Thông tin: Có một chủ đề hỗ trợ Locky đang hoạt động bao gồm các cuộc thảo luận và kinh nghiệm của nhiều nhà tư vấn CNTT, người dùng cuối và các công ty đã bị ảnh hưởng bởi chương trình ransomware này. Nếu bạn quan tâm đến sự lây nhiễm này hoặc muốn đặt câu hỏi về Locky, vui lòng truy cập Chủ đề hỗ trợ Locky . Khi đến chủ đề và nếu bạn là thành viên đã đăng ký của trang web, bạn có thể hỏi hoặc trả lời các câu hỏi và đăng ký để nhận thông báo khi ai đó thêm thông tin vào chủ đề.
Phần mềm tống tiền Locky là gì?
Locky là một loại ransomware Windows được phát hành vào giữa tháng 2 năm 2016. Việc lây nhiễm ransomware này sẽ ảnh hưởng đến tất cả các phiên bản Windows, bao gồm Windows XP, Windows Vista, Windows 7, Windows 8 và Windows 10. Khi nạn nhân bị nhiễm, họ sẽ mã hóa các tập tin của họ và sau đó sẽ yêu cầu một khoản tiền chuộc khoảng 0,5 bitcoin để nhận được khóa giải mã.
Khi Locky lây nhiễm vào máy tính của bạn, nó sẽ quét tất cả các ký tự ổ đĩa và mạng chia sẻ để tìm các loại tệp được nhắm mục tiêu và mã hóa chúng bằng thuật toán mã hóa AES. Sau khi các tệp này được mã hóa, chúng sẽ không thể mở được bằng các chương trình thông thường của bạn nữa. Khi Locky mã hóa xong các tập tin của nạn nhân, nó sẽ thay đổi hình nền máy tính thành hình ảnh có tác dụng giống như một tờ giấy đòi tiền chuộc. Nó cũng sẽ hiển thị thông báo đòi tiền chuộc HTML trong trình duyệt mặc định của bạn. Các thông báo đòi tiền chuộc này bao gồm hướng dẫn về cách kết nối với trang Bộ giải mã Locky nơi bạn có thể tìm hiểu thêm về những gì đã xảy ra với các tệp của mình và cách bạn có thể thực hiện thanh toán tiền chuộc Locky.
Với tỷ giá bitcoin hiện nay, số tiền chuộc 0,5 bitcoin là khoảng 230 USD. Địa chỉ bitcoin mà bạn phải gửi thanh toán sẽ khác nhau đối với mỗi nạn nhân.
Cách Locky Ransomware mã hóa các tập tin của bạn
Khi Locky được cài đặt lần đầu, nó sẽ kiểm tra xem máy tính có đang sử dụng ngôn ngữ tiếng Nga hay không và nếu có thì sẽ không mã hóa máy tính. Nếu không, nó sẽ kết nối với máy chủ Command & Control từ xa nằm dưới sự kiểm soát của nhà phát triển Locky và gửi ID liên quan đến sự lây nhiễm của nạn nhân. ID này được tạo bằng cách lấy 16 ký tự đầu tiên của hàm băm MD5 của GUID cho ổ lưu trữ mà Windows được cài đặt trên đó. Sau khi gửi ID, Locky sẽ phản hồi bằng khóa RSA sẽ được sử dụng trong quá trình mã hóa.
Locky sau đó sẽ tạo khóa đăng ký Windows mà nó sẽ sử dụng để lưu trữ thông tin cấu hình. Khóa đăng ký này được đặt tại HKCU\Software\[random] .
Bây giờ Locky sẽ quét các ổ đĩa cục bộ, di động, được ánh xạ của máy tính và các chia sẻ mạng chưa được ánh xạ để tìm các loại tệp mà nó nhắm mục tiêu mã hóa. Các tiện ích mở rộng mà Locky nhắm đến là:
Khi một tệp được mã hóa, nó sẽ tạo khóa mã hóa AES mới và mã hóa tệp bằng khóa đó. Khóa mã hóa AES này sau đó được mã hóa thêm bằng khóa RSA được lấy từ máy chủ Command & Control. Khóa AES được mã hóa RSA này sau đó sẽ được lưu trữ trong tệp được mã hóa.
Khi một tập tin được mã hóa, nó sẽ được đổi tên thành các định dạng khác nhau tùy thuộc vào phiên bản Locky. Nhiều phần mở rộng trong số này được đặt theo tên các vị thần trong thần thoại Bắc Âu và Ai Cập. Phần mở rộng hiện tại được các tệp được mã hóa sử dụng là .OSIRIS .
