Hướng dẫn ngăn chặn mã độc tống tiền Lukitus

Lukitus là gì?

Lukitus là một phiên bản cập nhật của một loại virus ransomware (mã độc tống tiền) gọi là Locky. Các nhà phát triển lây lan Lukitus qua thư rác (các tệp đính kèm độc hại). Sau khi thâm nhập, Lukitus mã hóa dữ liệu được lưu trữ bằng thuật toán mã hóa RSA-2048 và AES-128. Trong quá trình mã hóa, virus sẽ đổi tên các tệp được mã hóa sử dụng mẫu '32_random_letters_and_digits].lukitus'. Ví dụ: 'sample.jpg' có thể được đổi tên thành tên tệp như 'GPZ9AETR3-BIEU-8HAJ-36AD5B2D-3192B7EB5821.lukitus'. Sau khi mã hóa thành công, Lukitus thay đổi hình nền máy tính và tạo một tệp tin HTML ('lukitus.htm') để nó trên desktop.
Tệp hình nền và tệp HTML trên máy tính có chứa thông báo về yêu cầu đòi tiền chuộc cho biết tệp được mã hóa và chỉ có thể khôi phục qua một chương trình giải mã cụ thể sử dụng khóa duy nhất. Thật không may, thông tin này là chính xác. Như đã đề cập ở trên, Lukitus sử dụng thuật toán mật mã RSA và AES, và do đó, chỉ duy nhất một khóa giải mã được tạo ra cho mỗi nạn nhân. Các khóa này được lưu trữ trên một máy chủ từ xa điều khiển bởi các nhà phát triển của Lukitus. Nạn nhân được yêu cầu phải trả tiền chuộc để nhận khóa bằng cách làm theo các hướng dẫn được cung cấp trên trang web chính thức của phần mềm độc hại. Chi phí giải mã là 0.5 Bitcoin (khoảng gần 50.000.000 VND). Tuy nhiên, hãy nhớ rằng không nên tin tưởng các tội phạm công nghệ cao vì họ thường lờ các nạn nhân khi đã nhận được tiền chuộc. Thanh toán xong không đảm bảo chắc chắn rằng các tệp của bạn sẽ được giải mã. Hơn nữa, đưa tiền cho bọn tội phạm mạng còn gián tiếp hỗ trợ các hoạt động kinh doanh virus độc hại của họ. Do đó, không nên liên lạc với những người này hoặc trả bất kỳ khoản tiền chuộc nào. Tuy nhiên không may là không có công cụ nào có khả năng khôi phục các tệp được mã hóa bởi Lukitus và giải pháp duy nhất là khôi phục lại các tệp, hệ thống của bạn từ bản sao lưu. Thông báo yêu cầu tiền chuộc của bọn tội phạm mạng:
Hướng dẫn ngăn chặn mã độc tống tiền Lukitus
Lukitus gần giống với Aleta, BTCWare, GlobeImposter và hàng chục loại mã độc tống tiền khác. Những phần mềm độc hại này cũng được thiết kế để mã hóa các tập tin và yêu cầu đòi tiền chuộc. Chỉ có hai sự khác biệt chính: 1) khoản tiền chuộc được yêu cầu và 2) loại thuật toán mã hóa được sử dụng. Nghiên cứu cho thấy hầu hết các virus này sử dụng các thuật toán tạo ra khoá giải mã duy nhất (ví dụ như RSA, AES, DES, v.v...) Do đó, hầu như không thể khôi phục các tập tin này mà không có khóa giải mã của các tội phạm mạng.

Mã độc tống tiền tấn công máy tính như thế nào?

Mặc dù Lukitus được phân phối qua thư rác, nhưng các tên tội phạm mạng thường phát tán phần mềm độc hại tương tự bằng cách sử dụng phần mềm giả mạo, trojans và các nguồn tải phần mềm của bên thứ ba (các trang web tải về miễn phí, các trang web lưu trữ tệp miễn phí, các mạng ngang hàng (peer-to-peer network), v.v…). Trong trường hợp này, Lukitus được phân phối đến cho nạn nhận dưới dạng một tệp .rar nén. Tuy nhiên, các thư rác thường chứa các tài liệu jаvascript, MS Office và các tệp tương tự khác được thiết kế để tải hoặc cài đặt phần mềm độc hại. Trình cập nhật phần mềm giả mạo khai thác các lỗi phần mềm đã lỗi thời để lây nhiễm vào hệ thống. Các nguồn tải phần mềm bên thứ ba thường tăng khả năng thực thi độc hại bằng cách “giới thiệu” chúng dưới dạng phần mềm hợp pháp.

