Một đơn vị bạn vừa bị virus "tống tiền" (ransomware) CryptoWall mã hóa toàn bộ đĩa cứng.
Sau khi đã hỗ trợ xử lý rủi ro này, Ngân Long muốn chia sẻ chút kinh nghiệm của mình.

Tình trạng
Sau khi lây nhiễm, CryptoWall đã mã hóa tất cả hồ sơ có trên đĩa.
Cấu trúc thư mục và tên tập tin vẫn còn đầy đủ như thường.
Nhưng toàn bộ nội dung của các tập tin Word, Excel, PDF và cả hình ảnh đều bị mã hóa hoàn toàn.
CryptoWall đã để lại một hướng dẫn vào các trang web chỉ định, có chi tiết về việc nộp tiền và giải mã dữ liệu.
Nội dung của trang web gồm có:

  • Hướng dẫn cách thức nộp tiền.
  • Một đồng hồ đếm ngược, nếu hết thời gian thì "tiền chuộc" sẽ tăng gấp đôi.
  • Bạn có thời hạn một tháng để nộp tiền, quá thời hạn thì những trang này sẽ biến mất.

Cảm giác
Khi nhìn thấy một lượng tài liệu khá lớn, có tầm quan trọng cao, vẫn còn trên đĩa nhưng không thể đọc được, không thể khai thác được;
Thật là một cảm giác rất khó tả, vừa tuyệt vọng, vừa tức giận, lại vừa hối tiếc...

  • Tuyệt vọng vì chưa có phương án khôi phục những tài liệu quá quan trọng này!
  • Tức giận vì CryptoWall ác quá ác!
  • Hối tiếc vì phải chi đơn vị bạn đã không chủ quan, đã backup dữ liệu kịp thời!

Giải quyết
Tất cả thông tin trên Internet về việc có thể giải mã, hay phục hồi dữ liệu... đều là thông tin không thật!
Họ ransomware Crypto (Crypto Locker, CTB-Locker...) sử dụng mã khóa công khai (public key) và khóa riêng (private key) đã được lưu trữ trên máy chủ của chúng.
Chúng ta chỉ còn có cách làm theo chỉ dẫn của ransomware là ... giao tiền chuộc!
Một lần nữa, thông tin trên Internet lại không giúp được chúng tôi trong việc ra quyết định.
Vài thông tin thì bảo nên giao tiền để được giải mã, vài thông tin thì cho rằng sẽ bị tiền mất tật mang...

Kết thúc
Sau cùng, chúng tôi quyết định làm theo hướng dẫn của CryptoWall:

  • Mua một lượng tiền ảo bitcoin theo yêu cầu.
  • Chuyển vào địa chỉ bitcoin được chỉ định.
  • Gởi "số định danh giao dịch" (transaction id)
  • Hồi họp chờ đợi gần 60 phút.
  • Cuối cùng thì trang web cũng cho tải về một công cụ giải mã gồm 3 tập tin: decrypt.exe private.key public.key

Mặc dù các phần mềm anti-virus đều cảnh báo rằng decrypt.exe lại có trojan, nhưng nó cũng đã giải mã được các tập tin bị mã hóa, trả về nguyên trạng!

Lời khuyên
Nếu các bạn không muốn lâm vào tình trạng khổ sở mà chúng tôi đã gặp:

  • Phải cài đặt phần mềm anti-virus đủ mạnh mẽ, định kỳ tải các bản cập nhật.
  • Khi nhận email có đính kèm, phải rất thận trọng khi mở nó. Nếu hệ thống, hay phần mềm anti-virus có ra cảnh bảo, bạn phải đọc thật kỹ! Thông thường, các bạn theo thói quen cứ Enter/Esc chứ không có đọc.
  • Cuối cùng là phải định kỳ lưu trữ phòng hờ (backup) những dữ liệu quan trọng.

Trường hợp không may, khi đã bị "tống tiền" bởi các ransomware kiểu này, lời khuyên là:

  • Vài đơn vị tự nhận có thể "phục hồi dữ liệu" bị mã hóa, hầu hết chỉ là "đào bới" những phiên bản cũ của vài tập tin. Bạn hoàn toàn không nên giao đĩa cứng cho họ, mất thời gian, không giải quyết được gì.
  • Một vài trang mạng cũng giới thiệu phần mềm có thể giải mã, bạn đừng thử cho mất công.
  • Tìm hiểu xem đã có tổ chức, hay cá nhân đủ uy tín nào đã giải mã thành công hay chưa. Nhưng nếu có thì chắc là báo chí đã la ầm lên nhỉ?! (*)
  • Cuối cùng là cân nhắc... giao tiền chuộc!

(*) Trước đây, đã có trường hợp Fox-IT và FireEye tạo ra một cổng gọi là Decrypt Cryptolocker, cho phép giải mã một phiên bản của Cryptolocker. Nguồn:
https://en.wikipedia.org/wiki/Operation_Tovar
https://www.decryptcryptolocker.com

Đội chống tội phạm công nghệ cao thuộc cảnh sát Hà Lan và Kaspersky vừa phát hành công cụ giải mã 2 loại ransomware là CoinVault and Bitcryptor:
https://noransom.kaspersky.com

Về trang chủ