Thời gian gần đây một loại Virus mã hóa dữ liệu đòi tiền chuộc có tên là GandCrab Ransomware quay trở lại. Một loại biến thể mới của Virus này có tên là GandCrab 5.0.4 đang tấn công hàng triệu người dùng Internet. Khiến khách hàng hoang mang mà chưa tìm được giải pháp xử lý. Theo ghi nhận của các Trung tâm Cứu Dữ Liệu hàng đầu tại Việt Nam. Hàng ngày có trăm khách hàng gọi điện đến để nhờ tư vấn về biện pháp Cứu Dữ Liệu do bị nhiễm loại virus mã hóa này.

Để tìm hiểu về dịch vụ Cứu Dữ Liệu bạn có thể xem thêm bài viết “Cứu Dữ Liệu ổ cứng máy tính ở đâu tại Hà Nội?”.

Khái quát về cách Cứu Dữ Liệu từ Virus GandCrab Ransomware

Đời đầu tiên của Virus GandCrab Ransomware được phát hiện vào tháng 1/2018. Kể từ đó loại Virus mã hóa này đã liên tục được các hacker cải tiến. Nó được nâng cấp liên tục qua 4 thế hệ với độ phức tạp ngày càng cao. Kéo theo đó để Cứu Dữ Liệu từ loại virus này cũng ngày càng khó khăn hơn. Đặc biệt là giờ đây sau khi trải qua 4 thế hệ nâng cấp liên tục. Nó đã phát triển trở thành  Ransomware thứ năm. Và biến thể nguy hiểm nhất chính là GandCrab 5.0.4 mới xuất hiện gần đây.

Cứu Dữ Liệu thiết bị nhiễm Virus GandCrab 5.0.4

GandCrab 5.0.4 là gì? Cơ chế mã hóa của nó như thế nào?

Như đã nói ở trên GandCrab 5.0.4 là biến thể nguy hiểm nhất của Ransomware. Nó được giới hacker thiết kế để xâm nhập vào hệ thống dữ liệu của người dùng. Từ đó mã hóa mọi dữ liệu được lưu trữ. Buộc người dùng phải tìm mọi giải pháp Cứu Dữ Liệu. Nếu quá trình khôi phục dữ liệu không thành công có thể mang đến những hậu quả không ngờ tới.

Giống như hầu hết các loại Virus có nguồn gốc từ Ransomware khác. GandCrab 5.0.4 có một phụ lục ngẫu nhiên được thêm vào tên của các tập tin bị xâm nhập. Và chuỗi mã hóa mà GandCrab lựa chọn là “.rotxkry”. Ví dụ như tên của file ảnh.jpg sẽ được chúng đổi thành “ảnh.jpg.rotxkry’’.

Đặc biệt mã hóa tệp tin không phải là tính năng duy nhất của nó. Loại Virus này còn được thiết kế để thay đổi hình nền máy tính và đặt tệp văn bản. Điều này gây khó khăn cho cả những chuyên gia Cứu Dữ Liệu chuyên nghiệp. Chứ không nói đến những kẻ Cứu Dữ Liệu nghiệp dư, không am hiểu về lập trình và công nghệ.

GandCrab 5.0.4 có thể thay đổi tệp văn bản của bạn bằng chuỗi ngẫu nhiên (‘’ {chuỗi ngẫu nhiên} – DECRYPT.txt”). Thay đổi hình nền thiết bị bằng hình ảnh của Valery Sinyaev trong mọi thư mục hiện có.

Cứu Dữ Liệu thiết bị nhiễm Virus GandCrab 5.0.4

Theo trang web Linkedln thì chính Valery Sinyaev cũng không hiểu tại sao các hacker lại sử dụng hình ảnh của anh ấy để thay đổi trên máy tính của nạn nhân.

Hậu quả sau khi thiết bị nhiễm Virus GandCrab 5.0.4

Sau khi bị nhiễm virus GandCrab 5.0.4 hình nền máy tính sẽ chứa một thông báo ngắn. Thông báo này cho biết dữ liệu của bạn đã bị mã hóa. Nó yêu cầu bạn phải đọc tin nhắn trong tệp văn bản để biết thêm thông tin chi tiết.

Trên thông báo cho biết tài liệu bị mã hóa chỉ có một cách Cứu Dữ Liệu duy nhất đó là dùng khóa giải mã. Mỗi nạn nhân sẽ được một khóa giải mã duy nhất. Cần thiết cho việc Cứu Dữ Liệu bị virus mã hóa của họ.