Dưới đây là danh sách các tiện ích mở rộng mà Locky đã sử dụng cho các tệp được mã hóa:
| Sự mở rộng | Định dạng tệp | Ví dụ về tệp được mã hóa | Ngày bắt đầu |
|---|---|---|---|
| .locky | <16_char_victim_id><16_char_random_hex_number>.locky | A65091F1B14A911F0DD0E81ED3029F08.locky | Định dạng gốc |
| .zepto | [8_hexadecimal_chars]-[4_hexadecimal_chars]-[4_hexadecimal_chars]-[4_hexadecimal_chars]-[12_hexadecimal_chars].zepto . | 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto | 27/6/16 |
| .odin | [first_8_chars_of_id]--[next_4_chars_of_id]--[next_4_chars_of_id]--[8_hexadecimal_chars]--[12_hexadecimal_chars].odin | 11111111--1111--1111--FC8BB0BA--5FE9D9C2B69A.odin | 26/9/16 |
| .Chết tiệt | [first_8_chars_of_id]--[next_4_chars_of_id]--[next_4_chars_of_id]--[8_hexadecimal_chars]--[12_hexadecimal_chars].shit | 11111111--1111--1111--FC8BB0BA--5FE9D9C2B69A.shit | 24/10/16 |
| .Thần sấm | [first_8_chars_of_id]--[next_4_chars_of_id]--[next_4_chars_of_id]--[8_hexadecimal_chars]--[12_hexadecimal_chars].thor | 024BCD33-41D1-ACD3-3EEA-84083E322DFA.thor | 25/10/16 |
| .aesir | [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].aesir | 016CCB88-61B1-ACB8-8FFA-86088F811BFA.aesir | 21/11/16 |
| .zzzzz | [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].zzzzz | 016CCB88-61B1-ACB8-8FFA-86088F811BFA.zzzzz | 24/11/16 |
| .osiris | [first_8_chars_of_id]--[next_4_chars_of_id]--[next_4_chars_of_id]--[8_hexadecimal_chars]--[12_hexadecimal_chars].osiris | 11111111--1111--1111--FC8BB0BA--5FE9D9C2B69A.osiris | 05/12/16 |
| .loptr | [first_8_chars_of_id]--[next_4_chars_of_id]--[next_4_chars_of_id]--[8_hexadecimal_chars]--[12_hexadecimal_chars].loptr | 11111111--1111--1111--FC8BB0BA--5FE9D9C2B69A.loptr | 10/5/17 |
| . diablo6 | [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].diablo6 | E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.diablo6 | 9/8/17 |
| .lukitus | [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].lukitus | E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.lukitus . | 15/8/17 |
| .ykcol | [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol | E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin | 18/9/17 |
| .asasin | [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].asasin | E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin | 10/10/17 |
Điều quan trọng cần nhấn mạnh là Locky sẽ quét tất cả các ký tự ổ đĩa trên máy tính của bạn bao gồm ổ đĩa di động, chia sẻ mạng và thậm chí cả ánh xạ DropBox. Tóm lại, nếu có ký tự ổ đĩa trên máy tính của bạn, nó sẽ được quét các tệp dữ liệu để mã hóa bởi ransomware
Khi quá trình lây nhiễm hoàn tất quá trình quét máy tính của bạn, nó sẽ cố gắng xóa tất cả các Bản sao Ổ đĩa Bóng tối trên máy tính bị ảnh hưởng. Nó thực hiện điều này để bạn không thể sử dụng các bản sao ổ đĩa ẩn để khôi phục các tệp được mã hóa của mình. Trong các thử nghiệm của tôi, quá trình này đôi khi không thành công nên bạn có thể sử dụng các bản sao ổ đĩa ẩn để khôi phục các tệp của mình. Lệnh được chạy để xóa Shadow Volumes là:
vssadmin.exe Xóa bóng /Tất cả /Quiet
Bây giờ dữ liệu máy tính của bạn đã được mã hóa, nó sẽ hiển thị thông báo tiền chuộc %UserProfile%\Desktop\_HELP_instructions.html như hiển thị bên dưới.
Thông báo tiền chuộc Locky
Một văn bản mẫu của thông báo đòi tiền chuộc là:
*+_+~~-+~=~*$$-
!!! THÔNG TIN QUAN TRỌNG !!!!
Tất cả các tệp của bạn đều được mã hóa bằng mật mã RSA-2048 và AES-128.
Bạn có thể tìm thêm thông tin về RSA và AES tại đây:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Việc giải mã các tệp của bạn chỉ có thể thực hiện được bằng khóa riêng và chương trình giải mã trên máy chủ bí mật của chúng tôi.
Để nhận khóa riêng của bạn, hãy truy cập một trong các liên kết:
1. http://25z5g623wpqpdwis.tor2web.org/F61242A1A24B711E
2. http://25z5g623wpqpdwis.onion.to/F61242A1A24B711E
3. http://25z5g623wpqpdwis.onion.cab /F61242A1A24B711E
Nếu tất cả các địa chỉ này không có sẵn, hãy làm theo các bước sau:
1. Tải xuống và cài đặt Tor Browser: https://www.torproject.org/download/download-easy.html
2. Sau khi cài đặt thành công, hãy chạy trình duyệt và đợi để khởi tạo.
3. Nhập vào thanh địa chỉ: 25z5g623wpqpdwis.onion/F61242A1A24B711E
4. Làm theo hướng dẫn trên trang web.
!!! ID cá nhân của bạn: F61242A1A24B711E !!!
+$.+~-=*-.*.~.
=|++~--~=$_-|_
_=$.._
Hình nền khóa
Cả hai thông báo đòi tiền chuộc này sẽ chứa ID và URL duy nhất của bạn tới trang TOR nơi bạn có thể tìm hiểu số tiền chuộc của mình là bao nhiêu và cách thực hiện thanh toán tiền chuộc. Trang thanh toán cho Locky được gọi là Trang giải mã Locky. Để biết thêm chi tiết về trang thanh toán, vui lòng chuyển sang phần này .
