0944773598 cnssaomai@gmail.com

Trực tuyến 1

Hôm nay 40

Hôm qua 258

Tháng trước954

Tổng1138822

Dấu hiệu và phòng ngừa virus Ransomware dòng Odin

1. Triệu chứng nhiễm virus Ransomware.

Khi bạn vô tình mở một email chứa chương trình độc hại, kích vào đường link không an toàn trên internet và nhất là máy tính của bạn không cài một chương trình diệt virus thì khả năng bạn đã nuôi một con virus trong máy tính của mình rồi. 

Chỉ đến khi dấu hiệu quá muộn như máy chạy chậm, ỳ máy và khi thông báo tự động nhảy lên che màn hình của bạn thì mọi dữ liệu công việc như văn bản (doc*) bảng tính excel, dữ liệu hình ảnh (jpg, bmp,...) tài liệu acrobat (pdf) đã bị mã hóa không thể sử dụng được. Trong các dòng virus bắt cóc đòi tiền chuộc dữ liệu thì biến thể có phần mở rộng Odin là biến thể mới nhất hiện tại chưa có thuốc giải.

ransomware-odin

Khi mã hóa các file trong thư mục virus Odin sẽ tạo ra một file cấu trúc html để lại thông tin chuộc tiền (1) và các file dữ liệu sẽ bị mã hóa có phần mở rộng là Odin (2).

Thông báo cho khách hàng về tình trạng dữ liệu và hướng dẫn nhận lại khóa giải mã.

ransomware-odin

2. Công thức mã hóa.

Virus Odin mã hóa mọi dữ liệu của bạn theo dạng sau: [ID nạn nhân]-[4 ký tự]-[12 ký tự].Odin. Ví dụ như file anh chup.jpg nó mã hóa thành A56FBD36-D12D-14CD6-14CFA-45FA340GF56A.odin

Sau khi mã hóa thành công Virus Odin còn tạo ra 3 file ("_5_HOWDO_text.html", "_HOWDO_text.bmp" [thiết lập thành hình nền Windows], và "_HOWDO_text.html").

3. Yêu cầu chuộc tiền.

Sau khi mã hóa xong virus để lại thông báo trên máy tính nạn nhân yêu cầu sử dụng trình duyệt Tor để liên lạc với chúng. Giá của của việc chuộc dữ liệu rơi vào khoảng 2 bitcoin và tại thời điểm tôi đang viết bài này rơi vào khoảng 612x2=1.224 USD và khoảng gần 30 triệu tiền VNĐ.

Ransomware-odin-3

Cũng có điều dòng virus này khéo chọn mặt để tống tiền, chúng tôi gặp nhiều khách hàng phản ánh bị dính virus này thì hầu hết họ đều liên quan đến hãng tàu như làm Logistics. Đây là những đối tượng có tiềm năng chi trả nên hacker khéo chọn chứ ít khi chọn đối tượng học sinh sinh viên và hacker đó gửi những thư mời chào giá cước vận chuyển khuyến mại file đính kèm con virus. Khách hàng nào không tỉnh táo kích vào và máy tính không trang bị phần mềm bảo vệ virus thế là rước sói vào nhà.

Thực chất việc tống tiền là chuyển tiền bằng bitcoin cho hacker họ sẽ gửi cho bạn phần mềm và khóa để giải mã lại toàn bộ dữ liệu nhưng với số tiền quá lớn cộng với rủi ro cao nên chưa ai thử xem tiền trao cháo có được múc không?

4. Khôi phục dữ liệu.

Hiện tại thì nếu không có khóa giải mã thì việc lấy lại dữ liệu gần như không thể cho dù các tổ chức phần mềm diêt virus nổi tiếng nhất như Kasperky, MacAfee, Bitdefender,... cũng chưa có công cụ để giải mã được

Khi mã hóa dữ liệu khách hàng xong virus đã xóa bản gốc nhiều lần với công cụ đặc biệt không cho khôi phục nên khả năng khôi phục lại rất nhỏ. 

