Mục lục nội dung
File LockBit là gì? Ransomware là gì?
File LockBit là gì?
File .lockbit là một chương trình ransomware phần mềm độc hại thiết kế để mã hóa dữ liệu, mã độc LockBit được phát hiện bởi nhóm MalwareHunterTeam.
Bọn tội phạm mạng đằng sau vụ lây nhiễm này yêu cầu thanh toán tiền chuộc cho các công cụ / phần mềm giải mã. Trong quá trình mã hóa, LockBit đổi tên các tệp bằng phần mở rộng “.lockbit”, “.abcd “. Sau quá trình này, một tệp văn bản (” Restore-My-Files.txt “) được đưa vào mọi thư mục bị ảnh hưởng.
Tệp văn bản chứa thông báo đòi tiền chuộc, thông báo cho nạn nhân rằng dữ liệu của họ đã được mã hóa và cung cấp hướng dẫn về cách khôi phục dữ liệu về trạng thái ban đầu. Thông báo trong ” Restore-My-Files.txt ” nói rằng mọi người phải liên hệ với các nhà phát triển của LockBit qua các địa chỉ email được cung cấp (các thư giống hệt nhau phải được gửi đến tất cả các địa chỉ này).
Tin nhắn (và các bản sao) phải chứa ID cá nhân của người dùng (được cung cấp trong tệp văn bản và được tạo riêng cho từng nạn nhân). Một tệp được mã hóa có thể được đính kèm vào email, mà bọn tội phạm sẽ giải mã làm ‘bằng chứng’ rằng có thể khôi phục được. Tệp thử nghiệm này được giải mã miễn phí, tuy nhiên, nó không được lớn hơn 1 MB.
Sau khi việc giải mã tệp này được xác minh, tiền chuộc phải được trả (bằng tiền điện tử Bitcoin) và các công cụ / phần mềm giải mã được cho là sẽ được nhận. Thông báo kết thúc với cảnh báo và hướng dẫn nạn nhân không đổi tên các tệp được mã hóa hoặc cố gắng giải mã thủ công bằng phần mềm của bên thứ ba – điều này có nguy cơ mất dữ liệu vĩnh viễn.
Trong hầu hết các trường hợp lây nhiễm ransomware, việc giải mã là không thể nếu không có sự tham gia của các nhà phát triển phần mềm độc hại, trừ khi ransomware vẫn đang trong quá trình phát triển hoặc có một số lỗ hổng / lỗi nhất định. Để ngăn LockBit mã hóa thêm, nó phải được gỡ bỏ.
Rất tiếc, việc xóa sẽ không khôi phục dữ liệu đã bị xâm phạm. Giải pháp khả thi duy nhất là khôi phục tệp từ bản sao lưu, nếu tệp được tạo trước khi bị lây nhiễm và được lưu trữ ở một vị trí riêng biệt.
Ảnh chụp màn hình một thông báo khuyến khích người dùng trả tiền chuộc để giải mã dữ liệu bị xâm phạm của họ:
BigBossRoss, Mapo và SaveTheQueen là một số ví dụ về các chương trình loại ransomware khác. Tất cả ransomware đều mã hóa dữ liệu và yêu cầu thanh toán để giải mã. Sự khác biệt quan trọng là thuật toán mật mã được sử dụng ( đối xứng hoặc không đối xứng ) và kích thước tiền chuộc.
Loại thứ hai thường thay đổi giữa các khoản tiền có ba chữ số và bốn chữ số (tính bằng USD). Các loại tiền kỹ thuật số (chủ yếu là tiền điện tử) được bọn tội phạm mạng ưa thích, vì những giao dịch này rất khó / không thể theo dõi. Để bảo vệ dữ liệu khỏi sự lây nhiễm như vậy, hãy giữ các bản sao lưu trên thiết bị lưu trữ đã rút phích cắm hoặc máy chủ từ xa. Tốt nhất là lưu trữ một số bản sao lưu ở các vị trí khác nhau.
Ransomware đã lây nhiễm vào máy tính như thế nào?
Nội dung độc hại (ransomware và phần mềm độc hại khác) chủ yếu phát tán thông qua trojan, chiến dịch spam, công cụ kích hoạt phần mềm bất hợp pháp (“bẻ khóa”), trình cập nhật giả mạo và các kênh tải xuống không đáng tin cậy. Trojan là các chương trình độc hại được thiết kế để gây nhiễm trùng chuỗi (tức là tải xuống / cài đặt thêm phần mềm độc hại).