Bạn nên làm gì khi phát hiện máy tính bị nhiễm Locky
Nếu bạn phát hiện ra rằng máy tính của mình bị nhiễm Locky, bạn nên tắt máy tính ngay lập tức và nếu có thể hãy tạo một bản sao hoặc hình ảnh của ổ cứng. Điều này cho phép bạn lưu trạng thái hoàn chỉnh của ổ cứng trong trường hợp phương pháp giải mã miễn phí được phát triển trong tương lai. Để biết thêm thông tin về cách thực hiện việc này, vui lòng hỏi trong diễn đàn .
Nếu bạn không định trả tiền chuộc và có thể khôi phục từ bản sao lưu, hãy quét máy tính của bạn bằng chương trình chống vi-rút hoặc chống phần mềm độc hại và để nó xóa mọi thứ. Thật không may, hầu hết mọi người không nhận ra Locky đang ở trên máy tính của họ cho đến khi nó hiển thị thông báo đòi tiền chuộc và các tệp của bạn đã được mã hóa. Tuy nhiên, quá trình quét ít nhất sẽ phát hiện và loại bỏ bất kỳ phần mềm độc hại nào khác có thể đã được cài đặt cùng với chương trình ransomware.
Như thường lệ, chúng tôi không bao giờ khuyên bạn trả tiền chuộc, nhưng nếu bạn định làm như vậy, điều quan trọng là bạn không xóa ghi chú tiền chuộc vì bạn sẽ cần ID của mình để thanh toán.
Làm thế nào bạn bị nhiễm Locky?
Người dùng thường bị Locky lây nhiễm thông qua các email giả mạo hóa đơn hoặc thông qua bộ công cụ khai thác trên các trang web bị tấn công. Các hóa đơn này sẽ có chủ đề tương tự như ATTN: Invoice J-12155976 hoặc FW: Invoice và có đính kèm tài liệu word hoặc file zip độc hại chứa trình cài đặt javascript. Các tệp đính kèm này sẽ có tên tệp như Invoice J-12155976.doc hoặc 138AD_scan_invoice_45E288.zip .
Email phân phối mẫu.
Nguồn: Fireye
Khi bạn nhấp đúp vào tài liệu word và bật macro hoặc thực thi tệp javascript, nó sẽ tải xuống tệp thực thi ransomware Locky và bắt đầu quá trình mã hóa.
Tài liệu Word độc hại
Locky cũng có thể lây nhiễm vào máy tính của bạn khi bạn truy cập một trang web bị tấn công có chứa bộ khai thác trên đó. Các bộ công cụ khai thác này sẽ quét máy tính của bạn để tìm các chương trình dễ bị tấn công và cố gắng khai thác chúng để cài đặt và khởi động phần mềm ransomware mà bạn không hề biết.
Vì vậy, điều bắt buộc là mọi người phải luôn cập nhật Windows và các chương trình đã cài đặt của mình. Bạn có thể sử dụng các hướng dẫn này để biết thêm thông tin về cách cập nhật cài đặt Windows và các chương trình đã cài đặt của bạn:
Cách cập nhật Windows
Cách phát hiện các chương trình dễ bị tấn công và lỗi thời bằng Secunia Personal Software Inspector (PSI)
Những điều bạn cần biết và Chia sẻ Mạng
Locky có khả năng mã hóa các tập tin trên mạng chia sẻ ngay cả khi chúng chưa được ánh xạ. Do đó, điều quan trọng là tất cả quản trị viên hệ thống phải thắt chặt quyền trên mạng chia sẻ của họ và chỉ cấp quyền truy cập khi cần thiết.
Chúng tôi vẫn khuyên bạn nên bảo mật tất cả các lượt chia sẻ đang mở bằng cách chỉ cho phép quyền truy cập có thể ghi vào các nhóm người dùng cần thiết hoặc những người dùng đã được xác thực. Đây là một nguyên tắc bảo mật quan trọng cần được sử dụng mọi lúc bất kể những trường hợp lây nhiễm như thế này.
Cách tìm người dùng bị nhiễm đã mã hóa Chia sẻ mạng
Đối với nhiều quản trị viên hệ thống, việc tìm ra máy tính bị nhiễm mã hóa chia sẻ mạng có thể là một trải nghiệm khó chịu. Khi cố gắng tìm ra điều này, tôi luôn khuyên bạn nên kiểm tra các thuộc tính của tệp được mã hóa và kiểm tra xem ai là chủ sở hữu của tệp. Bạn có thể sử dụng chủ sở hữu này để xác định máy bị nhiễm.
Trang web thanh toán trang giải mã Locky
Các nhà phát triển của Locky đã tạo ra một trang thanh toán TOR có tên là Trang giải mã Locky . Trang web này có thể được nạn nhân sử dụng để trả tiền chuộc và tải xuống bộ giải mã. Khi truy cập trang web này, bạn sẽ nhận được thông tin về các tệp được mã hóa của mình và tìm hiểu cách trả tiền chuộc. Bạn có thể tìm thấy các liên kết đến trang web này trong ghi chú đòi tiền chuộc được tạo trên màn hình Windows và các vị trí khác trên máy tính của bạn. Sau khi truy cập trang web, bạn có thể trả tiền chuộc, hiện ở mức khoảng 230 USD, bằng cách gửi Bitcoin đến địa chỉ được chỉ định.
Bấm vào hình trên để xem các trang giải mã.
