USB hoặc cổng khác để đảm bảo an toàn cho dữ liệu trên thiết bị đó.

Bước 3: Ngắt kết nối với dịch vụ lưu trữ đám mây

Ransomware có thể lợi dụng phần mềm quản lý dữ liệu đám mây để mã hóa hoặc làm hỏng dữ liệu lưu trữ trực tuyến của người dùng. Do đó, hãy đăng xuất khỏi tất cả tài khoản lưu trữ đám mây (trên trình duyệt và ứng dụng) và tạm thời gỡ cài đặt các phần mềm quản lý đám mây cho đến khi chắc chắn mã độc đã được loại bỏ hoàn toàn khỏi hệ thống.

Xác định loại ransomware bị lây nhiễm

Để xử lý đúng cách một cuộc tấn công ransomware, việc đầu tiên cần làm là xác định chính xác loại mã độc đã nhiễm vào hệ thống. Một số loại ransomware sẽ hiển thị thông điệp đòi tiền chuộc ngay sau khi mã hóa dữ liệu (như ví dụ bên dưới với tập tin văn bản của ransomware WALDO). Tuy nhiên, trường hợp này khá hiếm. Trong hầu hết các tình huống, ransomware sẽ hiển thị các thông báo đơn giản hơn, thường chỉ nêu rằng dữ liệu đã bị mã hóa và yêu cầu trả tiền chuộc để khôi phục.

Lưu ý rằng ransomware thường tạo ra thông điệp đòi tiền chuộc dưới nhiều tên tệp khác nhau, chẳng hạn như: _readme.txt, READ-ME.txt, DECRYPTION_INSTRUCTIONS.txt, DECRYPT_FILES.html,…. Tuy nhiên, việc chỉ dựa vào tên tệp thông điệp để xác định loại ransomware có thể rất rủi ro và gây nhầm lẫn nghiêm trọng. Nhiều biến thể ransomware khác nhau có thể sử dụng cùng một tên tệp thông điệp, mặc dù phương thức tấn công và mã hóa của chúng lại khác biệt.

Việc xác định sai loại mã độc do chỉ dựa vào tên tệp thông điệp có thể dẫn đến việc sử dụng công cụ giải mã không phù hợp. Điều này không chỉ khiến quá trình giải mã thất bại mà còn tiềm ẩn nguy cơ làm hỏng dữ liệu vĩnh viễn, khiến dữ liệu không thể phục hồi được nữa, ngay cả khi sau đó tìm được đúng công cụ.

Một phương pháp đáng tin cậy hơn để nhận diện ransomware là kiểm tra phần đuôi mở rộng của các tệp đã bị mã hóa. Nhiều biến thể ransomware được đặt tên dựa theo phần đuôi mở rộng mà chúng gắn vào tệp nạn nhân. Tuy nhiên, nhiều biến thể ransomware lại sử dụng các đuôi tệp chung chung như .encrypted, .enc, .locked..., khiến việc xác định loại mã độc chỉ dựa vào đuôi tệp trở nên không khả thi. Do đó, việc nhận diện ransomware chính xác đòi hỏi sự phân tích kỹ lưỡng hơn là chỉ dựa vào tên tệp đòi tiền chuộc hoặc đuôi tệp chung chung.

Một trong những cách nhanh chóng và hiệu quả nhất để xác định biến thể ransomware là sử dụng các dịch vụ trực tuyến như ID Ransomware. Dịch vụ này hỗ trợ nhận diện phần lớn các loại ransomware hiện có bằng cách cho phép người dùng tải lên thông điệp đòi tiền chuộc và/hoặc một tệp đã bị mã hóa để phân tích. Nếu dữ liệu bị mã hóa bởi phần mềm tấn công ransomware không được hỗ trợ bởi ID Ransomware, người dùng có thể thử tìm kiếm trên Internet bằng cách sử dụng các từ khóa nhất định (ví dụ, tiêu đề thông điệp yêu cầu tiền chuộc, phần mở rộng tệp, email liên lạc được cung cấp, địa chỉ ví crypto,…).

Tìm kiếm công cụ giải mã ransomware

Các loại mã độc tống tiền thường sử dụng thuật toán mã hóa rất phức tạp. Nếu quá trình mã hóa được thực hiện đúng cách, việc khôi phục dữ liệu mà không có khóa giải mã là gần như không thể, bởi khóa này thường được tạo ra riêng cho từng trường hợp và lưu trữ trên máy chủ của kẻ tấn công. Các biến thể ransomware tinh vi như Dharma (CrySis) hay Phobos là những ví dụ điển hình về việc khó xâm nhập, khiến việc phục hồi dữ liệu nếu không có sự hợp tác của nhóm phát triển là bất khả thi.

Tuy nhiên, không phải tất cả ransomware đều được phát triển hoàn hảo. Nhiều loại mã độc kém tinh vi hơn có thể chứa các lỗ hổng bảo mật (ví dụ: sử dụng cùng một khóa cho nhiều nạn nhân hoặc lưu khóa cục bộ). Do đó, khi bị nhiễm ransomware, điều quan trọng là luôn kiểm tra xem có công cụ giải mã miễn phí nào khả dụng cho loại ransomware cụ thể đó hay không. Việc tìm kiếm trực tuyến có thể khó khăn và gây nhầm lẫn. Vì lý do này, Dự án No More Ransom là một nguồn tài nguyên đáng tin cậy và được khuyến nghị sử dụng. Trang web của dự án có phần "Công cụ giải mã" (Decryption Tools) cho phép người dùng nhập tên loại ransomware đã xác định để tìm kiếm các công cụ giải mã sẵn có (nếu có). Khôi phục tệp bằng công cụ phục hồi dữ liệu

Tùy theo mức độ ảnh hưởng của ransomware và loại thuật toán mã hóa được sử dụng, việc khôi phục dữ liệu bằng một số công cụ của bên thứ ba có thể khả thi. Một trong những công cụ đáng thử là Recuva do CCleaner phát triển.

Recuva hỗ trợ hơn 1.000 định dạng tệp (ảnh, video, âm thanh, tài liệu...) và rất dễ sử dụng, không đòi hỏi nhiều kiến thức kỹ thuật. Ngoài ra, tính năng phục hồi dữ liệu hoàn toàn miễn phí.

Bước 1: Thực hiện quét dữ liệu

Khởi động ứng dụng Recuva và làm theo trình hướng dẫn (wizard). Công cụ sẽ hiển thị các tùy chọn để lựa chọn loại tệp cần tìm (ví dụ: ảnh, tài liệu, video...) và vị trí muốn quét (ổ đĩa cụ thể, thẻ nhớ...). Chọn các tùy chọn phù hợp và bắt đầu quá trình quét. Để tăng khả năng tìm thấy dữ liệu bị mất, khuyến nghị người dùng nên kích hoạt chế độ "Deep Scan" trước khi bắt đầu. Chế độ này giúp mở rộng phạm vi tìm kiếm, giảm thiểu nguy cơ bỏ sót các tệp khó phát hiện hoặc đã bị ghi đè một phần. Lưu ý, chế độ này sẽ mất nhiều thời gian hơn so với quét thông thường. Thời gian quét phụ thuộc vào dung lượng và số lượng dữ liệu trên ổ đĩa; với các ổ đĩa lớn (hàng trăm GB), quá trình này có thể kéo dài hơn một giờ.

Lưu ý quan trọng trong khi quét: Tuyệt đối không được chỉnh sửa, xóa hoặc thêm bất kỳ tệp mới nào vào ổ đĩa đang được Recuva quét. Hành động này có thể gây gián đoạn, làm sai lệch kết quả hoặc khiến quá trình quét bị kéo dài đáng kể.

Bước 2: Khôi phục dữ liệu

Sau khi quá trình quét hoàn tất, chọn những thư mục/tệp muốn khôi phục và nhấn "Recover" để bắt đầu quá trình khôi phục.

Lưu ý: Ổ đĩa cần có một lượng dung lượng trống nhất định để có thể phục hồi dữ liệu thành công.

