Đăng tin tức‎ > ‎

Ransomware virus mã hóa file word excel

đăng 18:14, 13 thg 12, 2015 bởi Trần Anh   [ đã cập nhật 18:16, 13 thg 12, 2015 ]
CryptoWall, Ransomware là gì ?

CryptoWall là một virus dạng ransomware ( help_decrypt ) đã được phát hiện vào khoảng cuối tháng 4 năm 2014, mục tiêu là tất cả các phiên bản của Windows bao gồm Windows XP, Windows Vista, Windows 7 và Windows 8. Cách hoạt động của CryptoWall và CryptoLocker tương tự như các ransomware CryptoDefense. Trong tháng 10 năm 2014,những người phát triển phần mềm độc hại đã phát hành một phiên bản mới của CryptoWall với tên gọi CryptoWall 2.0. Phiên bản này đã gây sóng gió cho rất nhiều máy tính ở VN và cả trên thế giới. Sau một thời gian tạm lắng từ cuối năm 2014, trong tháng 1 năm 2015 các nhà phát triển phần mềm độc hại được phát hành một phiên bản mới có tên gọi CryptoWall 3.0. Có một vài thay đổi nhỏ trong CryptoWall 3.0 chẳng hạn như tăng thời hạn chuộc ban đầu, tên tập tin mới, và các cổng TOR mới. Hơn thế nữa ransomware này còn nguy hiểm hơn phiên bản trước của nó là CryptoWall 2.0
virus ransomware, diệt virus ransomware

Nói 1 cách đơn giản, CryptoWall hoạt động như sau: đầu tiên sẽ quét toàn bộ dữ liệu trong máy tính của bạn,sau đó mã hoá bằng cách sử dụng RSA encryption (một loại mã hoá lấy tên chữ cái của 3 tác giả được phát minh năm 1977 nhưng 20 năm sau đó mới đc công bố vì được xếp vào loại tuyệt mật) để không ai có thể mở ra được trừ khi có khoá. Một khi công việc lây nhiễm đã hoàn thành, nó sẽ mở ra một cửa sổ Notepad có chứa các hướng dẫn về cách truy cập các dịch vụ giải mã CryptoWall nơi bạn có thể phải trả một khoản tiền chuộc để mua một chương trình giải mã. Chi phí tiền chuộc bắt đầu từ 500 USD và sau 7 ngày sẽ lên đến 1,000. Tiền chuộc này phải được thanh toán trong Bitcoins và gửi đến một địa chỉ Bitcoin thay đổi cho mỗi người dùng bị lây nhiễm.

virus mã hóa file word excel

File Ransom Note New - Trong CryptoWall 3.0 phát triển giới thiệu tên tập tin mới cho các ghi chú chuộc dữ liệu. Những tập tin này được đặt trong mỗi thư mục mà tập tin đã được mã hóa cũng như trong những thư mục Startup để tự động hiển thị khi người dùng đăng nhập. Chúng sẽ mã hóa toàn bộ các file dữ liệu trên máy tính, và thường mã hóa file word và excel. pdf. Các tên tập tin mới là HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, và HELP_DECRYPT .URL.

virus HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, và HELP_DECRYPT

CryptoWall được phân phối thông qua email với file đính kèm ZIP có chứa file thực thi đó được ngụy trang dưới dạng file PDF. Những tập tin PDF giả vờ là hoá đơn, đơn đặt hàng, hóa đơn, khiếu nại, hoặc truyền thông doanh nghiệp khác. Khi bạn nhấp đúp vào file PDF giả mạo, nó sẽ lây nhiễm vào máy tính của bạn và cài đặt phần mềm độc hại hoặc các tập tin trong thư mục% AppData% hoặc% Temp%. Một khi bị nhiễm trình cài đặt sẽ bắt đầu quét các ổ đĩa máy tính của bạn cho các tập tin dữ liệu mà nó sẽ mã hóa. Nó sẽ quét tất cả các ký tự ổ đĩa trên máy tính của bạn bao gồm cả ổ đĩa di động, trên mạng, hoặc thậm chí các ổ đĩa online như DropBox, google drive, live,.... Format ổ cứng và cài win lại từ đầu là cách cuối cùng mà bạn có thể làm

Các cách phòng và chống

Với tình trạng virus cập nhật và phát triển liên tục như vậy, ko có cách nào được gọi là triệt để cả. Khi bạn “lỡ tay” hoặc “tự nhiên”, “bỗng dưng” thấy máy mình dính ransomware, việc đầu tiên cần làm là xem có bản sao lưu dữ liệu nào ko, và/ hoặc gọi ngay cho kỹ thuật để xin tư vấn, tuyệt đối ko làm thêm bất kỳ động tác nào trên máy nữa, vì mỗi hành động của bạn có thể sẽ làm cho việc xử lý và cứu dữ liệu thêm phần khó khăn.

Cuối cùng, xin trích lại 1 câu tâm đắc nhất trong các bài viết tham khảo được từ trên mạng: “Cách tốt nhất để phòng ngừa ransomware là luôn chắc chắn đã lưu dữ liệu của bạn từ hôm qua”