Sau khi thanh toán được thực hiện, trang web sẽ đợi một lượng xác nhận bitcoin nhất định trước khi khóa riêng của bạn được cung cấp cho bạn. Khi đã có đủ xác nhận, bộ giải mã sẽ được cung cấp cho bạn để tải xuống. Xin lưu ý rằng mỗi nạn nhân có bộ giải mã riêng, bộ giải mã này sẽ không hoạt động với bất kỳ máy tính bị nhiễm virus nào khác. Do đó, bộ giải mã của một nạn nhân sẽ KHÔNG hoạt động trên máy tính của nạn nhân khác.
Việc trả tiền chuộc có thực sự giải mã được các tập tin của bạn không?
Đầu tiên và quan trọng nhất, chỉ trả tiền chuộc nếu bạn hoàn toàn không có lựa chọn nào khác. Bằng cách trả tiền chuộc, bạn chỉ khuyến khích các nhà phát triển phần mềm độc hại tiếp tục lây nhiễm ransomware như Locky.
Như đã nói, nếu bạn không có lựa chọn nào khác thì các nhà phát triển ransomware sẽ cung cấp chương trình giải mã nếu bạn trả tiền chuộc. Họ biết rằng nếu họ không thực hiện lời hứa sau khi thanh toán, lời nói sẽ lan ra ngoài và không ai khác sẽ trả tiền.
Sau khi bạn trả tiền chuộc và nó được xác minh, một liên kết tải xuống sẽ xuất hiện trên Trang Bộ giải mã Locky cho phép bạn tải xuống bộ giải mã. Xin lưu ý rằng quá trình giải mã có thể mất khá nhiều thời gian.
Có thể giải mã các tập tin được Locky mã hóa miễn phí không?
Thật không may, hiện tại không thể giải mã miễn phí các tệp được mã hóa Locky. Tuy nhiên, điều đó có thể xảy ra trong tương lai nếu các khóa giải mã được khôi phục từ máy chủ Locky Command & Control. Do đó, nếu bạn không định trả tiền chuộc, bạn nên tạo hình ảnh của các ổ đĩa được mã hóa để có thể giải mã chúng trong tương lai.
Cách khôi phục file bị mã hóa bởi Locky
Cách duy nhất của bạn để khôi phục các tệp được mã hóa Locky là thử khôi phục chúng từ bản sao lưu, từ phần mềm khôi phục tệp hoặc nếu bạn may mắn, Shadow Volume Copies. Tôi đã nêu các phương pháp khác nhau bên dưới mà bạn có thể sử dụng để cố gắng khôi phục các tệp của mình.
Phương pháp 1: Sao lưu
Phương pháp đầu tiên và tốt nhất là khôi phục dữ liệu của bạn từ bản sao lưu gần đây. Nếu bạn đang thực hiện sao lưu thì bạn nên sử dụng bản sao lưu của mình để khôi phục dữ liệu.
Phương pháp 2: Bản sao khối lượng bóng
Điều đáng ngạc nhiên là trong một thử nghiệm gần đây, Locky đã không xóa sạch các Bản sao Khối lượng Bóng tối đúng cách. Vì vậy, tôi khuyên mọi người nên thử khôi phục các tệp của mình bằng Shadow Volumes trong trường hợp chúng không bị xóa đúng cách. Để biết thêm thông tin về cách khôi phục các tệp của bạn thông qua Shadow Volume Copies, vui lòng xem liên kết bên dưới:
Cách khôi phục file bị Locky mã hóa bằng Shadow Volume Copies
Phương pháp 3: Phần mềm khôi phục tệp
Khi Locky mã hóa một tập tin, trước tiên nó sẽ tạo một bản sao của nó, mã hóa bản sao và sau đó xóa bản gốc. Do đó, bạn có thể sử dụng phần mềm khôi phục tệp như R-Studio hoặc Photorec để khôi phục một số tệp gốc của mình. Điều quan trọng cần lưu ý là bạn càng sử dụng máy tính nhiều sau khi các tệp được mã hóa thì các chương trình khôi phục tệp sẽ càng khó khôi phục các tệp chưa được mã hóa đã xóa.
Phương pháp 4: Khôi phục thư mục DropBox
Nếu tài khoản dropbox của bạn được ánh xạ dưới dạng ký tự ổ đĩa thì có thể nội dung của nó đã được Locky mã hóa. Nếu đúng như vậy, bạn có thể sử dụng liên kết bên dưới để tìm hiểu cách khôi phục các tệp của mình.
Cách khôi phục file bị Locky mã hóa bằng Shadow Volume Copies
Nếu bạn đã bật Khôi phục Hệ thống trên máy tính, Windows sẽ tạo ảnh chụp nhanh bản sao bóng chứa các bản sao tệp của bạn từ thời điểm đó khi ảnh chụp nhanh khôi phục hệ thống được tạo. Những ảnh chụp nhanh này có thể cho phép chúng tôi khôi phục phiên bản trước của tệp trước khi chúng được mã hóa. Tuy nhiên, phương pháp này không phải là bằng chứng ngu ngốc vì mặc dù những tệp này có thể không được mã hóa nhưng chúng cũng có thể không phải là phiên bản mới nhất của tệp. Xin lưu ý rằng Bản sao khối lượng bóng tối chỉ khả dụng với Windows XP Service Pack 2, Windows Vista, Windows 7 và Windows 8.