Tạo bản sao lưu dữ liệu và quản lý dữ liệu hiệu quả

Việc quản lý tệp hợp lý và định kỳ tạo bản sao lưu là yếu tố then chốt để bảo vệ dữ liệu khỏi các rủi ro mất mát, đòi hỏi sự cẩn trọng và kế hoạch rõ ràng từ trước. Song song với sao lưu, một phương pháp hiệu quả khác là quản lý phân vùng ổ đĩa: người dùng nên phân chia ổ đĩa thành nhiều phân vùng và lưu trữ dữ liệu quan trọng ở các phân vùng riêng biệt, tách khỏi phân vùng chứa hệ điều hành. Lý do là trong trường hợp hệ thống gặp sự cố nghiêm trọng (như bị nhiễm mã độc nặng) và cần định dạng lại ổ đĩa chứa hệ điều hành, việc phân vùng riêng cho phép xóa sạch phân vùng bị ảnh hưởng mà không làm mất dữ liệu trên các phân vùng còn lại. Kỹ thuật quản lý phân vùng hiện nay khá đơn giản và có thể tìm thấy hướng dẫn chi tiết từ Microsoft cũng như các nguồn đáng tin cậy khác.

Sao lưu dữ liệu (Data Backups)

Để sao lưu dữ liệu một cách đáng tin cậy, một trong những phương pháp hiệu quả là sử dụng các thiết bị lưu trữ ngoài như ổ cứng di động, USB, SSD, HDD..., sau đó sao chép dữ liệu sang các thiết bị này rồi ngắt kết nối hoàn toàn với máy tính và cất giữ ở nơi an toàn, khô ráo, tránh ánh nắng và nhiệt độ cao. Mặc dù phương pháp ngoại tuyến này mang lại độ bảo mật cao, nhưng việc cập nhật và sao lưu dữ liệu thường xuyên lại kém hiệu quả và tốn thời gian. Thay vào đó, một lựa chọn khác là sử dụng dịch vụ lưu trữ đám mây hoặc máy chủ từ xa; tuy nhiên, các giải pháp này đòi hỏi kết nối Internet và vẫn tiềm ẩn nguy cơ rò rỉ bảo mật, dù tỷ lệ xảy ra là rất hiếm.

Các chuyên gia khuyến nghị sử dụng Microsoft OneDrive để lữu trữ dữ liệu. Microsoft OneDrive là một dịch vụ lưu trữ đám mây đa năng, hỗ trợ người dùng đồng bộ hóa dữ liệu giữa máy tính và các thiết bị di động một cách dễ dàng. Với OneDrive, người dùng có thể truy cập, chỉnh sửa và thực hiện các thao tác quản lý tệp cơ bản như lưu trữ, chia sẻ, xem trước, di chuyển, đổi tên, xóa, khôi phục hay tạo thư mục mới mọi lúc, mọi nơi, đặc biệt tối ưu trên các thiết bị chạy Windows. Dịch vụ này còn cho phép tự động sao lưu các thư mục quan trọng trên máy tính như Desktop, Documents và Pictures. OneDrive cung cấp các tính năng nổi bật như Phiên bản tệp (File Versioning), giúp giữ lại các phiên bản cũ của tệp trong tối đa 30 ngày và Thùng rác (Recycle Bin), nơi lưu trữ các tệp đã xóa trong thời gian giới hạn mà không tính vào dung lượng sử dụng. Được phát triển dựa trên công nghệ HTML5, dịch vụ này hỗ trợ nhiều cách tải tệp lên với giới hạn khác nhau: tối đa 300MB qua trình duyệt (kéo thả), tối đa 10GB/tệp qua ứng dụng OneDrive và có thể tải thư mục dưới dạng file ZIP (tối đa 10.000 tệp, không vượt quá 15 GB/lượt tải). Về dung lượng và chi phí, OneDrive cung cấp 5GB miễn phí và các gói trả phí linh hoạt như 100GB, 1TB hoặc 6TB.