Để khôi phục lại dữ liệu ngoài chạy chương trình cứu file đã bị xóa ra thì việc backup dữ liệu lúc này là quan trọng nhất, chỉ có cách khôi phục lại dữ liệu từ những lần backup dữ liệu trước.

5. Khôi phục lại máy tính.

Một số biến thể của virus Odin là khi phát thông báo đòi tiền chuộc thì virus dừng hoạt động phá hoại nên những file làm việc sau ngày đó sẽ an toàn tức là không bị mã hóa nữa. Nhiều khách hàng ngạc nhiên tại sao dữ liệu mình chỗ mất chỗ có và dữ liệu mới không sao là do virus dừng phá hoại để khách hàng còn đọc được thông tin chuộc tiền, chứ nếu nó mã hóa thì máy chạy chậm treo máy và khả năng khách hàng đọc thông tin yêu cầu chuộc sẽ thấp nên nó phải dừng hoạt động lại.

Việc đầu tiên là tháo ổ cứng đã bị nhiễm virus đó ra đưa sang một máy tính khác có cài phần mềm diệt virus mới nhất, cập nhật ngày sớm nhất quét toàn bộ dữ liệu máy đã bị nhiễm Odin. Sau khi quét và diệt xong copy toàn bộ dữ liệu còn dùng tốt sang ổ cứng an toàn đó và xóa sạch hay chia lại ổ cứng bị nhiễm Odin. Sau khi phân chia lại hoặc xóa hết tiến hành cài lại và trả lại dữ liệu vẫn còn dùng tốt.

6. Bài học rút ra sau khi nhiễm virus tống tiền.

- Máy tính phải có phần mềm diệt virus bảo vệ, định kỳ cập nhật cơ sở dữ liệu nhận dạng virus.

- Tuyệt đối không mở những file đính kèm lạ nhất là file được gửi từ những server mail không tin cậy. Một số server email tin cậy như gmail, yahoo mail hay hotmail họ có hệ thống bảo vệ virus rất tốt. Nếu ai đó gửi file có dính virus đính kèm thì sẽ bị hệ thống bảo vệ của họ phát hiện và loại bỏ ngay file. Nếu bạn nghi ngờ file đó thì hãy đính kèm gửi vào email của mình như gmail chẳng hạn. Bạn có thể vào kiểm tra xem file đó có trong hòm thư không? Nếu có thì file đó an toàn. Nhưng file mà đặt mật khẩu thì hệ thống bảo vệ đó cũng bó tay và gặp file đặt mật khẩu thì tốt nhất xóa thẳng tay không dùng mật khẩu gải nén kèm theo để mở vì sẽ dính bẫy hacker.

- Không kích đường link lạ nếu bắt buộc phải kích thì gửi đường link đó đến các chương trình quét virus online trên mạng để kiểm tra đường link.

- Cuối cùng dữ liệu là quan trọng nhất, định kỳ sao lưu gửi nhờ ở các thiết bị lưu trữ khác như ổ cứng di động, tài khoản đám mây.

Công cụ giải mã một số dòng virus Apocalypse, BadBlock, Bard, Crypt888,...

Bạn có thể tham khảo hướng dẫn cài đặt ổ đĩa ảo trên mạng bằng Google Drive

  DMCA.com Protection Status  

đối tác
kinh doanh
  • Kaspersky Lab
  • Gigabyte Việt Nam
  • Intel Việt Nam
  • HP Việt Nam
  • Brother
  • ACB
  • Canon Việt Nam
hỗ trợ
trực tuyến

Liên hệ với chúng tôi để được tư vấn dịch vụ tốt nhất

Đặt hàng và bảo hành

  • 0944773598
  • cnssaomai@gmail.com
liên hệ
điểm giao dịch
Liên hệ
Go top