Làm thế nào để tự bảo vệ máy tính khỏi nhiễm mã độc tống tiền?

Để ngăn ngừa nhiễm mã độc hại tống tiền, bạn cần phải rất thận trọng khi duyệt Internet. Không bao giờ mở các tập tin nhận được từ email đáng ngờ hoặc tải phần mềm từ các nguồn không chính thức. Hơn nữa, sử dụng bộ phần mềm chống vi-rút/chống phần mềm gián điệp hợp pháp và cập nhật các ứng dụng đã được cài đặt. Tuy nhiên, hãy lưu ý rằng bọn tội phạm phân phối phần mềm độc hại thông qua các trình cập nhật giả mạo. Do đó, sử dụng các công cụ của bên thứ ba để cập nhật phần mềm là rất nguy hiểm. Chìa khóa để giữ an toàn máy tính là thận trọng. Mẫu thư rác được sử dụng để phân phối phần mềm độc hại Lukitus:
Tập tin Lukitus HTML:
Tập tin Lukitus hình nền màn hình:
Tập tin Lukitus trang web Tor:
Các tệp được mã hóa bởi Lukitus ('[32_random_letters_and_digits] .lukitus' mẫu tên tệp):

Hướng dẫn ngăn chặn mã độc tống tiền Lukitus

Bước 1: Loại bỏ mã độc tống tiền Lukitus sử dụng chế độ an toàn với mạng.

Người dùng Windows XP và Windows 7: Khởi động máy tính của bạn ở Safe Mode. Nhấp vào Start > Shut Down > OK. Trong quá trình khởi động máy tính, nhấn phím F8 trên bàn phím nhiều lần cho đến khi bạn nhìn thấy trình đơn Windows Advanced Option, sau đó chọn Safe Mode with Networking từ danh sách.
Video hướng dẫn cách khởi động Windows 7 với chế độ 'Safe Mode with Networking”:  
Người dùng Windows 8: Đi tới Màn hình Start của Windows 8, gõ Advanced, trong kết quả tìm kiếm chọn Settings. Nhấp vào tùy chọn Advanced startup trong cửa sổ 'General PC Settings' đã được mở. Nhấp vào nút 'Restart now'. Máy tính của bạn bây giờ sẽ khởi động lại vào 'Advanced Startup options menu'. Nhấp vào nút ' Troubleshoot', sau đó nhấn nút 'Advanced options”. Trong màn hình tùy chọn nâng cao, nhấp vào Startup settings > Restart. Máy tính sẽ khởi động lại vào màn hình Startup Settings. Nhấn F5 để khởi động với chế độ Safe Mode with Networking.
Video hướng dẫn khởi động Windows 8 ở chế độ Safe Mode with Networking.  
Người dùng Windows 10: Nhấp vào biểu tượng Windows và chọn Power. Trong trình đơn đã mở, nhấp vào 'Restart' trong khi giữ nút 'Shift' trên bàn phím. Trong cửa sổ 'choose an option', nhấp vào 'Troubleshoot' , tiếp theo chọn 'Advanced options'. Trong trình đơn tùy chọn nâng cao, chọn 'Startup Settings' và nhấp vào nút 'Restart'. Trong cửa sổ tiếp theo bạn nhấp vào nút 'F5' trên bàn phím. Thao tác này sẽ khởi động lại hệ điều hành của bạn ở chế độ an toàn với mạng.
Video hướng dẫn khởi động Windows 10 ở chế độ 'Safe Mode with Networking':
 

