Hướng dẫn xử lý và phòng tránh virus CTB Locker

tav4

Whi-----
29/06/2013
9
191 bài viết
Hướng dẫn xử lý và phòng tránh virus CTB Locker
Hỏi: Thời gian qua tôi thấy trên mạng Internet có lan truyền một loại virus có tên là CTB Locker, tôi được biết virus này đang phát tán rất mạnh mẽ và nguy hiểm. Bkav có thể giải thích cho tôi về loại virus này và cách phòng tránh, xử lý nó được không?

Trả lời: Mã độc mã hóa dữ liệu tống tiền CTB Locker là một biến thể mới của dòng mã độc CrytoLocker, phương thức hoạt động của virus này là gửi các email spam có đính kèm file .zip tới người dùng. Sau khi file được mở ra, máy tính của người dùng sẽ bị kiểm soát, các file dữ liệu (Word, Excel, PDF…) bị mã hóa, không thể mở ra được. Đồng thời, trên màn hình máy tính nạn nhân hiện thông báo đòi tiền chuộc để giải mã những file đã bị mã hóa.
HuongDanXuLyVaPhongTranhVirusCTB%20Locker_02.jpg
Thông báo đòi tiền chuộc để giải mã những file đã bị mã hóa


Theo phân tích của Bkav, dữ liệu đã bị mã hóa sẽ không thể được khôi phục vì hacker sử dụng giải thuật mã hóa công khai và khóa bí mật dùng để giải mã chỉ được lưu giữ trên server của hacker.

Xử lý & Phòng tránh CTB Locker bằng Bkav Pro

Để xử lý và phòng tránh CTB Locker, bạn nên đăng ký, cài đặt và sử dụng phần mềm diệt virus Bkav Pro có bản quyền. Bạn sẽ được tự động bảo vệ nhờ tính năng phát hiện thông minh Anti Ransomware chỉ có ở Bkav Pro.
HuongDanXuLyVaPhongTranhVirusCTB%20Locker_01.png
Cảnh báo hành vi nguy hiểm của CTB Locker qua công nghệ Anti Ransomware của Bkav Pro

Công nghệ Anti Ransomware trên Bkav Pro có khả năng chống các loại mã độc mã hóa dữ liệu tống tiền mà không cần mẫu nhận diện. Công nghệ này giám sát toàn bộ thay đổi trên file dữ liệu của người sử dụng, kịp thời ngăn chặn những hành vi bất thường như đổi tên, mã hóa dữ liệu. Công nghệ Anti Ransomware sẽ ngăn chặn sự phá hoại của các loại mã độc đang hoành hành những ngày gần đây như CryptoLocker hay CTB Locker. Bên cạnh đó, Bkav khuyến cáo: "Người dùng tuyệt đối không mở file đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở file trong môi trường cách ly an toàn Safe Run".

Xử lý CTB Locker với công cụ Bkav Ransomware Scan

Nếu bạn chưa trang bị được phần mềm diệt virus Bkav Pro, Bkav đã cập nhật phương án xử lý loại mã độc tống tiền CTB Locker vào công cụ Bkav Ransomware Scan. Công cụ này không cần cài đặt mà có thể khởi chạy luôn để quét và diệt mã độc CTB Locker. Để xử lý CTB Locker trên máy tính bằng công cụ Bkav Ransomware Scan, bạn hãy làm theo các bước dưới đây:

Bước 1: Tải về Bkav Ransomware Scan từ link: http://www.bkav.com.vn/download/BkavRS.exe

Bước 2: Chạy file BkavRS.exe vừa tải về sau đó chọn thư mục cần quét.

Bước 3: Chọn Quét
HuongDanXuLyVaPhongTranhVirusCTB%20Locker_03.png



Bước 4: Tiếp đó, để khôi phục dữ liệu đã bị mã hóa do CTB Locker, bạn có thể sử dụng công cụ ShadowExplore. Trước tiên, bạn hãy download công cụ ShadowExplore tại link: http://www.shadowexplorer.com/upload...9-portable.zip

Với ShadowExplore bạn có thể khôi phục dữ liệu cũ mà Windows đã tạo bản sao trước đó, còn những file hay dữ liệu mới sửa thì không khôi phục được. Bản chất ShadowExplore hoạt động dựa trên tính năngSystem Restore của Windows. Hệ điều hành Windows luôn mặc định bật tính năng System Restore với ổ cài đặt Windows (thông thường là ổ C), còn các ổ khác nếu trước đó bạn không bật System Restore lên thì không khôi phục được.

Bước 5: Sau khi tải về, giải nén và chạy công cụ lên, bạn chọn ổ đĩa và chọn thời điểm khôi phục:
HuongDanXuLyVaPhongTranhVirusCTB%20Locker_04.png



Bước 6: Cần khôi phục thư mục hay file nào thì bạn chuột phải vào và chọn "Export"
HuongDanXuLyVaPhongTranhVirusCTB%20Locker_05.png






Ngoài ra, để bảo vệ dữ liệu trên máy tính, cách tốt nhất là trang bị Bkav Pro có bản quyền để bảo vệ dữ liệu tự động.

Chúc bạn thành công !
Bkav

* Bổ sung mở rộng:

Trường hợp bị mã hóa nặng. Bạn nên làm gì. Sau đây là những biện pháp cần để giúp bạn kiểm tra, cũng như cứu hộ.

1. Muốn khôi phục được và áp dụng, bạn nên kiểm tra xem hệ thống đã mở sao lưu chưa. Bằng cách kích chuột vào biểu tượng mycomputer trên màn hình và chọn propeties. Nhìn như hình, nếu ổ đĩa đó mà được bật on thì có nghĩa bạn có thể dùngShadowExplore để khôi phục rồi đấy.

1489939947image_132149.jpg


2. Không nên cài lại Win. Cố gắng giữ nguyên môi trường. Trong đó, lưu lại file storage.bin hoặc key.dat trên ổ C.

3. Nếu có mạng lan hay máy chủ. Nên tắt chế độ mạng lan. Chỉ nên lưu ở thư mục User trên máy chủ. Rồi chia sẻ riêng mục này.


4. Ngoài ra, mỗi tập tin tài liệu trên mỗi thư mục, hệ thống sẽ tạo các file sao lưu trước đó. Chú ý các file dạng *.tmp được để ẩn. Trong một số trường hợp thì khi dính mã hóa dữ liệu thì một số file này sẽ không bị nhiễm, không phải tất cả. Nhưng cũng là hy vọng để cứu lại, dù ít hay nhiều.

5. Để đề phòng dữ liệu mã hóa nên sao lưu ra ổ cứng di động hoặc backup lên các dịch vụ lưu trữ đám mây.

6. Bạn không nên tải driver và file trên các trang không uy tín về. Nên cài từ đĩa chính thống, đi kèm với máy là tốt nhất.

7. Bạn cũng nên thường xuyên up file lên web kiểm tra virus, trước khi cài đặt.

8. Khi phát hiện file lạ hoặc tài liệu không mở được, bạn gửi ngay tới gmail maytinhcn và nhận giúp đỡ.

9. Bạn thử đổi tên tài liệu cần và lưu lại định dạng file tương ứng. Sau đó bỏ dấu chấm mà viết liền nhau. May ra, có thể không bị mã hóa làm ảnh hưởng, vì không xác định được tiệp để nhiễm vào. Vì có một số định dạng file chưa bị mã hóa. Nên làm trước khi bị mã hóa. Cũng nên thử.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên