Kaspersky: “The Mask” hoạt động gián điệp mạng toàn cầu tiên tiến nhất hiện nay

Bí quyết giải cứu máy tính khỏi tin tặc

Với sự xuất hiện của CryptoLocker - chuyên mã hóa tệp tin của nạn nhân và đòi phải trả 300USD qua Bitcon hoặc bằng voucher tiền mặt trả trước thì mới "giải thoát dữ liệu - nạn tống tiền bằng "phần mềm bắt cóc" (ransomware) đang thực sự trở lại.

Thực tế, bạn có thể loại bỏ một số loại virus tống tiền này mà không mất dữ liệu, nhưng không phải lúc nào cũng dễ dàng. Trong một số trường hợp sẽ cần phải có những cách thức đặc biệt, và quy trình này tùy thuộc vào từng loại ransomware. Một số quy trình chỉ cần thủ tục quét virus rất đơn giản, nhưng một số khác lại cần phải quét offline và các biện pháp khôi phục file nâng cao khác. Bài viết dưới đây sẽ chia ransomware ra làm 3 loại: scareware, virus khóa màn hình và loại "cứng đầu nhất", và những hướng dẫn để loại bỏ chúng.

Scareware

Video đang HOT

Một ví dụ về chương trình diệt virus giả dạng.

Đây là loại ransomware đơn giản nhất thường hiện diện ở dạng công cụ quét virus "thưởng kèm" nào đó, hoặc các công cụ dọn dẹp (clean-up) hệ thống tự cho là có thể khắc phục các vấn đề trên PC. Một số biến thể của loại virus này vẫn cho người dùng sử dụng PC nhưng lại "dội bom" bằng các thông báo và pop-up cực kỳ khó chịu, trong khi số khác không cho người dùng chạy bất cứ chương trình nào trên máy. Tuy nhiên, việc loại bỏ loại ransomware này là khá dễ dàng.

Virus khóa màn hình

Phần mềm bắt cóc có tên Kovter khóa máy tính và hiển thị các thông báo giả dạng của cơ quan luật pháp.

Loại ransomware tiếp tới là virus khóa màn hình. Đúng như tên gọi, virus này không cho bạn sử dụng PC theo bất cứ cách thức nào. Chúng hiển thị cửa sổ thông báo tràn lên cả màn hình sau khi Windows khởi động - thường đi kèm với logo của FBI hoặc Bộ Tư pháp Mỹ nói rằng bạn đã phạm luật và phải đóng phạt.

Loại "cứng đầu nhất"

CryptoLocker mã hóa tệp tin và dọa sẽ xóa bỏ key giải mã nếu người dùng không nhanh chuyển tiền.

Các malware mã hóa dữ liệu như CryptoLocker chính là loại ransomware nguy hiểm và cứng đầu nhất. Chúng khóa toàn bộ dữ liệu cá nhân người dùng cho tới khi nào nhận được tiền mới thôi.

Loại bỏ phần mềm bắt cóc

Trước khi cứu chiếc PC bị bắt cóc, bạn cần phải loại bỏ mọi gốc rẽ của ransom cài cắm trên hệ thống.

Bạn có thể tìm thấy phần System Restore trong System Properties của máy tính (kích chuột phải vào Computer trong File Explorer và chọn Properties).

Nếu bị dính các loại ransomware như phần mềm antivirus giả mạo hoặc các công cụ dọn dẹp hệ thống giả dạng, bạn chỉ cần chạy chế độ Safe Mode và quét bằng trình diệt virus Malwarebytes (download tại đây) là được.

Nếu ransomware ngăn không cho vào Windows hoặc chạy các chương trình trên máy (như kiểu của virus khóa màn hình), thì bạn có thể thử sử dụng tính năng System Restore để khôi phục Windows về trạng thái cũ. Thao tác này sẽ không ảnh hưởng tới các tệp tin cá nhân mà nó chỉ tác động tới các file hệ thống và chương trình. Tính năng System Restore cần phải được kích hoạt trước khi thực hiện thao tác này. Về cơ bản nó đã được Windows kích hoạt mặc định.

Để sử dụng System Restore, bạn tắt PC và khi màn hình khởi động bật lên, bạn nhấn phím F8 liên tục để vào menu Advanced Boot Options. Tại đây, bạn chọn Repair Your Computervà nhấn Enter. Tiếp tới, bạn sẽ phải log vào hệ thống bằng tài khoản Windows. Khi đã log vào trong, bạn sẽ thấy một cửa sổ chức năng hiện lên, lúc đó hãy nhấn vào System Restore.

