Khôi phục file bị virus mã hóa cerber đuôi 9864 năm 2024

Trong tuần qua trên mạng đã xuất hiện thêm một mối đe dọa của họ mã độc đòi tiền chuộc có tên gọi Cerber.

Cerber hiện là mã độc mới được phát hiện và liệt vào danh sách các ransomware, có mối đe dọa cao với khả năng mã hóa các tập tin của người sử dụng và sau đó cung cấp tính năng TTS (text-to-speech) để nạn nhân nhận được thông điệp về khoản tiền chuộc.

Sau khi mã hóa dữ liệu trên máy tính nạn nhân , virus sẽ để lại những thông báo đòi tiền chuộc ở dạng .TXT , HTML và VBS tại mỗi thư mục có chứa dữ liệu bị mã hóa .

Mã độc này đòi tiền chuộc 1.24 Bitcoin ( khoảng 520$ ) và khoản tiền này tăng lên gấp đôi nếu như sau 1 tuần không trả tiền chuộc .

• Các file dữ liệu bị mã hóa và đổi tên file thành các kí tự ngẫu nhiên đuôi .cerber
• Virus chủ yếu lây nhiễm theo phương thức đính kèm trong mail spam, chèn link độc hại trên web, trong các ứng dụng chat, Skype..
• Kaspersky sẽ phát hiện và ngăn chặn tuy nhiên khi người dùng click vào link mã độc, quá trình mã hóa xảy ra rất nhanh,các biến thể virus và đường dẫn thay đổi liên tục nên chương trình chưa kịp xử lý thì sẽ bị mã hóa dữ liệu.
• Những ổ mạng chia sẻ map vào máy có quyền Write đều có thể bị mã hóa file từ máy trạm bị nhiễm virus.
• Rất nhiều người dùng còn sử dụng phiên bản Workstation 6 cũ bị hạn chế các tính năng phòng chống virus so với phiên bản Endpoint mới.

Xem thêm thông tin tại đây:

• http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/

Cách thức xử lý khi bị lây nhiễm virus mã hóa

• Khi dữ liệu bị mã hóa sẽ không có cách nào giải mã được (do virus sử dụng thuật toán mã hóa bảo mật và phức tạp). Hiện Kaspersky có ra mắt công cụ hỗ trợ việc giải mã, tuy nhiên chỉ hỗ trợ được một số trường hợp đã lấy được key giải mã trên máy chủ của hacker. Công cụ giải mã của Kaspersky được download tại đây: https://noransom.kaspersky.com/
• Không làm theo các hướng dẫn của hacker để tránh mất tiền và lây nhiễm virus thêm.
• Xác định và ngắt máy tính bị lây nhiễm khỏi hệ thống mạng, update chương trình Kaspersky và quét lại toàn bộ máy tính.
• Kiểm tra tính năng System Protection của Windows có được bật trên các ổ đĩa hay không, nếu có thì sử dụng chương trình ShadowExplorer để khôi phục lại trạng thái file trước đó.
• Các nguyên nhân có thể xảy ra hiện tượng máy tính bị lây nhiễm virus mã hóa khi đang sử dụng phần mềm diệt virus Kaspersky:
• Không bật đầy đủ các tính năng diệt virus của Kaspersky , đặc biệt là tính năng System Watcher,Mail Antivirus, Self-defense.
• Phần mềm Kaspersky chưa được cập nhật đầy đủ.
• Khi người dùng nhận được email có mã độc vô tình mở ra, mặc dù có thông báo nguy hiểm của Kaspersky nhưng không để ý, hoặc Kaspersky phát hiện và chặn lại tuy nhiên chương trình virus đã chạy trước và dữ liệu đã bị mã hóa