Muốn Cứu Dữ Liệu mà không có mã khóa sẽ không thể thực hiện được. Lợi dụng điều này tội phạm đã giấu các mã khóa trên một máy chủ từ xa. Đồng thời yêu cầu nạn nhân đưa tiền chuộc để nhận chìa khóa. Mỗi nạn nhân phải trả tiền chuộc bằng cách truy cập Website GandCrab 5.0.4 rồi làm theo các bước hướng dẫn của chúng.

Ngay khi click vào Website bạn sẽ nhận được thông báo một số tiền chuộc tương đương với mã khóa. Bọn chúng sẽ yêu cầu bạn phải trả tiền bằng bitcoin hoặc DASH. Bên cạnh đó trang Web còn chứa đồng hồ đếm ngược. Ngay khi bạn kích hoạt đồng hồ này sẽ hoạt động. Đến khi trở về 0 thì tiền chuộc sẽ bị tăng lên gấp đôi.

Và thật xui xẻo cho những ai bị tấn công. Bởi cho đến hiện nay vẫn không có công cụ miễn phí nào có thể Cứu Dữ Liệu thành công. Do đó nạn nhân chỉ có thể chọn chuộc mã khóa để Cứu Dữ Liệu hoặc từ bỏ nó.

Bạn có thể xem thêm bài viết “Tổng hợp các giải pháp Cứu Dữ Liệu ổ cứng nhanh chóng”.

Hoạt động của Virus mã hóa dữ liệu GandCrab 5.0.4. và cách Cứu Dữ Liệu

Khi bị tấn công, nạn nhân sẽ nhận được các tin nhắn khuyến khích trả tiền để chuộc mã khóa giải Cứu Dữ Liệu. Nếu bạn không đồng ý đồng nghĩa với việc sẽ bị mất dữ liệu vĩnh viễn. Dưới đây là hoạt động của loại Virus đáng sợ này.

Cứu Dữ Liệu thiết bị nhiễm Virus GandCrab 5.0.4

GandCrab 5.0.4 có cơ chế gần giống với hàng chục “anh em” của nó như: Locky, WannaCry, Dharma,… Tuy các loại virus này có chức năng khác nhau. Nhưng chúng hoạt động giống hệt nhau. Chúng mã hóa mọi dữ liệu và đòi tiền chuộc. Loại virus này có khả năng lây nhiễm sang mọi thiết bị lưu trữ của người dùng.

Tham khảo thêm bài viết “Tổng hợp các giải pháp Cứu Dữ Liệu ổ cứng nhanh chóng”.

GandCrab 5.0.4 có nhiều cách lây nhiễm khác nhau. Tuy nhiên 4 cách sau đây được coi là phổ biến nhất.

Cách 1: Lây nhiễm virus thông qua Trojan và gây ra hiện tượng nhiễm trùng chuỗi. Chỉ cần một loại virus đơn giản tấn công. Các chiến dịch spam, phân phối mã độc hại sẽ bùng nổ. Lúc này việc Cứu Dữ Liệu sẽ trở nên khó khăn hơn bao giờ hết.

Cách 2: Virus bị lây nhiễm qua các chiến dịch Email Spam. Nếu nói Trojan là bước châm ngòi thì cách 2 chính là bước bùng nổ. Các tệp độc hại sẽ được đính kèm trong mỗi bức thư gửi đi. Chúng sẽ gửi đến toàn bộ các email trong list bạn bè của bạn. Sau khi người nhận click và đường link đó thì mọi dữ liệu trong máy tính sẽ bị mã hóa. Và cách Cứu Dữ Liệu duy nhất là nộp tiền chuộc để lấy lại mã khóa.

Cách 3: Virus lây lan qua các phần mềm giả mạo. Khi bạn tải và cài đặt phần mềm từ những nguồn không chính thức. Rất có thể phần mềm đó bị nhiễm virus và tấn công dữ liệu của bạn. Do đó để không phải đau đầu tìm cách Cứu Dữ Liệu mỗi ngày bạn chỉ nên tải các phần mềm hợp pháp. Đồng thời cài đặt công cụ diệt virus cho thiết bị.

Phòng tránh là cách Cứu Dữ Liệu tốt nhất trước khi bị virus tấn công. Do đó hãy thật cẩn trọng khi truy cập internet. Hãy nghiên cứu thật kỹ các file đính kèm khi nhận được email. Đồng thời hãy cẩn trọng khi tải và cài đặt các phần mềm miễn phí trên internet. Chúc các bạn không bị loại virus này hỏi thăm.