Lưu ý: Locky sẽ cố gắng xóa tất cả các bản sao ẩn khi bạn khởi động bất kỳ tệp thực thi nào trên máy tính của mình lần đầu tiên sau khi bị nhiễm virus. Rất may, sự lây nhiễm không phải lúc nào cũng có thể loại bỏ các bản sao ẩn, vì vậy có một khả năng nhỏ là bạn có thể khôi phục các tệp của mình bằng phương pháp này.
Trong phần này, chúng tôi cung cấp hai phương pháp mà bạn có thể sử dụng để khôi phục các tệp và thư mục từ Shadow Volume Copy. Phương pháp đầu tiên là sử dụng các tính năng gốc của Windows và phương pháp thứ hai là sử dụng chương trình có tên ShadowExplorer . Sẽ không hại gì khi thử cả hai và xem phương pháp nào phù hợp hơn với bạn.
Sử dụng Windows gốc Các phiên bản trước :
Để khôi phục từng tệp riêng lẻ, bạn có thể nhấp chuột phải vào tệp, đi vào Thuộc tính và chọn tab Phiên bản trước . Tab này sẽ liệt kê tất cả các bản sao của tệp đã được lưu trữ trong Shadow Volume Copy và ngày chúng được sao lưu như trong hình bên dưới.
Để khôi phục một phiên bản cụ thể của tệp, chỉ cần nhấp vào nút Sao chép và sau đó chọn thư mục bạn muốn khôi phục tệp. Nếu bạn muốn khôi phục tệp đã chọn và thay thế tệp hiện có, hãy nhấp vào nút Khôi phục . Nếu bạn muốn xem nội dung của tệp thực tế, bạn có thể nhấp vào nút Mở để xem nội dung của tệp trước khi khôi phục tệp.
Phương pháp tương tự này có thể được sử dụng để khôi phục toàn bộ thư mục. Chỉ cần nhấp chuột phải vào thư mục và chọn Thuộc tính , sau đó chọn tab Phiên bản trước . Sau đó, bạn sẽ thấy một màn hình tương tự như trên, nơi bạn có thể Sao chép bản sao lưu đã chọn của thư mục sang vị trí mới hoặc Khôi phục nó trên thư mục hiện có.
Sử dụng ShadowExplorer :
Bạn cũng có thể sử dụng chương trình có tên ShadowExplorer để khôi phục toàn bộ thư mục cùng một lúc. Khi tải xuống chương trình, bạn có thể sử dụng bản tải xuống cài đặt đầy đủ hoặc phiên bản di động vì cả hai đều thực hiện cùng chức năng.
Khi khởi động chương trình, bạn sẽ thấy một màn hình liệt kê tất cả các ổ đĩa và ngày mà bản sao ẩn được tạo. Chọn ổ đĩa (mũi tên màu xanh) và ngày (mũi tên màu đỏ) mà bạn muốn khôi phục. Điều này được thể hiện trong hình ảnh dưới đây.
Để khôi phục toàn bộ thư mục, nhấp chuột phải vào tên thư mục và chọn Xuất . Sau đó, bạn sẽ được nhắc về nơi bạn muốn khôi phục nội dung của thư mục.
Cách khôi phục file đã bị mã hóa trên thư mục DropBox
Nếu bạn đã ánh xạ DropBox tới ký tự ổ đĩa trên máy tính bị nhiễm virus hoặc được đồng bộ hóa với một thư mục, Locky sẽ cố gắng mã hóa các tệp trên đó. DropBox cung cấp phiên bản miễn phí trên tất cả các tài khoản của mình, cho phép bạn khôi phục các tệp được mã hóa thông qua trang web của họ. Thật không may, quy trình khôi phục do DropBox cung cấp chỉ cho phép bạn khôi phục từng tệp một chứ không phải toàn bộ thư mục. Nếu bạn cần hướng dẫn khôi phục toàn bộ thư mục trong DropBox, vui lòng nhấp vào đây .
Để khôi phục một tệp, chỉ cần đăng nhập vào trang web DropBox và điều hướng đến thư mục chứa các tệp được mã hóa mà bạn muốn khôi phục. Khi bạn đã ở trong thư mục, hãy nhấp chuột phải vào tệp được mã hóa và chọn Phiên bản trước như trong hình bên dưới.
Khi bạn nhấp vào Phiên bản trước, bạn sẽ thấy một màn hình hiển thị tất cả các phiên bản của tệp được mã hóa.
Chọn phiên bản của tệp bạn muốn khôi phục và nhấp vào nút Khôi phục để khôi phục tệp đó.
Thật không may, quá trình nêu trên có thể rất tốn thời gian nếu có nhiều thư mục cần khôi phục. Để khôi phục toàn bộ thư mục chứa các tệp được mã hóa, bạn có thể sử dụng tập lệnh python khôi phục dropbox nằm ở đây . Xin lưu ý rằng tập lệnh này yêu cầu cài đặt Python trên máy tính được mã hóa để thực thi tập lệnh. Bạn có thể tìm thấy hướng dẫn về cách sử dụng tập lệnh này trong tệp README.md cho dự án này.
Cách phòng tránh máy tính bị nhiễm Locky
Có một số phương pháp và tiện ích mà chúng tôi khuyên dùng để bảo vệ máy tính của bạn khỏi bị nhiễm ransomware. Ba trong số các phương pháp này là Emsisoft Anti-Malware, HitmanPro: Alert, Malwarebytes Anti-Ransomware và HitmanPro: Alert. Tùy chọn thứ tư là sử dụng Chính sách hạn chế phần mềm để ngăn các chương trình được phép thực thi từ một số vị trí nhất định. Tiết lộ đầy đủ, BleepingComputer.com kiếm tiền hoa hồng từ việc bán Emsisoft Anti-Malware, HitmanPro: Alert và CryptoPrevent, nhưng không phải từ Malwarebytes Anti-Ransomware.