Các chiến dịch thư rác quy mô lớn được sử dụng để gửi các email có chứa các tệp nguy hiểm (hoặc các liên kết dẫn đến chúng). Những thư lừa đảo này thường được đánh dấu là “chính thức”, “quan trọng”, “khẩn cấp” hoặc là thư ưu tiên tương tự.
Các tệp đính kèm lây nhiễm có nhiều định dạng khác nhau, chẳng hạn như tệp lưu trữ (ZIP, RAR) và tệp thực thi (.exe, .run), tài liệu Microsoft Office và PDF, JavaScript, v.v. Khi tệp được thực thi, chạy hoặc mở theo cách khác, sự lây nhiễm Được bắt đầu. Các công cụ kích hoạt bất hợp pháp (“crack”) có thể tải xuống / cài đặt phần mềm độc hại, thay vì kích hoạt sản phẩm bạn đã chọn.
Các trình cập nhật giả làm lây nhiễm các hệ thống bằng cách khai thác các điểm yếu của phần mềm lỗi thời hoặc đơn giản là cài đặt các chương trình độc hại, thay vì các bản cập nhật đã hứa.
Mạng chia sẻ ngang hàng (BitTorrent, eMule, Gnutella, v.v.), các trang web lưu trữ tệp không chính thức và miễn phí, trình tải xuống của bên thứ ba và các nguồn tương tự là không đáng tin cậy. Do đó, họ có nhiều khả năng cung cấp nội dung độc hại để tải xuống (thông thường, được ngụy trang thành các sản phẩm bình thường hoặc đi kèm với chúng).
Loại bỏ phần mềm độc hại trên Windows
Để loại bỏ khả năng lây nhiễm phần mềm độc hại, hãy quét máy tính của bạn bằng phần mềm chống vi-rút hợp pháp. Đội ngũ wikimaytinh khuyên bạn nên sử dụng Combo Cleaner.
Để sử dụng sản phẩm đầy đủ tính năng, bạn phải mua bản quyền cho Combo Cleaner. 7 ngày dùng thử miễn phí có sẵn. Combo Cleaner được sở hữu và điều hành bởi Rcs Lt, công ty mẹ của PCRisk.com
Cách bảo vệ bạn khỏi bị nhiễm ransomware
Không nên mở các email không liên quan hoặc đáng ngờ. Không bao giờ được mở tất cả các tệp đính kèm (hoặc liên kết) được tìm thấy trong thư bị nghi ngờ, vì làm như vậy có thể kích hoạt chúng bắt đầu tải xuống / cài đặt phần mềm độc hại. Bạn nên chỉ sử dụng các kênh tải xuống chính thức và đã được xác minh.
Việc kích hoạt và cập nhật chương trình nên được thực hiện bằng các công cụ / chức năng do các nhà phát triển hợp pháp cung cấp. Các công cụ kích hoạt bất hợp pháp và các trình cập nhật của bên thứ ba có nguy cơ cao. Có một bộ phần mềm chống vi-rút / chống phần mềm gián điệp có uy tín được cài đặt và luôn cập nhật.
Ngoài ra, phần mềm này nên được sử dụng để thực hiện quét hệ thống thường xuyên và loại bỏ các mối đe dọa tiềm ẩn. Nếu máy tính của bạn đã bị nhiễm .LockBit, wikimaytinh khuyên bạn nên chạy quét bằng Combo Cleaner Antivirus dành cho Windows để tự động loại bỏ phần mềm tống tiền này.
Các bước cần thực hiện nếu bị nhiễm ransomware:
Báo cáo ransomware cho cơ quan chức năng
Nếu bạn là nạn nhân của cuộc tấn công bằng ransomware, wikimaytinh khuyên bạn nên báo cáo sự việc này với cơ quan chức năng. Bằng cách cung cấp thông tin cho các cơ quan thực thi pháp luật, bạn sẽ giúp theo dõi tội phạm mạng và có khả năng hỗ trợ trong việc truy tố những kẻ tấn công.
Cách ly thiết bị bị nhiễm
Một số lây nhiễm loại ransomware được thiết kế để mã hóa các tệp bên trong các thiết bị lưu trữ bên ngoài, lây nhiễm chúng và thậm chí lây lan trong toàn bộ mạng cục bộ. Vì lý do này, điều rất quan trọng là phải cách ly thiết bị bị nhiễm virus (máy tính) càng sớm càng tốt.
