Cách xử lý và đề phòng loại mã độc tống tiền CTB-Locker

(Dân trí) - CTB-Locker là loại mã độc đã từng phát tán rộng rãi tại Việt Nam trong giai đoạn đầu năm 2015 và gần đây đang có dấu hiệu xuất hiện trở lại. Dưới đây là những thông tin cần biết để xử lý và phòng tránh lây nhiễm loại mã độc nguy hiểm này.

Mã độc tống tiền CTB-Locker là gì?

CTB-Locker là biến thể mới nhất của loại phần mềm tống tiền (ransomware), là loại phần mềm lây nhiễm vào máy tính của người dùng, sau đó yêu cầu người dùng trả một khoản tiền để có thể gỡ bỏ phần mềm này ra khỏi hệ thống.

Loại mã độc này phát tán rộng rãi tại Việt Nam vào đầu năm 2015 và trong thời gian gần đây có dấu hiệu xuất hiện trở lại với người dùng trong nước.
CTB-Locker được phát tán như thế nào?

CTB-Locker chủ yếu được phát tán thông qua các email rác (spam) dưới dạng các tập tin đính kèm với nhiều ngôn ngữ khác nhau. Người dùng khi nhận được email có chứa tập tin đính kèm nếu không chú ý kỹ khi mở các file đính kèm này sẽ kích hoạt CTB-Locker.

Sau khi mã độc CTB-Locker lây nhiễm vào máy tính của nạn nhân, nó sẽ quét toàn bộ ổ đĩa của máy tính đó và tự động mã hoá các tập tin, hầu hết các tập tin quan trọng có định dạng như *.doc, *.pdf, *.xls, *jpg… khiến người dùng không thể mở được những tập tin này.

Cách xử lý và đề phòng loại mã độc tống tiền CTB-Locker
Hộp thoại cảnh báo của mã độc CTB-Locker, yêu cầu người dùng phải trả tiền để mã hóa dữ liệu trên máy tính

Tùy thuộc vào kiểu file mà mã độc này mã hóa, chúng sẽ tạo ra một file .txt hoặc .html để hướng dẫn người dùng cách thức để giải mã và lấy lại dữ liệu, bằng cách trả một khoản tiền cho hacker để nhận được cách thức giải mã dữ liệu.

Nói cách khác, đây là phần mềm với mục đích tống tiền người dùng. Đồng thời, phần mềm đưa ra một mốc thời gian (thường là 72 tiếng) để người dùng trả tiền, nếu không dữ liệu đã bị mã hóa sẽ bị xóa sạch. Điều này càng khiến người dùng lo lắng và nhanh chóng trả tiền.

Cách thức phát hiện và gỡ bỏ CTB-Locker khỏi hệ thống

Có một số dấu hiệu để phát hiện máy tính có bị lây nhiễm loại mã độc tống tiền này hay không. Chẳng hạn khi bạn mở một file (như file .xls hay .pdf...) thì những file này vẫn được mở bẳng phần mềm tương ứng, tuy nhiên nội dung của chúng lại bị lỗi hoặc không thể xem được.

Trong nhiều trường hợp, những file bị CTB-Locker mã hóa sẽ tự động đổi tên để người dùng không thể mở các file này, hoặc đơn giản nhất để nhận biết máy tính đã bị lây nhiễm mã độc tống tiền CTB-Locker đó là xuất hiện một hộp thoại thông báo cho người dùng biết dữ liệu trên máy tính đã bị mã hóa, người dùng cần phải trả tiền để có thể giải mã những dữ liệu này.

Đơn giản hơn, bạn có thể sử dụng công cụ chuyên dụng để tự động quét và phát hiện xem máy tính của mình đã bị lây nhiễm mã độc CTB-Locker hay chưa. Trong trường hợp này, bạn có thể sử dụng phần mềm Bkav Ransomware Scan do công ty an ninh mạng Bkav phát triển.

Download phần mềm miễn phí tại đây.

Sau khi download, kích hoạt file để sử dụng ngay mà không cần cài đặt. Từ giao diện chính, nhấn nút “Chọn thư mục” để chọn phần vùng ổ đĩa để phần mềm quét và tìm kiếm mã độc. Nhấn nút “Quét” để bắt đầu quá trình tìm và quét mã độc.