Emsisoft Chống phần mềm độc hại:
Emsisoft Anti-Malware, hay EAM, có một tính năng được gọi là trình chặn hành vi có thành tích đã được chứng minh là chặn ransomware trước khi nó có thể bắt đầu mã hóa dữ liệu trên máy tính của bạn. Không giống như các định nghĩa chống vi-rút truyền thống, trình chặn hành vi của EAM kiểm tra hành vi của một quy trình và nếu hành vi này chứa một số đặc điểm nhất định thường thấy trong phần mềm độc hại thì nó sẽ ngăn nó chạy. Bằng cách sử dụng phương pháp phát hiện, trình chặn hành vi sẽ phát hiện khi một quá trình đang quét máy tính để tìm tệp và sau đó cố gắng mã hóa chúng. Nếu nó phát hiện ra hành vi này, nó sẽ tự động chấm dứt quá trình.
Theo một bài báo trên trang web của Emsisoft, trình chặn hành vi của EAM có thể chặn 20 dòng ransomware tiền điện tử mà không cần sử dụng chữ ký.
Bạn có thể tìm thêm thông tin về Emsisoft Anti-Malware và trình chặn hành vi tại đây: https://www.emsisoft.com/en/software/antimalware/
HitmanPro: Cảnh báo:
HitmanPro: Alert cũng là một chương trình tuyệt vời nhưng được thiết kế như một chương trình chống khai thác đầy đủ tính năng và không chỉ nhắm mục tiêu vào việc lây nhiễm ransomware. Cảnh báo cung cấp khả năng bảo vệ khỏi các lỗ hổng máy tính và phần mềm độc hại cố gắng đánh cắp dữ liệu của bạn. Thật không may, vì chương trình này có trọng tâm rộng hơn nhiều nên đôi khi cần phải cập nhật khi phần mềm ransomware mới được phát hành. Miễn là bạn luôn cập nhật các bản cập nhật, HitmanPro: Alert sẽ cung cấp khả năng bảo vệ tuyệt vời.
Bạn có thể tìm thêm thông tin về HitmanPro: Alert tại đây: http://www.surfright.nl/en/alert
Malwarebytes Chống ransomware
Malwarebytes Anti-Ransomware là một chương trình khác không dựa vào chữ ký hoặc chẩn đoán mà dựa vào việc phát hiện hành vi phù hợp với những gì được thấy trong trường hợp lây nhiễm ransomware. Tại thời điểm này, Malwarebytes Anti-Ransomware hiện đang ở giai đoạn thử nghiệm, vì vậy hãy cẩn thận khi sử dụng phần mềm này trên môi trường sản xuất cho đến khi giải quyết xong các vấn đề.
Bạn có thể tải xuống và nhận thêm thông tin về Malwarebytes Anti-Ransomware tại đây: https://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware/
Định cấu hình danh sách trắng ứng dụng:
Một phương pháp rất an toàn để ngăn chặn sự lây nhiễm của ransomware hoặc hầu hết mọi phần mềm độc hại khác là sử dụng phương pháp có tên là Danh sách trắng ứng dụng . Danh sách trắng ứng dụng là khi bạn khóa Windows để tất cả các tệp thực thi bị từ chối ngoại trừ những tệp mà bạn đặc biệt cho phép chạy. Vì bạn chỉ cho phép các chương trình mà bạn tin cậy chạy nên nếu bạn bị nhiễm thì phần mềm thực thi phần mềm độc hại sẽ không thể chạy và do đó không thể lây nhiễm cho bạn. Đối với những người muốn tìm hiểu thêm về danh sách trắng ứng dụng, bạn có thể xem hướng dẫn này: Cách tạo Chính sách danh sách trắng ứng dụng trong Windows .
Sử dụng Chính sách hạn chế phần mềm để chặn các tệp thực thi ở một số vị trí tệp nhất định:
Bạn có thể sử dụng Nhóm Windows hoặc Trình chỉnh sửa chính sách cục bộ để tạo Chính sách hạn chế phần mềm nhằm chặn các tệp thực thi chạy khi chúng được đặt ở các vị trí tệp cụ thể. Để biết thêm thông tin về cách định cấu hình Chính sách hạn chế phần mềm, vui lòng xem các bài viết sau từ MS:
http://support.microsoft.com/kb/310791
http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx
Các đường dẫn tệp đã được sử dụng bởi phần mềm lây nhiễm này và các đường dẫn nhỏ giọt của nó là:
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents và Cài đặt\<Người dùng>\Dữ liệu ứng dụng\<ngẫu nhiên>.exe (XP)
C:\Documents và Cài đặt\<Người dùng>\Dữ liệu ứng dụng cục bộ\<ngẫu nhiên>.exe (XP)
%Temp%
C: \Các cửa sổ
Để chặn Locky và các ransomware khác, bạn muốn tạo Path Rules để chúng không được phép thực thi. Để tạo các Chính sách hạn chế phần mềm này, bạn có thể sử dụng công cụ CryptoPrevent hoặc thêm chính sách theo cách thủ công bằng Trình chỉnh sửa chính sách bảo mật cục bộ hoặc Trình chỉnh sửa chính sách nhóm. Cả hai phương pháp đều được mô tả dưới đây.
