[Thảo luận] Khôi phục virus mã hóa có cách không

Thảo luận trong 'Thảo luận chung' bắt đầu bởi tav4, 10/04/16, 03:04 PM.

  1. tav4

    tav4 Whi-----

    Tham gia: 29/06/13, 04:06 PM
    Bài viết: 191
    Đã được thích: 9
    Điểm thành tích:
    38
    Chào các bạn,

    Hiện nay với dòng virus mã hóa rất nhiều biến thể, từ CTBLocker đến virus mã hóa locky. Nay lại thêm virus mã hóa kimcilware. Ở Mỹ và Đức đã có nhiều bệnh viện bị mã độc tấn công và không lấy được dữ liệu quan trọng. Có hướng nào giải đáp cùng việc này không, mời các bạn hacker áo trắng vào cùng thảo luận nhé.

    Riêng mình thì đã có hướng, đó là đi theo cách khôi phục lại thời điểm trước khi virus tấn công. Có vẻ nghe rất khó thậm chí bài toán cực khó. Vẫn biết nó khó, nhưng mình đã đi theo hướng này. Kết quả ban đầu cho thấy nó hoạt động tốt.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 834
    Đã được thích: 327
    Điểm thành tích:
    83
    Last edited by a moderator: 12/04/16, 03:04 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. tav4

    tav4 Whi-----

    Tham gia: 29/06/13, 04:06 PM
    Bài viết: 191
    Đã được thích: 9
    Điểm thành tích:
    38
    Cám ơn bạn. Mình đi theo hướng khôi phục lại trước thời điểm virus tấn công. Đôi khi thì trong quá trình xây dựng cấu trúc dữ liệu, khôi phục file thì may mắn sẽ tìm được key và dùng Tool Kav để khôi phục. Nói chung kết hợp cũ và mới để ra được kết quả.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. deviliov3

    deviliov3 W-------

    Tham gia: 29/11/13, 02:11 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    tav4 bạn có thể nói rõ hơn về cách thức thực hiện được không? Theo mình được biết thì hiện tại chỉ có cách sử dụng chức năng System Restore để đưa PC trở lại thời điểm trước khi nhiễm virus. Tuy nhiên 1 số biến thể mới lại xóa luôn cả các điểm ảnh sao lưu này.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. tav4

    tav4 Whi-----

    Tham gia: 29/06/13, 04:06 PM
    Bài viết: 191
    Đã được thích: 9
    Điểm thành tích:
    38
    Đúng như bạn nói. Rất nhiều chuyên gia cho thấy virus mã độc ngày càng tinh vi hơn. Nhiều loại virus mã hóa cổ xưa của CTBLocker lại được sống lại mà cách đây năm 2013, 2014 phát triển mạnh. Tưởng như đã đi vào quá khứ. Nhưng chính nhờ sự nổi lên với virus locky mà các biến thể cũ của CTBLocker được sống lại. Như bạn biết thì virus mã hóa locky rất nguy hiểm thay hình biến dạng. Đặc biệt tốc độ lây nhiễm qua lan và email nội bộ công ty kèm theo mã hóa thì gần như không có đối thủ nào theo kịp locky.
    Trước sự thay đổi kinh khủng của virus mã hóa CTBLocker cũng như virus mã hóa locky. Sau gần 2 năm bước tay và test, kiểm nghiệm đã cho những bước đầu có chút hy vọng. Có thể tỷ lệ khi cứu hộ này không cao, chỉ khoảng 30 thậm chí có lúc lên đến 40 hay 60%. Một phần rất quan trọng phụ thuộc vào việc nạn nhân sau khi bị, có dữ nguyên môi trường của virus hay không. Mình áp dụng các phần mềm cứu dữ liệu vì biết nó khó hơn các trường hợp xóa bằng tay. Mà dựa vào việc xóa dữ liệu của virus mã hóa tống tiền để lại hay không.
    Mục đích dùng các phần mềm cứu dữ liệu để xây dựng cấu trúc bề mặt của ổ cứng. Xác định xem thời gian trước khi bị nhiễm khi nào. Có thể lưu key trên phân vùng, sau khi chúng xóa nó đi hay không. Và recovery phục hồi dữ liệu bị mất, trong trường hợp này do virus xóa cũng có thể coi là cách giải mã "không chính thống".
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. hungnv

    hungnv W-------

    Tham gia: 22/03/16, 11:03 AM
    Bài viết: 7
    Đã được thích: 4
    Điểm thành tích:
    8
    theo mình biết thì có 1 số ít loại ransomware có thể decrypt dc, còn lại đa số là ko có cách nào khôi phục dc. Vì vậy quan trong nhất vẫn là phải phòng bệnh hơn chữa bệnh, nâng cao tinh thần cảnh giác thôi
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 834
    Đã được thích: 327
    Điểm thành tích:
    83
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan