Làm gì khi máy tính bị mã hóa crab năm 2024

Tình trạng người dùng bị nhiễm virus mã hóa đuôi crab sau đợt tấn công tại Việt Nam chỉ sau nửa tháng nó đã trở nên quá phổ biến và người dùng coi đó là một mối nguy hiểm bởi số tiền chuộc quá lớn.

1. Sự phân bố của virus mã hóa đuôi crab

Virus .CRAB là một mã độc mới của chương trình Gandcrab, nó đã nhanh chóng trở nên nổi tiếng chỉ trong vòng có nửa tháng. Nó được phát hành nhằm chống lại người dùng trên khắp thế giới.

Một trong những các dễ nhất cho bạn tội phạm có thể dễ dàng tấn công người dùng đó là gửi thư điện tử tới một loạt danh sách của các nạn nhân. Các mã độc .Crab được gắn vào các tài liệu dưới dạng tập tin đính kèm, dưới dạng tin nhắn. Khi người dùng nhấn vào file đính kèm, ngay lập tức sẽ kích hoạt mã độc. Một số người khác bị dính mã độc đo tải phần mềm, ứng dụng trên trang web bảo mật thấp.

Chỉ sau vài ngày virus mã hóa dữ liệu đuôi .Crab đã được nâng cấp lên phiên bản mới được người dùng gọi là gandcrab v2 (version 2) với thuật toán tiên tiến hơn, khó giải mã hơn số tiền đòi tiền chuộc cũng tăng lên đáng kể. Nhưng cách thức hoạt động của nó vẫn mang bản chất của virus tống tiền chuẩn từ những năm 2013 trở lại đây.

Virus mã hóa đuôi Crab được xác định là dòng mới của “gia đình” Gandcrab, dường như nó là một bản dựng tùy chỉnh mới dựa trên mã thuật toán gốc. Khi nó lây nhiễm vào máy tính của nạn nhân nó sẽ bắt đầu thay đổi như:

Thu thập dữ liệu: virus mã hóa .Crab được thiết kế để thu thập thông tin về máy tính bị nhiễm mã độc. Khi virus đã thu thập được thông tin nó có thể tiết lộ trực tiếp danh tính người dùng (các thông tin như số điện thoại, địa chỉ, sở thích, mật khẩu…).

Vô hiệu hóa các lớp bảo vệ mặc định: Virus mã hóa có thể hoạt động mạnh mẽ hơn, do vậy nó có thể ẩn mình trong hệ thống. Đối với các phần mềm cài đặt thì nó hoàn toàn vô hình nên không phải phần mềm diệt virus nào cũng có thể phát hiện được.

Thay đổi hệ thống: Những thay đổi đối với hệ điều hành có thể làm cho mẫu virus này trở thành một mối đe dọa. Nó sẽ làm thay đổi định dạng dữ liệu đảm bảo không ai khác có thể giải mã được dữ liệu. Có thể còn nhiều thay đổi khác nhưng chưa được báo cáo.

3. Số tiền chuộc của virus mã hóa đuôi Crab

Ở phiên bản đầu tiên các nạn nhân đều nhận được yêu cầu đòi tiền chuộc là 350 USB. Ở phiên bản thứ 2 kẻ tấn công đã tăng số tiền chuộc lên đến 450 USD – 1000 USD tùy vào mỗi nạn nhân.

Trên thực tế số lượng tiền nạn nhân phải chi trả lớn hơn con số trên báo cáo đòi tiên của các hackers. Tuy nhiên không ai thống kê được số tiền thực tế phải chi cho kẻ tống tiền.

4. Cách cứu dữ liệu bị nhiễm virus đuôi crab

Chưa có phần mềm nào được khẳng định chắc chắn có thể giải mã được các thật toán virus mã hóa. Nó là những mã hóa mạnh mẽ, khó hóa giải. Cách duy nhất để cứu dữ liệu chính là đồng ý trả tiền mua key. Cách này rủi ro cao, vì những kẻ tội phạm mạng đều không đáng tin, họ cũng không để lại bất kỳ thông tin liên lạc nào.

Để đảm bảo tính an toàn, tốt nhất giao dịch mua key giải mã nên thông qua các công ty uy tín – họ là những người có kinh nghiệm xử lý các vấn đề liên quan.

5. Các biện pháp phòng ngừa an ninh

• Kích hoạt tưởng lửa – firewall
• Cài đặt phần mềm chống virus đáng tin cậy
• Bảo mật mọi trình duyệt web
• Thường xuyên cập nhận phần mềm trong máy tính
• Tắt Macro trong tài liệu office
• Sử dụng pass có độ khó cao
• Không mở tệp đính kèm hoặc nhấp vào các liên kết lạ
• Sao lưu dữ liệu thường xuyên

Sau khi đã cứu dữ liệu do virus mã hóa đuôi Crab, hoặc với trường hợp dữ liệu không quan trọng hãy đảm bảo format toàn bộ ổ đĩa và cài lại win để loại bỏ mọi mầm mống virus trước khi tiếp tục sử dụng.

Trong thời gian gần đây, chúng tôi đã tiếp nhận một ổ cứng bị nhiễm virus mã hóa dữ liệu hay còn gọi là virus tống tiền. Trường hợp lần này không còn như những loại mã hóa chúng tôi cảnh báo trước đó. Quá trình mã hóa đã tinh vi hơn rất nhiều, gây khó khăn trong quá trình cứu dữ liệu, đồng thời số tiền đòi chuộc cũng tăng lên nhiều lần.