Khuyến nghị

• Đảm bảo mọi máy tính được cài đặt phần mềm diệt virus phiên bản mới nhất để nhận dạng được loại mã độc này, kiểm tra xử lý những máy bị lỗi chương trinh Antivirus ngay khi phát hiện được
• Ngăn chặn tình trạng người dùng tạm dừng chương trình phần mềm diệt virus, tắt các tính năng của phần mềm diệt virus
• Đảm bảo các máy được cập nhật mẫu virus mới thường xuyên.
• Cảnh báo cho người dùng tuyệt đối không click vào đọc những email lạ có chứa file đính kèm, thường là có tên người gửi và subject tiếng nước ngoài.
• Sử dụng Outlook thay vì dùng trực tiếp web mail.
• Cập nhật các bản vá của hệ điều hành.
• Bật tính năng System Protection của Windows để có thể khôi phục file khi cần
• Kiếm tra bật tính năng System Watcher, Mail Antivirus, Self-defense của chương trình Kaspersky. Kiểm tra lại cấu hình Mail-antivirus tự động cách ly/xóa file đính kèm khi phát hiện virus.
• Backup lại dữ liệu thường xuyên để dự phòng. Ngoài dữ liệu trên hệ thống máy chủ cần thực hiện backup những dữ liệu quan trọng trên máy người dùng.
• Cấu hình việc chia sẻ dữ liệu cho người dùng, ngăn cấm việc thay đổi dữ liệu dùng chung full quyền cho người dùng nếu thực sự không cần thiết.

Chân thành cám ơn Quý khách hàng đã ủng hộ công ty Nam Trường Sơn và sản phẩm Kaspersky trong thời gian qua. Trong quá trình sử dụng, nếu Quý khách hàng có bất kỳ yêu cầu hỗ trợ kỹ thuật nào xin vui lòng liên hệ với công ty Nam Trường Sơn để được hỗ trợ.

KASPERSKY phát hành công cụ giải mã, khôi phục dữ liệu bị mã hóa bởi virut tống tiền RANSOMWARE DECRYPTOR. (2018)

Ngày 10/9/2019 Bùng phát virus mã hóa đổi tên file thành các ký tự : .boot. kuub… xuất hiện các file _readme.txt trong các thư mục.

Hiện tại đã giải mã được dữ liệu mất phí. khách hàng có nhu cầu giải mã dữ liệu mang thiết bị qua kiểm tra trưc tiếp hoặc gọi số tư vấn 1900636196 để được tư vấn và kiể tra qua teamview, ultraview

Dịch vụ khôi phục dữ liệu bị virus mã hóa

Khách hàng cập nhật thông tại : https://www.facebook.com/khoiphucdulieuhdd

Chú ý: Các phần mềm giải mã có thể ảnh hướng đến cấu trúc dữ liệu gốc. Gây nên tình trạng khi dùng key chuẩn vẫn không giải mã được đữ liệu. Vì vậy khuyến cáo mọi người copy một bản dữ liệu ra ổ cứng khác để sao lưu trước khi thử bất kỳ một phương pháp nào. Hoặc copy dữ liệu bị mã hóa sang máy khác để thử nghiệm

Công cụ khôi phục dữ liệu của Kaspersky

Cảnh sát Hà Lan và công ty bảo mật Kaspersky đã phối hợp đưa công cụ để thu thập Key giải mã dữ liệu. Khôi phục dữ liệu bị mã hóa bởi virut tống tiền bởi các virut là CoinVault và Bitcryptor. Công cụ này chứa chìa khóa giải mã được được cảnh sát mạng Hà Lan kết hợp Kaspersky Lab khai thác là thu thập được từ các máy chủ của tội phạm phát tán virut. Cơ sở dữ liệu key này sẽ được cập nhật thường xuyên. Các bạn có thể DOWNLOAD công cụ giải mã được cập nhật : https://noransom.kaspersky.com/. Cách thức hoạt động của chương trình là một mặt sẽ quét các mã khôi phục dữ liệu trên máy mà virut để lại, hoặc mã đối chiếu của virut. Từ đó tìm kiếm các key trong CSDL để giải mã dữ liệu.