Cách xử lý và đề phòng loại mã độc tống tiền CTB-Locker

Khi quá trình quét hoàn tất, nếu xuất hiện hộp thoại thông báo không tìm thấy mã độc tống tiền, nghĩa là ổ đĩa vừa quét sạch sẽ và chưa bị lây nhiễm các loại mã độc nguy hiểm này.

Cách xử lý và đề phòng loại mã độc tống tiền CTB-Locker

Tiếp tục tiến hành quét đối với các phân vùng ổ đĩa còn lại trên máy tính của bạn để đảm bảo máy tính “sạch” và chưa bị lây nhiễm mã độc CTB-Locker.

Trong trường hợp phần mềm phát hiện thấy sự hiện diện của CTB-Locker và các loại mã độc tống tiền phổ biến khác, phần mềm sẽ tự động gỡ bỏ và xóa các loại mã độc này trên máy tính của bạn.

Làm sao để khôi phục dữ liệu đã bị CTB-Locker mã hóa?

Công cụ Bkav Ransomware Scan chỉ phát hiện và loại bỏ mã độc tống tiền CTB-Locker trên máy tính của bạn, tuy nhiên lại không thể giải mã những file đã bị loại mã độc này mã hóa.

Để giải mã những dữ liệu này, bạn có thể nhờ đến phần mềm có tên Shadow Explorer. Đây là phần mềm cho phép bạn truy cập vào các bản lưu của những dữ liệu sẵn có trên máy tính để từ đó khôi phục lại các phiên bản cũ của dữ liệu từ những bản sao lưu này.

Download phần mềm miễn phí tại đây.

Sau khi download, giải nén và kích hoạt file ShadowExplorerPortable.exe để sử dụng ngay mà không cần cài đặt.

Từ góc trên bên trái giao diện chính của phần mềm, danh sách các file, thư mục được tạo bản lưu sẽ hiển thị ở khung bên dưới. Nếu cần khôi phục thư mục hoặc file nào, bạn kích chuột phải vào file/thư mục đó trên danh sách và chọn “Export”.

Lưu ý: bạn nên chọn thời điểm khôi phục dữ liệu là thời điểm trước khi máy tính bị lây nhiễm CTB-Locker.

Cách xử lý và đề phòng loại mã độc tống tiền CTB-Locker

Một hạn chế của phần mềm này đó là chỉ có thể sử dụng khi tính năng “System Restore” được kích hoạt trên Windows. Mặc định tính năng này luôn ở chế độ kích hoạt và chỉ bị vô hiệu hóa bởi chính người dùng. Trong trường hợp bạn đã vô hiệu hóa tính năng “System Restore” trước đó thì phần mềm Shadow Explorer không thể sử dụng, trong trường hợp này bạn hy vọng để giải mã dữ liệu đã bị mã hóa khá mong manh. Bạn có thể sử dụng một số phần mềm khôi phục dữ liệu để thử vận may của mình.

Làm sao để phòng tránh lây nhiễm CTB-Locker?

Để tránh những trường hợp lây nhiễm mã độc trên máy tính trong tương lai, người dùng tuyệt đối không tải và mở những file đính kèm được gửi đến từ những địa chỉ email không quen biết.  

Bên cạnh đó, khi ghé thăm các trang web với nội dung “hấp dẫn” và yêu cầu người dùng phải tải phần mềm về để có thể xem các nội dung đó, bạn tuyệt đối không nên tải và cài đặt những phần mềm này.

Tốt nhất, bạn nên cài đặt trên máy tính của mình một phần mềm bảo mật đủ mạnh và có uy tín để giúp bảo vệ máy tính tránh bị lây nhiễm các loại mã độc khác, bên cạnh loại mã độc tống tiền CTB-Locker.

Với những dữ liệu quan trọng, bạn nên sao lưu chúng lên các dịch vụ lưu trữ đám mây như DropBox, Google Drive hay OneDrive... để tránh các trường hợp bị mất mát và hư hại do mã độc phá hoại hay do hư hỏng ổ cứng...

Phạm Thế Quang Huy