Nếu bạn không thấy lựa chọn Repair Your Computer trong Advanced Boot Options thì có thể sử dụng đĩa cài Windows để vào phần công cụ khôi phục (recovery tool). Khi đó hãy nhấn vào phần Repair trên trên menu chính trước khi vào phần cài đặt Windows. Ngoài ra, bạn cũng có thể tự tạo cho mình đĩa sửa chữa hệ thống (Windows System Repair Disc) trênmột chiếc PC khác sử dụng cùng phiên bản hệ điều hành, rồi sau đó có thể khởi động đĩa trên PC lây nhiễm để truy cập vào phần công cụ khôi phục hệ thống.

Nếu System Restore không giúp ích gì và bạn vẫn không thể vào Windows để loại bỏ ransomware thì hãy thử quét virus bằng đĩa khởi động hoặc ổ USB rời. Một số người gọi đây là cách thức quét virus offline. Một trong những công cụ quét được sử dụng nhiều chính là Bitdefender nhưng bạn vẫn có thể chọn các tên tuổi khác như: Avast, AVG, Avira, Kaspersky, Norton, Sophos và các phần mềm boot đĩa antivirus khác.

Nếu sau khi dùng Safe Mode và quét virus offline cũng như dùng System Restore và quét offline chưa được thì bạn có thể dùng cách khôi phục PC về trạng thái ban đầu (factory restore). Tính năng này thường có trên đĩa cài bán kèm máy tính khi bạn mua về (máy tính bộ). Hầu hết ransomware đều bị loại bỏ bởi cách này. Tuy nhiên, dùng factory restore sẽ xóa toàn bộ dữ liệu cá nhân của bạn trên hệ thống.

Khôi phục các tệp tin ẩn và mã hóa

Giờ là lúc bạn khắc phục những thiệt hại mà ransonware gây ra. Nếu may mắn, PC của bạn tuy dính malware nhưng lại không mã hóa dữ liệu mà chỉ đơn thuần ẩn các icon, shortcut và tệp tin. Để hiển thị các tệp tin ẩn này, bạn vào Computer, nhấn phím Alt rồi chọn Tools và kích vào Folder Options - thẻ View - chọn "Show hidden files, folders, and drives" và nhấn OK.

Nếu dữ liệu của bạn xuất hiện trở lại sau khi hiển thị các tệp tin ẩn thì mọi thứ lại khá đơn giản. Chỉ cần vào Computer, tìm theo đường dẫn C:Users rồi mở các folder tài khoản Windows. Nhấn chuột phải vào từng thư mục ẩn, mở phần Properties và bỏ dấu tích trong phần Hidden rồi nhấn OK là xong.

Nếu vẫn chưa thể tìm được dữ liệu bởi các tệp tin của bạn đã bị malware mã hóa thì tình hình sẽ trở nên cực kỳ khó khăn. Thường thì chúng ta không thể giải mã hoặc mở khóa các tệp tin "bắt cóc" bởi khóa giải mã được lưu trên máy chủ của kẻ bắt cóc. Đó chính là lý do tại sao bạn luôn được khuyên là cần sao lưu dữ liệu một cách thường xuyên. Nếu đã có bản backup của PC thì bạn chỉ cần quét chúng trên chiếc PC không bị lây nhiễm khác và việc khôi phục cũng khá dễ dàng.

Nếu bạn chưa backup hệ thống thì vẫn có thể khôi phục một số tệp tin nào đó trong phần Shadow Volume Copies (trong trường hợp malware chưa xóa bỏ chúng). Shadow Volume Copies là một phần của tính năng System Restore trên Windows và có thể tìm trong phần Previous Versions (kích chuột phải vào "Select files/folders" rồi chọn Properties), hoặc có thể dùng một phần mềm có tên là Shadow Explorer để xem các ảnh chụp (snapshot) của tệp tin. Tuy nhiên, cách thức này cũng không thực sự hiệu quả cho lắm. Chính vì vậy, bạn vẫn nên sao lưu dữ liệu và hệ thống một cách thường xuyên để phòng khi trục trặc xảy ra.

Theo VNE