Phục hồi dữ liệu thành công khi bị virut mã hóa đòi tiền chuộc
|HIện nay ở không chỉ ở Việt Nam mà ở các nước bị virus mã hóa dữ liệu đòi tiền chuộc tấn công một cách thảm hại chúng phá hủy hàng ngàn dữ liệu trên nhiều hệ thồng khác nhau.
Siêu virus độc hại mã hóa hàng ngàn máy tính năm 2015
Siêu virus độc hại mã hóa nguy hiểm năm 2015
Bài viết tổng hợp về virut mã hóa đổi tên file .ccc mà trung tâm phục hồi dữ liệu hdd đã chính thức khôi phục dữ liệu thành công cho chị Hiền ngày 10/11/2015. Quý khách hàng có thể tham khảo cách cứu dữ liệu khi bị virus mã hóa đổi đuôi dưới đây.
Chi tiết nhất khách hàng có thể xem video mà chúng tôi đã kịp thời ghi lại.
Cập nhật: 10/11/2015 :Hiện tại đã giải mã được 100% dữ liệu bị mã hóa bởi virut mã hóa đổi đuôi….Nhưng khách hàng phải chấp nhận trả tiền cho virut từ 200 -1000 USD. Cuumaytinh sẽ đứng ra trả tiền chuộc cho khách hàng . Đã có rất nhiều khách hàng lấy được dữ liệu theo cách này . Tỷ lệ thành công là 100%.
Khách hàng bị mã hóa dữ liệu cần lấy lại liên hệ Mr Cường 0912.600.250
Khách hàng cập nhật thông tại : https://www.facebook.com/khoiphucdulieuhdd
Video giải má thành công dữ liệu bị mã hóa tại cuumaytinh.com – phuchoidulieuhdd.com
Từ Khoảng tháng 8/2015 tại trung tâm khôi phục dữ liệu của chúng tôi nhận được rất nhiều cuộc goi hỗ trợ về việc máy tính của khách hàng bị lỗi các file văn bản, tài liệu word, excell, pdf, ảnh …. Với biểu hiện chung là đột nhiên không mở được file , hoặc mở ra báo lỗi font chữ loằng ngoằng. và đặc biệt là hầu hết các file đều bị đổi đuôi thêm .ccc ở cuối ( vd. xlsx.ccc, docx.ccc…..).
Đây thực sự là một vấn nạn . Chúng tôi đã nghiên cứu và tham khảo ý kiến của nhiều chuyên gia bảo mật nước ngoài nhưng hiện tại chưa có cách nào xử lý một cách hiệu quả. Chúng tôi không đặt vấn đề lợi nhuận hay kiếm tiền từ việc này . mục đích chính là giảm tối thiểu tổn thất cho khách hàng. Cung cấp thông tin và cảnh báo tới mọi người. Vậy mong mọi người hãy chia sẻ cho cộng đồng. tải về TeslaDecrypt . Vậy nó là cái gì? Thật ra bên mình đã cảnh báo mọi người về một loại virust mã hóa có tên Cryptolocker từ khoảng năm 2014. Và thời điểm hiện tại các biểu hiện trên là do một dòng biến thể của virut Cryptolocker mã hóa dữ liệu gây ra . Và tên mới của nó là TeslaCrypt . Vậy mục đích của nó là gì ? Biểu hiện ? Cách nó lây nhiểm,và hoạt động ? Phương án khôi phục dữ liệu ? Cách gỡ bỏ và tiêu diệt ?
- Phần đầu tiên mình sẽ nói về mục đích và nguồn gốc
Virut mã hóa Cryptolocker do hacker người Nga Evgeniy Mikhailovich Bogachev phát triển hiện đang bị FBI truy nã.
Và các biến thể hiện tại đều lấy nguyên lý và cách thức hoạt động của dòng đầu tiên. Mục đích chính của nó là lây nhiễm vào máy tính sau đó sử dụng thuật toán mã hóa RSA để mã hóa toàn bộ dữ liệu sau đó yêu cầu người dùng chuyển tiền để nhận được key giải mã. Nếu không có key thì việc giải mã gân như không thể. Giống như việc nhà bạn bị kẻ gian đột nhập và khóa lại bằng một chiếc khóa không thể phá và chỉ có thể mở bằng 1 chìa duy nhất. Và kẻ đó đòi bạn trả tiền để giao chìa khóa . Theo thống kê mỗi tháng virut này thu về khoảng 350 nghìn USD. Vậy key này lưu ở đâu ? Nó thường được lưu trên một hệ thống máy chủ trong mạng internet và dùng nhiều giao thức để che dấu. một số cũng được lưu lại tại một vị trí bí mật trong chính máy tính của người bị hại . Vì vậy nói rằng khi bị nhiễm virut này thì đừng vội vã cài lại hệ điều hành cũng là một ý đúng .
- Cách nó lây nhiểm và hoạt động ?
Nó chủ yếu được khởi chạy từ những email lạ có đính kèm file như thông báo thuế, tài chính, chuyển phát nhanh . hoặc các đường linh lại. khi đó nó sẽ khởi chạy và chuyển hướng người dùng tới một Angler Exploit Kit . Và tự động tải về máy các tiến trình mã hóa . Vậy nó có lây nhiểm trong mạng LAN ? vấn đề này chưa được đánh giá cụ thể nhưng chưa có báo cáo nào về việc lây nhiểm trong mạng LAN.
- Nó hoạt đông thế nào ?
