Khi bị nhiễm ransomware là một trường hợp cực kì quan trọng. Nhất là khi những dữ liệu quan trọng của bạn bị mã hóa, nó sẽ làm ảnh hưởng đến công việc của bạn. Nhưng không hẳn là đã hết hi vọng, nếu có một chút may mắn thì bạn vẫn có thể lấy lại dữ liệu của mình. Còn một việc nữa là sử lý khi máy tính nhiễm ransomware.
Dưới đây là những điều mà bạn cần làm ngay để xử lý tình huống bị nhiễm ransomware, tránh nó gây thiệt hại nhiều hơn.
Ngăn chặn lây lan
Việc đầu tiền cần làm đó là ngăn chặn ransomware lây lan ra toàn hệ thống. Nếu máy tính của bạn kết nối trong mạng LAN, thì bạn hãy ngắt kết nối máy tính mạng ngay lập tức. Nếu máy còn kết nối đến các thiết bị hoặc là vùng lưu trữ khác như là External HDD, NAS, SAN thì bạn cũng nên ngắt kết nối ngay lập tức. Việc này tránh cho Ransomware lây lan, khiến cho hậu quả thêm nghiêm trọng hơn.
Lưu trữ file bị mã hóa
Hãy sao lưu các file mã hóa của bạn ra một thiết bị lưu trữ khác để có thể dùng khi cần sau này. Hi vọng sau một thời gian sẽ có được công cụ giải mã loại ransomware mà bạn bị nhiễm. Hoặc là may mắn hơn tác giả của Ransomware quyết định cung cấp khóa giải mã cho ransomware của mình phát tán.
Thử khôi phục file bằng Volume Shadow Copy
Hãy thử khôi phục lại các mốc thời điểm mà bạn sao lưu nêu bạn có bật tính năng Volume Shadow Copy của máy tính và hi vọng nó có hiệu quả.
Deep-scan ransomware
Khởi động chế độ Safe Mode của Windows, tiếp theo là sử dụng các chương trình Anti-ransomware với cập nhật mới nhất và quét ở Deep-scan hi vọng là sẽ trục xuất ransomware ra khỏi máy tính.
Format, cài lại windows, quét ransomware trước khi khôi phục lại dữ liệu
Nếu bạn đã có bản backup và có dự định là phục hồi lại dữ liệu, thì hãy format, sau đó cài đặt Windows tiếp theo là sử dụng các phần mềm Anti-virus, Anti-ransomware quét kỹ để đảm bảo là máy tính của bạn không còn bất kì ransomware nào nữa. Thì sau đó mới tiến hàng phục hồi dữ liệu
Tìm hiểu loại ransomware đang gặp phải.
Một số ransomware sẽ tự động cung cấp thông tin về nó, nhưng đa số ransomware khác thì không. Nên bạn nên nhận diện ransomware mà mình bị dính bằng công cụ ID Ransomware.
Khi đã biết danh tính của rasomware thì bạn nên tìm công cụ giải mã dữ liệu Decryptor Tool từ các hãng bảo mật lớn. Hi vọng Decryptor Tool có ransomware mà bạn bị nhiễm
Sử dụng công cụ WindowsUnlocker.
Đặt biệt nên ransomware ngăn chặn không cho bạn truy cập vào Windows, hoặc là có thể truy cập vào Windows nhưng bị hạn chế thao tác quan trọng. Thì bạn nên sử dụng công cụ WindowsUnlocker của Kaspersky để xóa ransomware tác động vào Registry và giành lại quyền truy cập Windows.
Thử cách cuối cùng
Nếu đã thử mọi bước trên mà vẫn không hiệu quả, bạn chỉ còn 2 lựa chọn: Trả tiền chuộc hoặc Mất dữ liệu. Thường thì số tiền chuộc không quá nhiều nên bạn có thể cân nhắc phương án này (thường ở mức vài trăm USD, sau đó tăng lên ~1.000 USD nếu bạn nộp chuộc trễ hơn deadline). Nhưng một tình huống kém may mắn có thể xảy ra là dù bạn trả tiền chuộc thì vẫn không có được khóa giải mã dữ liệu. Chưa kể việc liên hệ và thanh toán tiền chuộc không phải lúc nào cũng thành công (đa phần thanh toán bằng Bitcoin và quá trình mua loại tiền này khá phức tạp). Nhưng nếu dữ liệu thật sự quan trọng, bạn cứ thử xem.
Phòng chống ransomware
Vẫn còn một việc bạn cần làm: Rút kinh nghiệm để ngăn chặn câu chuyện tương tự trong tương lai. Ransomware không giống bệnh quai bị – chỉ bị một lần trong đời. Bạn đã nhiễm ransomware thì không gì đảm bảo sau này không bị nữa. Đặc biệt, trong môi trường doanh nghiệp với hàng trăm end-user, hôm nay end-user này nhiễm thì ngày mai có thể end-user khác. Do đó, bạn cần rút ra bài học và tìm cách ngăn chặn sự cố này tiếp diễn: sao lưu dữ liệu thường xuyên, lưu trữ dữ liệu sao lưu tách biệt trong thời gian đủ lâu, đào tạo end-user về cách tránh lây nhiễm ransomware, cập nhật HĐH và các phần mềm Anti-virus, Anti-ransomware,…
