Virus “Your personal files are encrypted” là gì? Làm sao để gỡ bỏ nó?

Ransomware "Your personal files are encrypted" là một chương trình, phần mềm gián điệp nhắm mục đích tới tất cả các phiên bản Windows, trong đó bao gồm Windows 10, Windows Vista, Windows 8 và Windows 7. Nó được phân phối thông qua: các trang web độc hại hoặc các trang web bị hack, và nó có thể truy cập máy tính của bạn thông qua việc khai thác bộ kit tấn công (exploit kits) sử dụng các lỗ hổng trên máy tính của bạn để cài đặt Trojan mà bạn không hề hay biết.

Một số phiên bản của ransomware "Your personal files are encrypted" như: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker hoặcTorrentLocker.

1. Ransomware “Your personal files are encrypted” truy cập máy tính của bạn bằng cách nào?

Ransomware “Your personal files are encrypted” được phân phối thông qua: các trang web độc hại hoặc các trang web bị hack, và nó có thể truy cập máy tính của bạn thông qua việc khai thác bộ kit tấn công (exploit kits) sử dụng các lỗ hổng trên máy tính của bạn để cài đặt Trojan mà bạn không hề hay biết.

Ngoài ra Ransomware These “Your personal files are encrypted” còn có thể truy cập máy tính của bạn bằng cách sử dụng các email spam đính kèm hoặc link đến các trang web độc hại. Cyber-criminals là email spam có thông tin tiêu đề giả mạo, lừa người dùng để họ tin rằng nó là email từ công ty DHL hoặc FedEx.

Hoặc khi cài đặt một phần mềm nào đó, người dùng vô hình cài đặt thêm các phần mềm giả mạo mà họ không hề hay biết.

2. Ransomware "Your personal files are encrypted" là gì?

Ransomware "Your personal files are encrypted" là một chương trình, phần mềm gián điệp nhắm mục đích tới tất cả các phiên bản Windows, trong đó bao gồm Windows 10, Windows Vista, Windows 8 và Windows 7.

Loại Ransomware này sử dụng cách mã hóa khá đặc biệt, nó sử dụng phương pháp mã hóa AES-265 và RSA để đảm bảo rằng nạn nhân sẽ không có sự lựa chọn nào.

Khi ransomware “Your personal files are encrypted” được cài đặt trên máy tính của bạn, nó sẽ tạo ra các tên thực thi ngẫu nhiên trong thư mục %AppData" hoặc thư mục %LocalAppData".

Thực thi này khởi chạy và bắt đầu quét tất cả các ổ trên máy tính của bạn để mã hóa các tập tin dữ liệu.

Ransomeware “Your personal files are encrypted” sẽ tìm kiếm các tập tin có phần đuôi mở rộng cụ thể để mã hóa. Các tập tin nó mã hóa bao gồm các tài liệu và các tập tin quan trọng như .doc, .docx, .xls, .pdf và một số tập tin khác. Khi các tập tin được phát hiện, nó sẽ thêm phần đuôi mở rộng mới vào tên tập tin (ezz, .exx, .7z.encrypted).

Dưới đây là danh sách các tập tin mở rộng mà ransomware nhắm đến:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Trong quá trình mã hóa các tập tin, ransomeware có thể tạo một tập tin văn bản cho mỗi thư mục có tập tin đã được mã hóa và trên máy tính Windows. Ngoài ra ransomware cũng có thể thay đổi hình nền trên máy tính của bạn. Cả hình nền và file văn bản đều chứa các thông tin tương tự cách truy cập trang web thanh toán và cách nhận các tập tin của bạn trở lại.

Trong hầu hết các trường hợp, ransomeware “Your personal files are encrypted” sẽ chiếm quyền điều khiển phần đuôi mở rộng .EXE, khi bạn khởi động một thực thi nó sẽ cố gắng xóa Shadow Volume Copies trên máy tính.

Sau khi hoàn tất việc mã hóa các tập tin dữ liệu, nó sẽ hiển thị thông báo "Your personal files are encrypted" ở cuối tài liệu cá nhân của bạn, và một cửa sổ kèm theo thông báo yêu cầu một khoản tiền chuộc để giải mã các tập tin của bạn.

3. Máy tính của bạn có bị nhiễm virus "Your personal files are encrypted"?

Nếu máy tính của bạn bị nhiễm loại ransomeware này, ảnh nền trên màn hình Desktop của bạn sẽ bị thay đổi và các tập tin của bạn sẽ bị mã hóa.