Đề TeslaCrypt thực hiện như sau:
- Xóa tất cả các bản sao hệ thống Volume Shadow bằng cách thực hiện “vssadmin.exe xóa toàn bộ các bản sao lưu / all / quiet” lệnh
- Mở “key.dat” tập tin và khôi phục lại các khóa mã hóa. Nếu “key.dat” không tồn tại nó sẽ khởi tạo và lưu trữ “key.dat” file.
- Gửi các khóa mã hóa key cho các máy chủ C & C thông qua POST yêu cầu (các mẫu mới nhất mà chúng tôi đã phân tích các URL chứa máy chủ C & C sau đây:
o 7tno4hib47vlep5o.63ghdye17.com o 7tno4hib47vlep5o.79fhdm16.com o 7tno4hib47vlep5o.tor2web.blutmagie.de o 7tno4hib47vlep5o.tor2web.fi
- Thực hiện bảo vệ chống phát hiện bởi người dùng và phần mềm bảo vệ: mỗi 200 mili giây, TeslaCrypt liệt kê tất cả các tiến trình đang chạy và nếu một quá trình với một tên tập tin có chứa bất kỳ từ nào dưới đây được tìm thấy trong hệ thống, quá trình đó sẽ được virut được chấm dứt bằng cách sử dụng chức năng TerminateProcessWindows API
o taskmgr o procexp o regedit o msconfig o cmd.exe
- Tiến trình mã hóa sẽ được âm thầm khởi chạy mà người dùng không hề hay biết. Quá trình này có thể mất từ vài chục phút đến cả ngày Nên một số trường hợp khách hàng ban đầu chỉ thấy một vài file không mở được nhưng khi quá trình hoàn tất nó sẽ chén sạch dữ liệu trong máy tính của bạn .
- Sau khi mã hóa toàn bộ dữ liệu và để lại các file hướng dẫn khôi phục dữliệu và chuyển tiền thì tiến trình của viust cũng tự động “tự sát” để xóa dấu vết.
- Theo như thông báo của virut thì dữ liệu của bạn bị mã hóa RSA 2048. Nhưng theo một số phân tích thì thực tế virut chỉ sử dụng thuật toán AES CBC 256-bit thực hiện trong chức năng “EncryptWithCbcAes” .
- Phương án khôi phục dữ liệu ? Thông thường virut sẽ để lại các file text và Html có chứa thông tin về đường link hướng dẫn, mã key đối chiếu. Vậy nếu Bạn thật sự cần dữ liệu thì đừng vội xóa những file này. Nếu làm theo hướng dẫn bạn có thể mất từ 500 USD tới 1000 USD để nhận được key. Và với loại biến thể mới TeslaCrypt ( tạm gọi là virut đổi đuôi thành .ccc) này nó sẽ cung cấp cho bạn một cửa sổ để bạn có thể thử giải mã một file <500Kb .Nó giống như kiểu chứng minh là “tao có thể giải mã dữ liệu ” .
Tất nhiên việc chuyển tiền cho hacker là việc không khuyến khích cũng nhưng không có gì đảm bảo về việc có nhận lại được key hay không?. Nhưng ngoài cách này ra chưa có một cách nào hiệu quả . . Cập nhật https://www.facebook.com/khoiphucdulieuhdd các bạn like trang để nhận được cập nhật. Liên kết với các Công cụ TeslaCrypt Tool là công cụ được đưa ra nhằm hỗ trợ người dùng tự xử lý tình huống của mình. Nó chỉ có tác dụng với một vài biến thể. và hiện tại chỉ hỗ trợ Windows 32 bit . tải về phần mềm giải mã một số dòng TeslaDecrypt
- Thông tin phần mềm giải mã: http://talosintel.com/teslacrypt_tool/ Đầu tiên bạn cần tải phần mềm về.
- Copy vào một thư mục tren ổ C. Nếu có thể thì dùng lệnh tìm kiếm trong máy tính file key.dat. Copy file vào cùng thư mục với phần mềm . Chạy phần mềm và làm theo hướng dẫn Băm: 3372c1edab46837f1e973164fa2d726c5c5e17bcb888828ccd7c4dfcc234a370 6c6f88ebd42e3ef5ca6c77622176183414d318845f709591bc4117704f1c95f4 Địa chỉ IP: 38.229.70.4 82.130.26.27 192.251.226.206 Tên miền Được liên hệ: 7tno4hib47vlep5o.63ghdye17.com 7tno4hib47vlep5o.79fhdm16.com 7tno4hib47vlep5o.tor2web.blutmagie.de 7tno4hib47vlep5o.tor2web.fi
- Kết luận: TeslaCrypt ransomware là một thách thức. Tất cả các thuật toán mã hóa hàm băm là cực kỳ phức tạp. Như các bạn đã thấy việc mã độc tấn công là không tránh khỏi. Việc kết hợp nhiều phương pháp bảo vệ là thật sự cần thiết .
- Tham khảo phần mềm ngăn chặn mã độc : Tham khảo tổng hợp viết bởi Do manh Cuong. Trung tâm phục hồi dữ liệu hdd
Các từ khóa có thể tìm kiếm trên google
Virus mã hóa dữ liệu đòi tiền chuộc
Virut mã hóa đổi đuôi file
Siêu virus nguy hiểm nhất năm 2015
Cách khôi phục dữ liệu do virus mã hóa
Tác giả bài viết : phuchoidulieuhdd
Nguồn tin : cuumaytinh
Link : Phục hồi dữ liệu thành công khi bị virut mã hóa đòi tiền chuộc