11/05/2018, 10:20

[Tư vấn] Khôi phục virus mã hóa locky, ctblocker

Chào các bạn, Hiện nay tình hình virus mã hóa đang phát triển. Nhất là virus locky với sự gia tăng đột biến cũng như nguy hiểm hơn. Trên thế giới tỷ lệ khôi phục những biến thể này đang gặp rất nhiều khó khăn. Và đâu là giải pháp. Topic này sẽ giúp giải đáp và hỗ trợ các bạn khôi ...

Chào các bạn,

Hiện nay tình hình virus mã hóa đang phát triển. Nhất là virus locky với sự gia tăng đột biến cũng như nguy hiểm hơn. Trên thế giới tỷ lệ khôi phục những biến thể này đang gặp rất nhiều khó khăn. Và đâu là giải pháp.



Topic này sẽ giúp giải đáp và hỗ trợ các bạn khôi phục các dữ liệu này một cách an toàn nhanh chóng nhất. Hiện mình đang là trưởng nhóm nghiên cứu xử lý virus mã hóa tại VN có thể giúp đôi điều cùng bạn. Có pha thành công và cũng có pha thất bại. Tuy nhiên chúng mình sẽ nỗ lực cố gắng để mục đích giảm thiệt hại cho người bị hại. Nào chúng ta sẽ bắt đầu quy trình nhé.

Quy trình I - Kiểm tra tình hình:

Việc trước tiên là trả lời câu hỏi liên quan nhằm giúp xác định tình huống hiện tại trên máy của bạn. Hình ảnh virus tống tiền.



1. Bạn đã cài lại win chưa?
2. Máy tính của bạn nhiễm lâu chưa?
3. Bạn có bật system restore chưa?
4. Bạn có dùng phần mềm nào để can thiệp chưa?
5. Bạn có thay đổi cấu trúc file và thư mục không? (Di chuyển ra khỏi thư mục)
6. Bạn đang dùng antivirus nào, miễn phí hay bản quyền?
7. Facebook của bạn nếu có?

Quy trình II - Ứng cứu dữ liệu:

a. Áp dụng khi hệ thống ổ C system đã bật và được lưu rồi, chưa cài lại win. Bạn tải phầm mềm như hình để khôi phục dữ liệu nhé.



b. Áp dụng cho các ổ chưa bật sytem và chưa được lưu. Quy trình ứng cứu dữ liệu các bạn chỉ nên tham khảo. Còn việc khôi phục tỷ lệ thành công, các bạn có thể trao đổi tại đây. Hoặc gửi team view. Sau đó chuẩn bị 1 số phần mềm cứu hộ cần thiết và cable kết nối nhé.

Bước 1. Khởi chạy phần mềm MiniTool Power như hình dưới.



Bước 2. Chọn ổ bị virus mã hóa và tiến hành quét sâu nhất.



Bước 3. Chọn phần Full Scan như hình và sàng lọc các vị trí file, thư mục bị mã hóa dữ liệu.



Bước 4. Bạn để quá trình scan hoàn tất và lọc thật kỹ các file cần cứu. Nhớ không nhấn Cancel giữa chừng.



Bước 5. Sau khi quá trình hoàn tất, bạn hãy lưu ý phần RAW trên giao diện phần mềm.




Bước 6. Bạn xem dữ liệu đã đủ chưa. Nhấn như số 11 như hình dưới để lưu dữ liệu và nhấn 12 để trở lại quá trình quét trước.




Bước 7. Sau khi xong. Bạn chạy thêm DiskGestor như hình dưới, nhằm xác định các file ảnh khác nhau.




Bước 8. Bạn tiếp tục chọn Next để phần mềm tìm kiếm dữ liệu bị mã hóa.



Bước 9. Bạn lại chọn tiếp ổ bị mã hóa cần khôi phục. Lúc này phần mềm sẽ liệt kê chi tiết.