Lưu ý: Nếu bạn đang sử dụng Windows Home hoặc Windows Home Premium, Trình chỉnh sửa chính sách bảo mật cục bộ sẽ không khả dụng cho bạn. Thay vào đó, chúng tôi khuyên bạn nên sử dụng công cụ CryptoPrevent . Công cụ này sẽ tự động đặt các chính sách này cho bạn.
Cách sử dụng Công cụ CryptoPrevent:
FoolishIT LLC đã rất tử tế khi tạo ra một tiện ích miễn phí có tên CryptoPrevent, tiện ích này tự động thêm Quy tắc đường dẫn chính sách hạn chế phần mềm được đề xuất được liệt kê ở trên vào máy tính của bạn. Điều này giúp bất kỳ ai sử dụng Windows XP SP 2 trở lên đều dễ dàng nhanh chóng thêm Chính sách hạn chế phần mềm vào máy tính của mình để ngăn chặn Locky và các phần mềm ransomware khác được thực thi ngay từ đầu. Công cụ này cũng có thể thiết lập các chính sách này trong tất cả các phiên bản Windows, bao gồm cả phiên bản Home.
Một tính năng mới của CryptoPrevent là tùy chọn đưa mọi chương trình hiện có vào danh sách trắng trong %AppData% hoặc %LocalAppData%. Đây là một tính năng hữu ích vì nó sẽ đảm bảo các hạn chế được đưa ra không ảnh hưởng đến các ứng dụng hợp pháp đã được cài đặt trên máy tính của bạn. Để sử dụng tính năng này, hãy đảm bảo bạn chọn tùy chọn có nhãn EXE danh sách trắng đã có trong %AppData% / %LocalAppData% trước khi nhấn nút Chặn .
Mẹo: Bạn có thể sử dụng CryptoPrevent miễn phí, nhưng nếu muốn mua phiên bản cao cấp, bạn có thể sử dụng mã phiếu giảm giá bleeping30off để được giảm giá 30%. Phiên bản cao cấp bao gồm cập nhật tự động và im lặng các ứng dụng và định nghĩa theo lịch trình thường xuyên, thông báo qua email khi ứng dụng bị chặn cũng như các chính sách cho phép và chặn tùy chỉnh để tinh chỉnh khả năng bảo vệ của bạn.
Bạn có thể tải xuống CryptoPrevent từ trang sau:
Để biết thêm thông tin về cách sử dụng công cụ, vui lòng xem trang này:
Khi bạn chạy chương trình, chỉ cần nhấp vào nút Áp dụng Bảo vệ để thêm Chính sách hạn chế phần mềm mặc định vào máy tính của bạn. Nếu bạn muốn tùy chỉnh cài đặt, vui lòng xem lại các hộp kiểm và thay đổi chúng nếu cần. Nếu CryptoPrevent gây ra sự cố khi chạy các ứng dụng hợp pháp, vui lòng xem phần này về cách bật các ứng dụng cụ thể. Bạn cũng có thể xóa Chính sách hạn chế phần mềm đã được thêm bằng cách nhấp vào nút Hoàn tác .
Cách tạo thủ công Chính sách hạn chế phần mềm để chặn Locky:
Để tạo Chính sách hạn chế phần mềm theo cách thủ công, bạn cần sử dụng Windows Professional hoặc Windows Server. Nếu bạn muốn đặt các chính sách này cho một máy tính cụ thể, bạn có thể sử dụng Trình chỉnh sửa chính sách bảo mật cục bộ. Nếu bạn muốn đặt các chính sách này cho toàn bộ miền thì bạn cần sử dụng Trình chỉnh sửa chính sách nhóm. Thật không may, nếu bạn là người dùng Windows Home, Local Policy Editor không khả dụng và thay vào đó bạn nên sử dụng công cụ CryptoPrevent để đặt các chính sách này. Để mở trình chỉnh sửa Chính sách bảo mật cục bộ, hãy nhấp vào nút Bắt đầu và nhập Chính sách bảo mật cục bộ và chọn kết quả tìm kiếm xuất hiện. Thay vào đó , bạn có thể mở Trình chỉnh sửa chính sách nhóm bằng cách nhập Chính sách nhóm . Trong hướng dẫn này, chúng tôi sẽ sử dụng Trình chỉnh sửa chính sách bảo mật cục bộ trong các ví dụ của mình.
Khi mở Trình chỉnh sửa chính sách bảo mật cục bộ, bạn sẽ thấy một màn hình tương tự như màn hình bên dưới.
Khi màn hình trên mở ra, hãy mở rộng Cài đặt bảo mật và sau đó nhấp vào phần Chính sách hạn chế phần mềm . Nếu không thấy các mục ở khung bên phải như minh họa ở trên, bạn sẽ cần thêm chính sách mới. Để thực hiện việc này hãy nhấp vào nút Hành động và chọn Chính sách hạn chế phần mềm mới . Sau đó, điều này sẽ kích hoạt chính sách và khung bên phải sẽ xuất hiện như trong hình trên. Sau đó, bạn nên nhấp vào danh mục Quy tắc bổ sung rồi nhấp chuột phải vào khung bên phải và chọn Quy tắc đường dẫn mới... . Sau đó, bạn nên thêm Quy tắc đường dẫn cho từng mục được liệt kê bên dưới.
