[Thảo luận] Khôi phục virus mã hóa có cách không

[tav4]

Chào các bạn,

Hiện nay với dòng virus mã hóa rất nhiều biến thể, từ CTBLocker đến virus mã hóa locky. Nay lại thêm virus mã hóa kimcilware. Ở Mỹ và Đức đã có nhiều bệnh viện bị mã độc tấn công và không lấy được dữ liệu quan trọng. Có hướng nào giải đáp cùng việc này không, mời các bạn hacker áo trắng vào cùng thảo luận nhé.

Riêng mình thì đã có hướng, đó là đi theo cách khôi phục lại thời điểm trước khi virus tấn công. Có vẻ nghe rất khó thậm chí bài toán cực khó. Vẫn biết nó khó, nhưng mình đã đi theo hướng này. Kết quả ban đầu cho thấy nó hoạt động tốt.

 

- Nếu đã bị mã hóa rồi thì phải tìm ra key mới giải mã được. Key lấy ở đâu? Bạn thử link dưới
https://noransom.kaspersky.com/
- Để phòng ngừa, theo mình biện pháp tốt nhất là:BACKUP
hoặc tham khảo
https://whitehat.vn/forum/thao-luan/tin-tuc/56029-da-co-the-giai-ma-ma-doc-tong-tien-petya
https://whitehat.vn/forum/thao...-va-teslacrypt

 

- Nếu đã bị mã hóa rồi thì phải tìm ra key mới giải mã được. Key lấy ở đâu? Bạn thử link dưới
https://noransom.kaspersky.com/
- Để phòng ngừa, theo mình biện pháp tốt nhất là:BACKUP
hoặc tham khảo
https://whitehat.vn/forum/thao...-va-teslacrypt

Cám ơn bạn. Mình đi theo hướng khôi phục lại trước thời điểm virus tấn công. Đôi khi thì trong quá trình xây dựng cấu trúc dữ liệu, khôi phục file thì may mắn sẽ tìm được key và dùng Tool Kav để khôi phục. Nói chung kết hợp cũ và mới để ra được kết quả.

 

tav4 bạn có thể nói rõ hơn về cách thức thực hiện được không? Theo mình được biết thì hiện tại chỉ có cách sử dụng chức năng System Restore để đưa PC trở lại thời điểm trước khi nhiễm virus. Tuy nhiên 1 số biến thể mới lại xóa luôn cả các điểm ảnh sao lưu này.

 

tav4 bạn có thể nói rõ hơn về cách thức thực hiện được không? Theo mình được biết thì hiện tại chỉ có cách sử dụng chức năng System Restore để đưa PC trở lại thời điểm trước khi nhiễm virus. Tuy nhiên 1 số biến thể mới lại xóa luôn cả các điểm ảnh sao lưu này.

Đúng như bạn nói. Rất nhiều chuyên gia cho thấy virus mã độc ngày càng tinh vi hơn. Nhiều loại virus mã hóa cổ xưa của CTBLocker lại được sống lại mà cách đây năm 2013, 2014 phát triển mạnh. Tưởng như đã đi vào quá khứ. Nhưng chính nhờ sự nổi lên với virus locky mà các biến thể cũ của CTBLocker được sống lại. Như bạn biết thì virus mã hóa locky rất nguy hiểm thay hình biến dạng. Đặc biệt tốc độ lây nhiễm qua lan và email nội bộ công ty kèm theo mã hóa thì gần như không có đối thủ nào theo kịp locky.
Trước sự thay đổi kinh khủng của virus mã hóa CTBLocker cũng như virus mã hóa locky. Sau gần 2 năm bước tay và test, kiểm nghiệm đã cho những bước đầu có chút hy vọng. Có thể tỷ lệ khi cứu hộ này không cao, chỉ khoảng 30 thậm chí có lúc lên đến 40 hay 60%. Một phần rất quan trọng phụ thuộc vào việc nạn nhân sau khi bị, có dữ nguyên môi trường của virus hay không. Mình áp dụng các phần mềm cứu dữ liệu vì biết nó khó hơn các trường hợp xóa bằng tay. Mà dựa vào việc xóa dữ liệu của virus mã hóa tống tiền để lại hay không.
Mục đích dùng các phần mềm cứu dữ liệu để xây dựng cấu trúc bề mặt của ổ cứng. Xác định xem thời gian trước khi bị nhiễm khi nào. Có thể lưu key trên phân vùng, sau khi chúng xóa nó đi hay không. Và recovery phục hồi dữ liệu bị mất, trong trường hợp này do virus xóa cũng có thể coi là cách giải mã "không chính thống".

 

theo mình biết thì có 1 số ít loại ransomware có thể decrypt dc, còn lại đa số là ko có cách nào khôi phục dc. Vì vậy quan trong nhất vẫn là phải phòng bệnh hơn chữa bệnh, nâng cao tinh thần cảnh giác thôi

 

Thêm một cách giải mã file bị mã độc Jigsaw tấn công
https://whitehat.vn/forum/thao-luan...tong-tien-jigsaw-va-giai-ma-du-lieu-da-ma-hoa