Bước 10. Lúc này phần mềm sẽ có tác dụng xác định điểm ảnh để giúp ta so sánh. Dữ liệu hiện ra.



Bước 11. Danh sách dữ liệu phần RAW của DiskGestor.



Bước 12. Trong quá trình làm việc với DiskGestor, bạn có thể nhập vào tùy chọn như hình để trở lại.



Bước 13. Sau khi xong. Bạn lại chạy thêm PC Tool, mục đích như trên xác định và xây dựng cấu trúc trước khi virus mã hóa tấn công.



Bước 14. Chạy tool giải mã của KAV và decrypted dữ liệu. Công cụ giải mã phụ thuộc vào môi trường còn nguyên hay không.
Pass giải nén là fb.com/cuuhd.

Downdload Tool (Dung lượng 4MB)

win10.bitrix24.com/~u2FwM



Bước 15. Đây là kết quả của virus locky đã được giải mã xong với bản nâng cao.



Bước 16. Kiểm tra file đã mở thành công.




* Đây là kết quả được cứu gần đây nhất ngày 06/04/2016. Tổng số là 2GB dữ liệu phần mềm FAST kế toán.



* Còn đây là hình vị trí trên ổ cứng cứu hộ và lưu trữ cho khách hàng, sắp xếp từ năm 2014 đến nay.



Quy trình III - Giải pháp và lời khuyên

A. Đối với doanh nghiệp:

Hiện nay có nhiều doanh nghiệp có cấu hình mạng lan, chưa biết một số điều khi gặp virus mã hóa dữ liệu. Hôm nay, mình chia sẻ một số bước và lưu ý như sau:



Bước 1. Bật chức năng system restore cho hệ thống ổ C.
Bước 2. Giới hạn quyền chia sẻ file, thư mục cho máy chủ.
Bước 3. Thường xuyên cập nhật các antivirus bản quyền.
Bước 4. Giữ máy ở chế độ an toàn. Kiểm tra kỹ các file, email lạ.
Bước 5. Hợp tác với bên cứu hộ, thường xuyên kiểm tra file và mức độ an ninh hệ thống.
Bước 6. Khi có máy dính mã hóa, phải ngay lập tức cách ly.
Bước 7. Không cài lại win hay format ổ C để dễ bề khôi phục khi cần thiết.
Bước 8. Chỉ nên chia sẻ riêng thư mục User.
Bước 9. Không chia sẻ các thư mục Documents hay các ổ khác bị lây nhiễm.

Bước 10. Lập tức gọi điện cho cứu hộ an ninh mạng gần nhất để được tư vấn.

B. Đối với khách hàng Bkav:

* Nếu khi bạn nhiễm virus mã hóa. Đối với bản miễn phí, bạn có thể dùng công cụ BkavRS để kiểm tra.


bkav.com.vn/download/BkavRS.exe



* Đối với bản thương mại. Bạn liên hệ với Trung tâm chăm sóc khách hàng Bkav theo email in trên thẻ khách hàng để hỗ trợ.




Quy trình IV - Video tham khảo:

1. Sau đây là 1 số video demo mà bên mình đã ứng cứu xong.

a. Ứng cứu mã hóa locky facebook.com/cuuhd/videos/1578970265676969

b. Ứng cứu mã hóa CCC facebook.com/cuuhd/videos/1570541953186467

c. Ứng cứu mã hóa sqsvyllk (09/04/2016) facebook.com/cuuhd/videos/1588111221429540

2. Đây là thông tin xác thực bản quyền quản trị fanpage.



* Lưu ý: Việc khôi phục nhanh hay chậm còn tùy vào từng tình huống. Thời gian và cách mà bạn tiếp cận, xử lý. Mang tính xác thực, các bạn có thể team view. Hiện trường máy nhiễm virus còn đây.

>>>> (Xin ghi rõ nguồn khi copy sang nơi khác) >>>


Xin cám ơn,

Chúc các bạn thành công !!!

Nguồn: win10 (FB.com/cuuhd)
0