Nếu Chính sách hạn chế phần mềm gây ra sự cố khi cố chạy các ứng dụng hợp pháp, bạn nên xem phần này về cách bật các ứng dụng cụ thể.
Dưới đây là một số Quy tắc đường dẫn được đề xuất bạn sử dụng để không chỉ chặn hoạt động lây nhiễm mà còn chặn việc thực thi các tệp đính kèm khi mở trong ứng dụng e-mail.
Chặn các tệp thực thi trong %AppData%
Đường dẫn: %AppData%\*.exe
Cấp độ bảo mật: Không được phép
Mô tả: Không cho phép các tệp thực thi chạy từ %AppData% .Chặn các tệp thực thi trong %LocalAppData%
Đường dẫn nếu sử dụng Windows XP: %UserProfile%\Local Setting\*.exe
Đường dẫn nếu sử dụng Windows Vista/7/8: %LocalAppData%\*.exe
Cấp độ bảo mật: Không được phép
Mô tả: Không cho phép các tệp thực thi chạy từ %AppData% .Chặn các tệp thực thi trong %AppData%\[subfolder]\
Đường dẫn: %AppData%\*\*.exe
Cấp độ bảo mật: Không được phép
Mô tả: Không cho phép các tệp thực thi chạy từ các thư mục con ngay lập tức của %AppData%.Chặn các tệp thực thi trong %LocalAppData%
Đường dẫn nếu sử dụng Windows XP: %UserProfile%\Local Setting\*\*.exe
Đường dẫn nếu sử dụng Windows Vista/7/8: %LocalAppData%\*\*.exe
Mức độ bảo mật: Không được phép
Mô tả: Không cho phép chạy các tệp thực thi từ các thư mục con trực tiếp của %AppData%.Chặn các tệp thực thi chạy từ tệp đính kèm lưu trữ được mở bằng WinRAR:
Đường dẫn nếu sử dụng Windows XP: %UserProfile%\Local Setting\Temp\Rar*\*.exe
Đường dẫn nếu sử dụng Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Mức độ bảo mật: Không được phép
Mô tả: Chặn các tệp thực thi chạy từ tệp đính kèm lưu trữ được mở bằng WinRAR.Chặn các tệp thực thi chạy từ tệp đính kèm lưu trữ được mở bằng 7Zip:
Đường dẫn nếu sử dụng Windows XP: %UserProfile%\Local Setting\Temp\7z*\*.exe
Đường dẫn nếu sử dụng Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Mức độ bảo mật: Không được phép
Mô tả: Chặn các tệp thực thi chạy từ tệp đính kèm lưu trữ được mở bằng 7Zip.Chặn các tệp thực thi chạy từ tệp đính kèm lưu trữ được mở bằng WinZip:
Đường dẫn nếu sử dụng Windows XP: %UserProfile%\Local Setting\Temp\wz*\*.exe
Đường dẫn nếu sử dụng Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Mức độ bảo mật: Không được phép
Mô tả: Chặn các tệp thực thi chạy từ tệp đính kèm lưu trữ được mở bằng WinZip.Chặn các tệp thực thi chạy từ tệp đính kèm lưu trữ được mở bằng hỗ trợ Zip tích hợp trong Windows:
Đường dẫn nếu sử dụng Windows XP: %UserProfile%\Local Setting\Temp\*.zip\*.exe
Đường dẫn nếu sử dụng Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Cấp độ bảo mật: Không được phép
Mô tả : Chặn các tệp thực thi chạy từ các tệp đính kèm lưu trữ được mở bằng cách sử dụng hỗ trợ Zip tích hợp của Windows.
Bạn có thể thấy một mục nhật ký sự kiện và cảnh báo hiển thị một tệp thực thi đang bị chặn:
Nếu bạn cần trợ giúp để định cấu hình tính năng này, vui lòng hỏi trong Chủ đề hỗ trợ Locky
Cách cho phép chạy các ứng dụng cụ thể khi sử dụng Chính sách hạn chế phần mềm
Nếu bạn sử dụng Chính sách hạn chế phần mềm hoặc CryptoPrevent để chặn Locky, bạn có thể thấy rằng một số ứng dụng hợp pháp không còn chạy nữa. Điều này là do một số công ty cài đặt nhầm ứng dụng của họ trong hồ sơ người dùng thay vì trong thư mục Tệp Chương trình nơi chúng thuộc về. Do đó, Chính sách hạn chế phần mềm sẽ ngăn các ứng dụng đó chạy.
Rất may, khi Microsoft thiết kế Chính sách hạn chế phần mềm, họ đã tạo ra Quy tắc đường dẫn chỉ định một chương trình được phép chạy sẽ ghi đè bất kỳ quy tắc đường dẫn nào có thể chặn chương trình đó. Do đó, nếu Chính sách hạn chế phần mềm đang chặn một chương trình hợp pháp, bạn sẽ cần sử dụng các bước thủ công nêu trên để thêm Quy tắc đường dẫn cho phép chương trình chạy. Để thực hiện việc này, bạn sẽ cần tạo Quy tắc đường dẫn cho chương trình thực thi của một chương trình cụ thể và đặt Cấp độ bảo mật thành Không giới hạn thay vì Không được phép như trong hình bên dưới.
Sau khi bạn thêm các Quy tắc đường dẫn không hạn chế này, các ứng dụng được chỉ định sẽ được phép chạy lại.