Ngoài ra bạn cũng sẽ nhận được thông báo của virus "our personal files are encrypted":

Your personal files are encrypted!

Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click “Show encrypted files” Button to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key, which allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.

Once this has been done, nobody will ever be able to recover.

4. Liệu có thể giải mã các tập tin đã được mã hóa bởi ransomware "Your personal files are encrypted" hay không?

Trong hầu hết các trường hợp, bạn không thể khôi phục lại các tập tin đã bị mã hóa, tuy nhiên bạn có thể truy cập các trang như https://decrypter.emsisoft.com/ hoặc https://id-ransomware.malwarehunterteam.com/ để giải mã ransomware.

5. Các bước gỡ bỏ ransomware "Your personal files are encrypted"

Để gỡ bỏ ransomware "Your personal files are encrypted", bạn thực hiện theo các bước dưới đây:

Phần 1: Gỡ bỏ ransomware "Your personal files are encrypted" khỏi máy tính của bạn

Bước 1: Sử dụng Malwarebytes Anti-Malware Free để gỡ bỏ virus "Your personal files are encrypted"

Malwarebytes Anti-Malware Free là phần mềm miễn phí hỗ trợ việc phát hiện và loại bỏ dấu vết của các phần mềm độc hại (malware) bao gồm worms, trojans, rootkits, rogues, dialers, spyware (phần mềm gián điệp), và một số phần mềm khác.

Điều quan trọng là Malwarebytes Anti-Malware chạy song song với các phần mềm diệt virus khác mà không bị xung đột.

1. Tải Malwarebytes Anti-Malware Free về máy và cài đặt.

Tải Malwarebytes Anti-Malware Free về máy và cài đặt tại đây.

2. Sau khi tải xong, đóng tất cả các chương trình lại, sau đó kích đúp vào biểu tượng có tên mbam-setup để bắt đầu quá trình cài đặt Malwarebytes Anti-Malware.

Lúc này trên màn hình sẽ xuất hiện hộp thoại User Account Control hỏi bạn có muốn chạy file hay không. Click chọn Yes để tiếp tục.

3. Khi bắt đầu quá trình cài đặt, trên màn hình hiển thị cửa sổ  Malwarebytes Anti-Malware Setup Wizard, thực hiện theo các bước hướng dẫn trên màn hình để cài đặt Malwarebytes Anti-Malware.

Để cài đặt Malwarebytes Anti-Malware, click chọn nút Next cho đến khi xuất hiện của sổ cuối cùng bạn click chọn Finish.

4. Sau khi cài đặt xong, Malwarebytes Anti-Malware sẽ tự động mở. Để bắt đầu quá trình quét hệ thống, bạn click chọn nút Scan Now.

5. Malwarebytes Anti-Malware sẽ bắt đầu quá trình quét máy tính của bạn để tìm và loại bỏ ransomware "Your personal files are encrypted".

6. Sau khi quá trình kết thúc trên màn hình sẽ xuất hiện cửa sổ hiển thị các phần mềm độc hại (malware) mà Malwarebytes Anti-Malware phát hiện được. Để loại bỏ các phần mềm, chương trình độc hại mà Malwarebytes Anti-Malware phát hiện ra, click chọn nút Remove Seletected.

7. Malwarebytes Anti-Malware sẽ "cách ly" tất cả các tập tin độc hại và key registry mà chương trình phát hiện. Trong quá trình loại bỏ các tập tin này, Malwarebytes Anti-Malware có thể yêu cầu bạn khởi động lại máy tình để hoàn tất quá trình. Nhiệm vụ của bạn là khởi động lại máy tính của mình để hoàn tất quá trình.

Bước 2: Sử dụng HitmanPro để kiểm tra "đúp" phần mềm độc hại "Your personal files are encrypted"

HitmanPro được thiết kế để "giải cứu" máy tính của bạn khỏi các phần mềm độc hại như virus, trojans, rootkits, ...) xâm nhập trái phép vào hệ thống. HitmanPro được thiết kế để hoạt động song song với các phần mềm bảo mật khác mà không gây ra lỗi xung đột. Chương trình sẽ quét máy tính của bạn trong vòng 5 phút và sẽ không làm chậm máy tính của bạn.

1. Tải HtmanPro về máy và cài đặt.

Tải HtmanPro về máy và cài đặt tại đây.

2. Kích đúp chuột vào file có tên “HitmanPro.exe” (nếu sử dụng Windows phiên bản 32-bit) hoặc “HitmanPro_x64.exe” (nếu sử dụng Windows phiên bản 64-bit).

Khi chương trình mở, bạn sẽ nhìn thấy màn hình khởi động như hình dưới đây.

Click chọn Next để cà đặt HitmanPro trên máy tính của bạn.

3. HitmanPro sẽ bắt đầu quá trình quét máy tính của bạn để tìm và loại bỏ các tập tin độc hại “Your personal files are encrypted”.

4. Sau khi quá trình kết thúc trên màn hình sẽ hiển thị cửa sổ có chứa danh sách tất cả các chương trình độc hại mà HitmanPro tìm thấy. Click chọn Next để loại bỏ phần mềm độc hại "Your personal files are encrypted".

5. Click chọn nút Activate free license để dùng thử chương trình miển phí trong vòng 30 ngày và để loại bỏ tất cả các tập tin độc hại khỏi máy tính của bạn.

Trong một số trường hợp bạn cần phải thay đổi hình nền và xóa tập tin nguy hiểm Save_Files, HELP_TO_SAVE_FILES.txt and HELP_TO_SAVE_FILES.bmp đi.

Phần 2: Khôi phục cá tập tin bị mã hóa bởi ransomware "Your personal files are encrypted"

Trong một số trường hợp bạn có thể khôi phục các tập tin bị mã hóa bởi ransomware "Your personal files are encrypted" bằng cách sử dụng System Restore hoặc các phần mềm khôi phục khác.

1. Khôi phục các tập tin bi mã hóa bởi ransomware “Your personal files are encrypted” bằng ShadowExplorer

1. Tải ShadowExplorer về máy và cài đặt.

Tải ShadowExplorer về máy và cài đặt tại đây.

2. Sau khi tải và cài đặt xong ShadowExplorer, bạn có thể tham khảo các bước hướng dẫn để restore các tập tin bằng ShadowExplorer trong video dưới đây:

Ngoài ShadowExplorer bạn có thể sử dụng System Restore để khôi phục các tài liệu đã bị mã hóa bởi ransomware.

2. Sử dụng phần mềm khôi phục tập tin để khôi phục các tập tin bị mã hóa bởi ransomware "Your personal files are encrypted"

Khi chương trình độc hại "Your personal files are encrypted" mã hóa một tập tin bất kỳ nào đó, bước đầu tiên nó sẽ sao chép tập tin đó, mã hóa tập tin mà nó sao chép và xóa tập tin gốc đi. Do đó để khắc phục các tin đã bị mã hóa bởi ransomeware “Your personal files are encrypted”, bạn có thể sử dụng phần mềm khôi phục tập tin như:

- Recuva:

Tải Recuva về máy và cài đặt tại đây.

Tham khảo các bước khôi phục tập tin bị mã hóa bằng Recuva trong video dưới đây:

- EaseUS Data Recovery Wizard Free:

Tải EaseUS Data Recovery Wizard Free về máy và cài đặt tại đây.

- R-Studio:

Tải R-Studio về máy và cài đặt tại đây.

6. Làm thế nào để bảo vệ máy tính của bạn khỏi ransomeware "Your personal files are encrypted" ?

Để bảo vệ máy tính của bạn khỏi ransomeware "Your personal files are encrypted", tốt nhất bạn nên cài đặt các chương trình diệt virus trên máy tính và thường xuyên sao lưu các dữ liệu cá nhân của mình. Ngoài ra bạn có thể sử dụng một số chương trình như HitmanPro.Alert hoặc CryptoPrevent để ngăn chặn các chương trình, phần mềm độc hại (malware) mã hóa các tập tin trên hệ thống.

Tham khảo thêm một số phần mềm diệt virus hiệu quả nhất cho máy tính Windows tại đây.

Tham khảo thêm một số bài viết dưới đây:

• Nếu không muốn trở thành nạn nhân của Ransomware, hãy đọc bài viết này

• Muốn gỡ bỏ quảng cáo trên web - Social 2 Search Ads, hãy đọc bài viết này

• Việc loại bỏ virus shortcut trên USB chưa bao giờ đơn giản như thế này

Chúc các bạn thành công!

Nguồn: Quan Tri Mang