Tính đến tháng 10/2015 đã có hơn 14.000 key giải mã được thu và lưu trữ. Do vẫn đang được cập nhật nên không phải tất cả mọi người đều có thể giải mã dữ liệu của mình, nhưng đây cũng là tín hiệu tốt mở ra hi vọng cho những ai đang bị virut mã hóa dữ liệu. Vì chưa có cách nào giải mã triệt để nên chúng tôi có mấy lời khuyên với những máy tính chưa bị nhiễm virut:

• Backup dữ liệu sang thêm một thiết bị nữa. Hoặc có thể chuyển những dữ liệu quan trọng lên Mạng như Google Drive. Micorsoft Sky. Dropbox….
• Điều quan trọng nhất là cài phần mềm diệt virut trong máy. Có thể dung AVG, KASPERSKY,Norton…
• Không mở các mail lạ, các đường link lạ. Tuyệt đối không vội vàng cài lại Windows. Cũng như cố xóa các file virut để lại. Vì có thể có chứa key giải mã .

Các bước thực hiện với phần mềm giải mã:

– Tải phần mềm về từ địa chỉ: https://noransom.kaspersky.com/

– Giải nén và chạy file “CoinVaultDecryptor.exe” với quyền Administrartor.

– Cửa sổ bật lên.

– Bạn có thể bấm Start Scan để scan danh sách file bị mã hóa và key.

Hoặc lựa chọn forlder chứa các file cần giải mã .

Hi vọng các bạn có thể tự xử lý rắc rối của mình. Hiện tại cuumaytinh hỗ trợ miễn phí cho các khách hàng bị mã hóa dữ liệu. Chúng tôi sẽ hỗ trợ hết mức có thể.

Ngày 10/7/2016.

Trend Micro Ransomware File Decryptor

Vừa qua hãng bảo mật Trend Micro đã phát hành ra công cụ giải mã được một số dòng virut mã hóa. Tuy nhiên nhưng loại virut giải mã được thường là những loại bị lây nhiễm khoảng 1 – 2 tháng trước. Nếu có dữ liệu đã bị mã hóa từ trước đó các bạn có thể sử dụng để giải mã thử .

Danh sách sau đây mô tả các Ransomware mã hóa các loại tập tin được biết đến có thể được xử lý bởi các phiên bản mới nhất của công cụ.

ransomware Tên tập tin và mở rộng CryptXXX V1, V2, V3 * {Tên file gốc} .crypt, crypz, hoặc 5 ký tự thập lục phân TeslaCrypt V1 ** {Tên file gốc} .ECC TeslaCrypt V2 ** {Tên file gốc} .VVV, CCC, ZZZ, AAA, ABC, XYZ TeslaCrypt V3 {Tên file gốc} .xxx hoặc TTT hoặc MP3 hoặc MICRO TeslaCrypt V4 tên file và phần mở rộng không thay đổi SNSLocker {Tên file gốc} .RSNSLocked AutoLocky {Tên file gốc} .locky BadBlock {Tên file gốc} 777 {Tên file gốc} 0,777 XORIST {Tên file gốc} .xorist hoặc gia ngẫu nhiên XORBAT {Tên file gốc} .crypted

* – CryptXXX V3 giải mã có thể không phục hồi toàn bộ tập tin (dữ liệu một phần giải mã). Xin vui lòng xem phần có tiêu đề Lưu ý quan trọng về Giải mã CryptXXX V3 dưới đây.

** – Xin vui lòng sử dụng công cụ TeslacryptDecryptor 1.0.xxxx MŨI riêng biệt dưới đây cho các tập tin TeslaCrypt V1 và V2. Cả hai công cụ hỗ trợ V3 và V4.

Lấy và Thi Công cụ (s)

1. Nhấp vào nút Download dưới đây để có được phiên bản mới nhất (s) của công cụ File Decryptor Trend Micro ransomware. Giải nén (unzip) và sau đó khởi động một trong những bao gồm RansomwareFileDecryptor hoặc TeslacryptDecryptor tập tin exe.Tải TeslacryptDecryptor Download RansomwareFileDecryptor Sau khi ra mắt, người dùng sẽ được yêu cầu chấp nhận Thỏa thuận cấp phép người dùng cuối (EULA) để tiến hành.