1. Virus mã hóa dữ liệu là gì?

Virus mã hóa dữ liệu hay còn biết đến là phần mềm độc hại ransomware nó là mã độc có thể lây nhiễm vào máy tính và khóa hết dữ liệu làm người dùng không thể sử dụng được. Biểu hiện tất cả các file dữ liệu xuất hiện thêm đuôi .CRAB, .CCC, .AAA…. . Để lấy lại dữ liệu, người dùng buộc phải gửi tiền mua key theo yêu cầu của tin tặc. Cũng vì số tiền phải trả để chuộc dữ liệu quá lớn nên nó được mọi người gọi là virus tống tiền.

2. Tình huống virus mã hóa dữ liệu chúng tôi gặp phải

Khách hàng mang ổ cứng bị nhiễm virus mã hóa, do không có chuyên môn khách đã thực hiện nhiều thao tác thao tác hướng dẫn của mã độc. Khiến cho virus được mã hóa 2 lớp. Nếu quá trình kiểm tra có sai xót sẽ rất khó phát hiện. Thường những chuyên gia mới phân tích được những bất thường về các lớp mã hóa của virus. Nếu trong 1 năm về trước, dữ liệu có thể giải mã bằng 1 key để đọc dữ liệu, lần này để đọc dữ liệu, sẽ cần nhiều key hơn, đồng thời số tiền cũng tăng lên, có thể tới hàng trăm triệu. Các virus tống tiền tấn công và phát triển theo cách ngày càng tinh vi khó phát hiện, đồng thời số tiền giải mã ngày càng tăng cao.

3. Các loại virus mã hóa, virus tống tiền

• CryptoLocker – là cuộc tấn công vào năm 2013 đã bắt đầu tên tuổi của ransomware hiện đại và đã lây nhiễm tới 500.000 máy. Dấu hiệu là tất cả các file dữ liệu xuất hiện thêm đuôi: *.Crypt, *.Crypz • TeslaCrypt – tập trung vào các trò chơi và cải tiến liên tục trong thời gian tiếp theo với nhiều biến thể khác nhau. Biến thể đầu tiên là *.ECC sau đó *.VVV, *.CCC, *.ZZZ, *.AAA, *.ABC, *.XYZ và phiên bản sau cùng là *.XXX, *. TTT, *.MP3, *.MICRO • WannaCry – lây lan tự trị từ máy tính này sang máy tính khách bằng cách sử dụng EternalBlue, được phát triển bởi NSA và sau đó bị đánh cắp bởi tin tặc • NotPetya – cũng sử dụng EternalBlue và tấn công không gian mạng do Nga điều khiển chống lại Ukraine • Locky – bắt đầu lan truyền vào năm 2016 “tương tự như phương thức tấn công của nó với phần mềm ngân hàng khét tiếng Dridex”.

• Thời gian gian gần đây, khoảng cuối tháng 3/2018 chúng tôi nhận được nhiều yêu cầu cứu dữ liệu từ một loại virus mới đổi đuôi tất cả các file dữ liệu thành *.CRAB. Như các loại virus mã hóa dữ liệu trước đây, cách duy nhất để giải mã dữ liệu là phải trả 1 khoản phí để mua key. Thực tế chúng tôi kiểm tra mức giá để giải mã virus .CRAB dao động khoảng 300USD-500USD.

4. Cách phục hồi dữ liệu bị virus mã hóa

Để phục hồi dữ liệu bị virus mã hóa, người dùng sẽ không có cách nào khác ngoài việc mua key bên nước ngoài. Đây cũng là hình thức rủi ro nhất, vì bên mua sẽ không có được bất kỳ thông tin nào của bên bán, cũng không có bất kỳ chứng từ xác nhận nào. Có nhiều người không có kinh nghiệm thực hiện giao dịch, vừa mất tiền, mà key lại không hoạt động. Để tránh “tiền mất tật mang” bạn nên thực hiện giao dịch theo từng công đoạn chia nhỏ. Ví dụ một ổ cứng bị virus mã hóa. Bạn cần phải phải lấy key test giải mã, nếu đúng có thể sử dụng được thì hãy chia nhỏ dữ liệu thành nhiều lần giải mã và thanh toán tiền, tránh mất trắng tiền.

Lưu ý: Hiện nay tất cả các phần mềm cứu dữ liệu virus mã hóa chỉ là bài câu view, hãy thận trọng khi áp dụng theo tránh trường hợp bị mã hóa chồng chéo sẽ tốn nhiều tiền hơn, quá trình thực hiện cứu dữ liệu càng khó khăn hơn. Thực tế chúng tôi đã nhận phục hồi dữ liệu từ ổ cứng bị virus mã hóa đến 3 – 4 lần vì người dùng tự ý giao dịch khi chưa có kinh nghiệm. Nếu không tự tin giao dịch tốt hơn hết bạn hãy nhờ đến các công ty cứu dữ liệu để được hỗ trợ tư vấn hoặc giải mã lấy lại dữ liệu.

– Nên nhanh chóng mua key để giải mã. Vì loại virus mã hóa dữ liệu này rất tinh vi, để tránh bị An Ninh quốc tế phát hiện chúng đưa ra hạn giao dịch và thường xuyên thay đổi hệ thống Server giao dịch, đánh sập hệ thống Server cũ. Lúc này dữ liệu của bạn sẽ bị mất vĩnh viễn nếu không giao dịch kịp thời hoặc số tiền có thể sẽ bị nhân 2, 3 lần nếu không giao dịch đúng hẹn.

– Sau khi giải mã cứu được dữ liệu hãy format và cài lại windows trước khi sử dụng chiếc ổ cứng bị nhiễm mã độc đó. Tránh trường hợp mã độc vẫn tồn tại ngầm trong ổ sẽ mã hóa ngược lại dữ liệu đã cứu được.