Bước 1: Ngắt kết nối internet.
Cách dễ nhất để ngắt kết nối máy tính khỏi Internet là rút cáp Ethernet khỏi bo mạch chủ, tuy nhiên, một số thiết bị được kết nối qua mạng không dây và đối với một số người dùng (đặc biệt là những người không rành về công nghệ), việc ngắt kết nối cáp có thể khó khăn. Do đó, bạn có thể nhờ đồng nghiệp hoặc người nhà hỗ trợ tắt wifi của máy.
Bước 2: Rút phích cắm của tất cả các thiết bị lưu trữ.
Như đã đề cập ở trên, ransomware có thể mã hóa dữ liệu và xâm nhập vào tất cả các thiết bị lưu trữ được kết nối với máy tính. Vì lý do này, tất cả các thiết bị lưu trữ bên ngoài (ổ đĩa flash, ổ cứng di động, v.v.) nên được ngắt kết nối ngay lập tức, tuy nhiên, wikimaytinh đặc biệt khuyên bạn nên ngắt kết nối từng thiết bị trước khi ngắt kết nối để tránh hỏng dữ liệu:
Bước 3: Đăng xuất tài khoản lưu trữ đám mây.
Một số loại ransomware có thể chiếm quyền điều khiển phần mềm xử lý dữ liệu được lưu trữ trong ” Đám mây “. Do đó, dữ liệu có thể bị hỏng / mã hóa. Vì lý do này, bạn nên đăng xuất khỏi tất cả các tài khoản lưu trữ đám mây trong trình duyệt và phần mềm liên quan khác. Bạn cũng nên xem xét tạm thời gỡ cài đặt phần mềm quản lý đám mây cho đến khi loại bỏ hoàn toàn sự lây nhiễm.
Xác định sự lây nhiễm ransomware
Để xử lý đúng cách, trước tiên người ta phải xác định nó. Một số trường hợp lây nhiễm ransomware sử dụng thông báo đòi tiền chuộc làm phần giới thiệu. Tuy nhiên, điều này là hiếm.
Trong hầu hết các trường hợp, lây nhiễm ransomware đưa ra nhiều thông điệp trực tiếp hơn chỉ đơn giản là thông báo rằng dữ liệu đã được mã hóa và nạn nhân phải trả một số loại tiền chuộc.
Lưu ý rằng lây nhiễm loại ransomware thường tạo ra các thông báo có tên tệp khác nhau (ví dụ: ” _readme.txt “, ” READ-ME.txt “, ” DECRYPTION_INSTRUCTIONS.txt “, ” DECRYPT_FILES.html”, v.v.). Do đó, sử dụng tên của thông báo đòi tiền chuộc có vẻ là một cách tốt để xác định bệnh lây nhiễm. Vấn đề là hầu hết các tên này đều chung chung và một số trường hợp lây nhiễm sử dụng các tên giống nhau, mặc dù các thông báo được gửi là khác nhau và bản thân các lần lây nhiễm không liên quan. Do đó, chỉ sử dụng tên tệp tin nhắn có thể không hiệu quả và thậm chí dẫn đến mất dữ liệu vĩnh viễn (ví dụ: bằng cách cố gắng giải mã dữ liệu bằng các công cụ được thiết kế cho các trường hợp lây nhiễm ransomware khác nhau, người dùng có thể bị thiệt hại vĩnh viễn các tệp và giải mã sẽ không còn khả thi ngay cả với công cụ chính xác).
Một cách khác để xác định sự lây nhiễm ransomware là kiểm tra phần mở rộng tệp, được nối vào mỗi tệp được mã hóa. Các trường hợp lây nhiễm ransomware thường được đặt tên theo các phần mở rộng mà chúng thêm vào.
Tuy nhiên, phương pháp này chỉ hiệu quả khi phần mở rộng được nối thêm là duy nhất – nhiều trường hợp lây nhiễm ransomware gắn thêm phần mở rộng chung (ví dụ: “.encrypted “, “.enc “, “.crypted “, “.locked “, v.v.). Trong những trường hợp này, việc xác định ransomware bằng phần mở rộng được thêm vào của nó trở nên bất khả thi.
