Nhiễm ransomware là tình huống rất nghiêm trọng; đặc biệt khi dữ liệu bị mã hóa là những dữ liệu quan trọng ảnh hưởng đến hoạt động công ty bạn. Tuy nhiên không hẳn đã hết hy vọng. Nếu có chút may mắn, bạn vẫn có thể giải mã dữ liệu. Bên cạnh đó, điều quan trọng không kém là bạn cần ngăn chặn để câu chuyện không trở nên nghiêm trọng hơn.
Sau đây là 10 việc bạn cần làm ngay để hy vọng xử lý được tình huống nhiễm ransomware:
1. Nếu máy tính bị nhiễm được kết nối trong mạng LAN, hãy nhanh chóng ngắt kết nối mạng của máy tính. Nếu máy tính còn được kết nối đến các thiết bị/vùng lưu trữ khác như External HDD, NAS, SAN thì cũng ngay lập tức ngắt các kết nối này. Mục đích nhằm ngăn chặn lây lan, khiến hậu quả thêm trầm trọng.
2. Nên sao lưu các file mã hóa ra thiết bị lưu trữ khác để sau này có thể cần dùng đến. Có thể một thời gian sau sẽ có được công cụ giải mã loại ransomware bạn nhiễm. Hoặc chính tác giả ransomware quyết định cung cấp khóa giải mã cho ransomware mình phát tán (đã từng có trường hợp như vậy).
3. Nếu máy tính có bật Volume Shadow Copy trước đó, bạn thử khôi phục lại các mốc thời điểm tạo VSS xem có kết quả không.
4. Nếu bạn có bản backup và dự định phục hồi lại dữ liệu, hãy format, cài đặt lại Windows và dùng các phần mềm Anti-virus, Anti-ransomware quét kỹ để đảm bảo máy không còn ransomware. Sau đó hãy tiến hành phục hồi dữ liệu.
5. Khởi động vào chế độ Safe Mode của Windows, sử dụng các chương trình Anti-ransomware với cập nhật mới nhất và quét ở chế độ Deep-scan để hy vọng tiêu diệt được ransomware ra khỏi máy tính.
6. Nhận diện ransomware đang bị nhiễm. Một số ransomware tự cung cấp thông tin về nó, nhưng nhiều ransomware khác thì không. Lúc này, bạn cần sử dụng công cụ ID Ransomware để giúp nhận diện.
7. Sau khi biết được ransomware, bạn tìm kiếm công cụ giải mã dữ liệu từ bài viết này. Hy vọng danh sách các Decryptor Tool có ransomware bạn bị nhiễm. Các công cụ decryptor được cập nhật liên tục bởi các hãng bảo mật lớn nên nếu không tìm thấy từ danh sách ở bài viết trên, bạn nên tìm kiếm thêm từ Google với từ khóa là ransomware bạn bị nhiễm.
8. Nếu ransomware ngăn chặn không cho phép bạn truy cập Windows, hoặc bạn có thể truy cập Windows nhưng không thực hiện được những thao tác quan trọng, sử dụng công cụ WindowsUnlocker của Kaspersky để xóa ransomware tác động vào Registry và giành lại quyền truy cập Windows.
9. Nếu đã thử mọi bước trên mà vẫn không hiệu quả, bạn chỉ còn 2 lựa chọn: Trả tiền chuộc hoặc Mất dữ liệu. Thường thì số tiền chuộc không quá nhiều nên bạn có thể cân nhắc phương án này (thường ở mức vài trăm USD, sau đó tăng lên ~1.000 USD nếu bạn nộp chuộc trễ hơn deadline). Nhưng một tình huống kém may mắn có thể xảy ra là dù bạn trả tiền chuộc thì vẫn không có được khóa giải mã dữ liệu. Chưa kể việc liên hệ và thanh toán tiền chuộc không phải lúc nào cũng thành công (đa phần thanh toán bằng Bitcoin và quá trình mua loại tiền này khá phức tạp). Nhưng nếu dữ liệu thật sự quan trọng, bạn cứ thử xem.
10. Vẫn còn một việc bạn cần làm: Rút kinh nghiệm để ngăn chặn câu chuyện tương tự trong tương lai. Ransomware không giống bệnh quai bị – chỉ bị một lần trong đời. Bạn đã nhiễm ransomware thì không gì đảm bảo sau này không bị nữa. Đặc biệt, trong môi trường doanh nghiệp với hàng trăm end-user, hôm nay end-user này nhiễm thì ngày mai có thể end-user khác. Do đó, bạn cần rút ra bài học và tìm cách ngăn chặn sự cố này tiếp diễn: sao lưu dữ liệu thường xuyên, lưu trữ dữ liệu sao lưu tách biệt trong thời gian đủ lâu, đào tạo end-user về cách tránh lây nhiễm ransomware, cập nhật HĐH và các phần mềm Anti-virus, Anti-ransomware,…
BackupAcademy