Bước 2: : Gỡ bỏ mã độc tống tiền Lukitus sử dụng khôi phục hệ thống

Nếu bạn không thể khởi động máy tính trong chế độ Safe Mode with Networking, hãy thử thực hiện khôi phục hệ thống. Video hướng dẫn cách loại bỏ vi rút ransomware bằng 'Safe Mode with Command Prompt''System Restore:
  1. Trong quá trình khởi động máy tính, bấm phím F8 trên bàn phím nhiều lần cho đến khi xuất hiện menu Windows Advanced Options, sau đó chọn Safe Mode with Command Prompt từ danh sách và nhấn Enter.
2. Trong Command Prompt, nhập vào dòng sau: cd restore và nhấn Enter.
3. Tiếp theo, gõ dòng này: rstrui.exe và nhấn Enter
4. Trong cửa sổ mở ra, nhấp 'Next'.
5. Chọn một trong các Restore Points và nhấn 'Next' (sẽ khôi phục lại hệ thống máy tính của bạn trước ngày bị virus Lukitus xâm nhập).
6. Trong cửa sổ mở ra, nhấp vào 'Yes'.
7. Sau khi khôi phục máy tính, hãy tải và quét máy tính của bạn với phần mềm loại bỏ phần mềm độc hại để loại bỏ bất kỳ tập tin mã độc hại tống tiền còn lại của Lukitus. Để khôi phục lại các tệp tin cá nhân được mã hóa bằng mã độc hại tống tiền này, hãy thử sử dụng tính năng Windows Previous Versions. Phương pháp này chỉ có hiệu quả nếu chức năng System Restore đã được kích hoạt trên một hệ điều hành bị mã độc tấn công. Lưu ý rằng một số biến thể của Lukitus có thể xóa Shadow Volume Copies của các tệp, vì vậy phương pháp này có thể không hoạt động trên tất cả các máy tính. Để khôi phục lại một tệp tin, nhấp chuột phải vào nó, vào Properties và chọn tab Previous Versions. Nếu tệp có liên quan có Restore Point, hãy chọn tệp đó và nhấp vào nút 'Restore”.
Nếu bạn không thể khởi động máy tính trong Safe Mode with Networking (hoặc với Command Prompt), khởi động máy tính bằng đĩa cứu hộ (rescue disk). Một số biến thể của mã độc tống tiền vô hiệu hóa với chế độ Safe Mode with Networking làm cho việc xoá nó trở nên phức tạp. Đối với bước này, bạn cần truy cập vào máy tính khác. Để lấy lại quyền kiểm soát các tệp được mã hóa bởi Lukitus, bạn cũng có thể thử sử dụng một chương trình có tên là Shadow Explorer. 
Để bảo vệ máy tính của bạn khỏi mã độc tống tiền mã hóa tập tin như thế này, hãy sử dụng các chương trình chống virus và chống phần mềm gián điệp có uy tín. Là một phương pháp bảo vệ bổ sung, bạn có thể sử dụng các chương trình được gọi là HitmanPro.Alert, nó giả tạo các group policy object trong registry để chặn các chương trình giả mạo như Lukitus.
Malwarebytes Anti-Ransomware Beta sử dụng công nghệ tiên tiến theo dõi hoạt động mã độc tống tiền và chấm dứt nó ngay lập tức - trước khi đến các tập tin của người dùng:
Cách tốt nhất để tránh thiệt hại từ mã độc tống tiền là duy trì cập nhật thường xuyên các bản sao lưu. Các công cụ khác được biết đến để loại bỏ mã độc tống tiền Lukitus: Plumbytes Anti-Malware và SpyHunter 4.

TIN LIÊN QUAN

5 phần mềm Anti-Ransomware tốt nhất ngăn chặn virus WannaCry

Trong khi mã độc ransomware WannaCry đang lây lan khủng khiếp, vì vậy trước khi quá muộn bạn hãy cài phần mềm ngăn chặn virus WannaCry để bảo vệ máy tính.

Phần mềm độc hại có thể không bị phát hiện không?

Các chương trình chống virus là một công cụ cần thiết để giữ an toàn khi trực tuyến, nhưng có những mối đe dọa nào mà chúng không thể phát hiện ra không? Hãy cùng tìm hiểu.

Hướng dẫn khôi phục dữ liệu bị mã hóa bởi virus WannaCry

Sau gần 2 tuần, mã độc WannaCry đã lây lan khắp thế giới, với nổ lực ngăn chặn mã độc này một số lập trình viên đã tìm ra cách khôi phục dữ liệu bị mã hóa bởi WannaCry.

Sử dụng lệnh CMD để loại bỏ virus trên máy tính Windows

Một khi đã xâm nhập được máy tính người dùng, virus có thể gây ra một loạt các vấn đề như khiến hệ điều hành máy tính ngày một chậm dần, thậm chí một số loại virus có thể 'đánh cắp' dữ liệu của người dùng.