Một trong những cách dễ nhất và nhanh nhất để xác định nhiễm ransomware là sử dụng trang web ID Ransomware. Dịch vụ này hỗ trợ hầu hết các trường hợp lây nhiễm ransomware hiện có. Nạn nhân chỉ cần tải lên một tin nhắn đòi tiền chuộc hoặc một tệp được mã hóa (wikimaytinh khuyên bạn nên tải lên cả hai nếu có thể).
Phần mềm ransomware sẽ được xác định trong vài giây và bạn sẽ được cung cấp các thông tin chi tiết khác nhau, chẳng hạn như tên của họ phần mềm độc hại mà sự lây nhiễm thuộc về, liệu nó có thể giải mã được hay không, v.v.
Nếu dữ liệu của bạn vô tình bị mã hóa bởi ransomware không được ID Ransomware hỗ trợ, bạn luôn có thể thử tìm kiếm trên internet bằng cách sử dụng các từ khóa nhất định (ví dụ: tiêu đề tin nhắn đòi tiền chuộc, phần mở rộng tệp, email liên hệ được cung cấp, địa chỉ ví tiền điện tử, v.v. ).
Tìm kiếm các công cụ giải mã ransomware
Các thuật toán mã hóa được sử dụng bởi hầu hết các trường hợp lây nhiễm loại ransomware là cực kỳ tinh vi và nếu mã hóa được thực hiện đúng cách thì chỉ nhà phát triển mới có khả năng khôi phục dữ liệu. Điều này là do quá trình giải mã yêu cầu một khóa cụ thể, được tạo ra trong quá trình mã hóa. Việc khôi phục dữ liệu mà không có chìa khóa là không thể.
Trong hầu hết các trường hợp, tội phạm mạng lưu trữ khóa trên một máy chủ từ xa, thay vì sử dụng máy bị nhiễm làm máy chủ lưu trữ. Dharma (CrySis), Phobos và các dòng lây nhiễm ransomware cao cấp khác hầu như không hoàn hảo và do đó việc khôi phục dữ liệu được mã hóa mà không có sự tham gia của các nhà phát triển đơn giản là không thể. Mặc dù vậy, có hàng chục loại lây nhiễm ransomware được phát triển kém và chứa một số lỗ hổng (ví dụ: việc sử dụng các khóa mã hóa / giải mã giống hệt nhau cho từng nạn nhân, các khóa được lưu trữ cục bộ, v.v.).
Việc tìm kiếm công cụ giải mã chính xác trên internet có thể rất khó chịu. Vì lý do này, wikimaytinh khuyên bạn nên sử dụng Dự án Không đòi tiền chuộc nữa và đây là nơi việc xác định lây nhiễm ransomware rất hữu ích. Trang web của No More Ransom Project chứa phần ” Công cụ Giải mã ” với thanh tìm kiếm. Nhập tên của ransomware đã xác định và tất cả các trình giải mã có sẵn (nếu có) sẽ được liệt kê.
Khôi phục tệp bằng các công cụ khôi phục dữ liệu
Tùy thuộc vào tình huống (chất lượng lây nhiễm ransomware, loại thuật toán mã hóa được sử dụng, v.v.), có thể khôi phục dữ liệu bằng một số công cụ của bên thứ ba. Do đó, wikimaytinh khuyên bạn nên sử dụng công cụ Recuva do CCleaner phát triển. Công cụ này hỗ trợ hơn một nghìn kiểu dữ liệu (đồ họa, video, âm thanh, tài liệu, v.v.) và nó rất trực quan (cần ít kiến thức để khôi phục dữ liệu). Ngoài ra, tính năng khôi phục hoàn toàn miễn phí.
Tạo bản sao lưu dữ liệu
Quá trình sao lưu là giống nhau đối với tất cả các loại tệp và thư mục. Có thể sử dụng rất nhiều dịch vụ sao lưu và khôi phục dữ liệu như Google Drive, One Drive, … hoặc tự sao lưu ra ổ lưu trữ gắn ngoài để khôi phục lại.
Cách tốt nhất để tránh thiệt hại do lây nhiễm ransomware là duy trì các bản sao lưu cập nhật thường xuyên.
Có thể bạn quan tâm:
Product key là gì? CD key là gì?
Cách tìm tên máy tính của bạn
Cách kiểm tra mức tiêu thụ điện năng của máy tính
Cách tắt Quick Access trên Windows 10
Các ví dụ cơ bản về HTML
Cách in bằng điện thoại thông minh hoặc máy tính bảng