Khắc phục 100% vấn đề nhiễm virus từ các thiết bị lưu trữ ngoại vi

Máy tính bị nhiễm virus từ các thiết bị lưu trữ bên ngoài là vấn đề mà chắc hẳn ai cũng đã gặp phải. Mặc dù có thể bạn sử dụng máy tính kinh nghiệm và có thể cẩn thận trước sự lây nhiễm từ các thiết bị lưu trữ.

Không cần sử dụng chương trình diệt virus, đây là cách loại bỏ tận gốc virus trên máy tính của bạn

Virus có thể 'xâm nhập' trái phép vào máy tính của người dùng thông qua nhiều con đường khác nhau, chẳng hạn như trong quá trình duyệt Web, hay từ các thiết bị USB hay trong quá trình cài đặt các ứng dụng, phần mềm.

Cách kích hoạt diệt virus khẩn cấp trên Windows 10

Windows Defender là một trong những công cụ được Microsoft tích hợp sẵn trên Windows 10 nhằm giúp người dùng phòng tránh sự tấn công của virus, mã...

Nếu không muốn trở thành nạn nhân của Ransomware, hãy đọc bài viết này

Dù bạn đang sử dụng nền tảng nào đi nữa, máy tính, máy tính bảng hoặc smartphone thì hãy nhớ luôn cập nhật các bản update có sẵn để nâng cấp phiên bản thiết bị của mình để đảm bảo an toàn.

THỦ THUẬT HAY

Cách tra cứu ngân hàng ủy nhiệm thu thuế bằng ứng dụng eTax Mobile

Trước đây, việc tra cứu thông tin địa chỉ các ngân hàng ủy nhiệm thu thuế, ngân sách nhà nước còn nhiều khó khăn. Vậy đây là cách tra cứu ngân hàng ủy nhiệm thu thuế bằng điện thoại...

Hướng dẫn tải về 12 hình nền chính thức tuyệt đẹp dành cho iPhone XR

Giống như hình nền của iPhone XS thì những hình nền của iPhone XR cũng có nhiều màu sắc mô tả chủ đề bong bóng. Những hình nền tương ứng với 6 tùy chọn màu sắc trên iPhone XR bao gồm: trắng,

Cách chia sẻ một thư mục (folder) qua mạng LAN trên Windows 10

Trên các phiên bản Windows trước, việc chia sẻ thư mục (folder) khá khó khăn. Tuy nhiên trên Windows 10, quá trình này đã đơn giản hơn rất nhiều. Một số tùy chọn chia sẻ trên Windiows 10 cung cấp tính năng toàn quyền

Hướng dẫn cách chuyển vùng App Store Canada về Việt Nam

Trong bài trước mình đã hướng dẫn bạn cách chuyển vùng App Store sang Canada để tải ứng dụng, trò chơi không phát hành tại Việt Nam. Trong bài viết hôm nay, mình sẽ giải quyết tiếp vấn đề còn lại là chuyển vùng từ

Cách đồng bộ danh bạ Facebook với iPhone

Với iOS 6, Apple đã giới thiệu khả năng tích hợp với Facebook nhiều hơn. Một phần của việc này là khả năng đồng bộ bạn bè của Facebook của bạn với danh bạ (liên hệ) iPhone của bạn.

ĐÁNH GIÁ NHANH

Đánh giá LG V40 ThinQ: Không mang lại sự thỏa mãn với giá 1.000 USD

Mặc dù G-series vẫn là dòng smartphone flagship cao cấp chính của LG, tuy nhiên dòng smartphone V-series cũng luôn nhận được lượng quan tâm rất lớn. LG V30 ra mắt năm ngoái là sự thành công ngoài mong đợi, một chiếc

Chi tiết Yamaha Exciter 2019 với nhiều nâng cấp đáng giá

Về thiết kế tổng thể Exciter 150 New không khác biệt nhiều so với thế hệ trước đó, điếm nhấn chính của mẫu xe mới đến từ cụm đèn pha sử dụng công nghệ LED có tạo hình vô cùng ấn tượng, gồm 3 choá đèn nhỏ ở bên trong

TOP 5 smartphone Xiaomi dưới 5 triệu có sạc nhanh hấp dẫn nhất 2021

Nếu bạn đang có nhu cầu tìm smartphone Xiaomi dưới 5 triệu có sạc nhanh thì dưới đây sẽ là những cái tên hữu ích nhất mà bạn không nên bỏ qua. Redmi 9T Xiaomi Redmi 9T được nhà sản xuất tích hợp viên pin dung lượng lên