Cách gỡ bỏ / khắc phục ransomware WannaCry

Nếu đọc tin tức 24 giờ qua thì bạn sẽ biết về vụ tấn công mạng quy mô toàn cầu của ransomware có tên WannaCry. Vụ tấn công đã khiến nhiều tổ chức không thể truy cập vào các tập tin trên máy tính, bao gồm cả Cơ quan y tế quốc gia Anh NHS hay công ty vận chuyển FedEx. Dù có vẻ như nhắm vào châu Âu nhiều hơn nhưng điều đó không có nghĩa là bạn nằm ngoài "vùng phủ sóng" của WannaCry. Dưới đây là những gì bạn cần biết về loại ransomware này cũng như cách để xử lý khi máy tính nhiễm WannaCry.

Chuyện gì xảy ra khi bị WannaCry tấn công?

Nếu máy tính bị nhiễm, WannaCry mã hóa dữ liệu trên máy tính và yêu cầu người dùng phải trả một khoản tiền để chuộc / mở khóa chúng. Thông thường mức phí sẽ vào khoảng $300. Nó yêu cầu thanh toán bằng Bitcoins để người nhận tiền không thể bị truy dấu.

Khi nạn nhân không chấp nhận trả tiền, số tiền mà bên tấn công đòi để chuộc sẽ nhân đôi sau 3 ngày. Sau đó, nếu không có Bitcoin nào được trả thì số tập tin đã bị mã hóa đó sẽ bị xóa. WannaCry còn gửi kèm một file Read Me dạng text, cung cấp thông tin chi tiết về những gì sẽ xảy ra tiếp theo, tùy vào quyết định của bạn. Nếu bạn hoặc tổ chức của bạn bị nhiễm ransomware này thì dưới đây là vài thủ thuật quan trọng cần nhớ.

Màn hình máy tính nhiễm WannaCry

Làm sao để bảo vệ máy tính khỏi bị ransomware tấn công?

Cho đến thời điểm này, việc giải mã tập tin đã bị nhiễm là rất khó. Tuy vậy, một công ty an ninh mạng nổi tiếng tên là Symantec đang tìm phương án giải mã dễ dàng hơn. Nếu không muốn bạn hoặc tổ chức của bạn trở thành nạn nhân của vụ tấn công WannaCry thì hãy làm theo các bước sau.

• Luôn luôn cập nhật các phần mềm tường lửa và chống virus để bảo vệ máy tính.
• Hệ điều hành nên được cập nhật thường xuyên, trong đó sẽ bao gồm các bản vá mới và tránh việc bị hacker khai thác các lỗ hổng.
• Email là một trong những cách phổ biến để WannaCry và các ransomware tương tự xâm nhập máy tính. Vì thế đừng click hoặc mở các file tài liệu lạ.
• Sao lưu tất cả dữ liệu quan trọng. Việc này sẽ giúp kẻ tấn công không có gì để "tóm" được bạn. Ngoài ra, bạn nên sao lưu trên máy chủ, các thiết bị lưu trữ ngoài hoặc các hình thức khác không dùng tới Internet.

Để loại bỏ WannaCry, bạn sẽ cần sử dụng chế độ Safe Mode. Dưới đây là hướng dẫn bật chế độ Safe Mode trên máy tính. Cũng lưu ý là thông tin dưới đây có được dựa trên tìm kiếm và không đảm bảo chắc chắn máy tính của bạn có thể loại bỏ WannaCry. Để làm theo hướng dẫn dưới đây, bạn sẽ cần đọc bài viết này trên thiết bị khác vì trong quá trình thao tác, bạn sẽ phải tắt trình duyệt.

Cách bật chế độ Safe Mode

• Trên Windows XP và Windows 7: Chọn F8 trước khi Windows khởi động. Trên Boot Menu, chọn Safe Mode with Networking và nhấp Enter.
• Trên Windows 8 và 8.1: Vào Start Menu > Control Panel > Administrative Tools > System Configuration. Sau đó tìm và chọn Safe Boot và chọn Networking > Restart. Máy tính của bạn sẽ mở sang chế độ Safe Mode.
• Trên Windows 10: Vào Start Menu > Settings > Update and Security > Recovery. Sau đó, bên dưới Advanced Startup, hãy click vào Restart Now và để máy khởi động lại. Khi máy cho phép lựa chọn Choose Option Screen, hãy click Troubleshoot > Advanced Options > StartupSettings > Enable Safe Mode with Networking Option và nhấp Enter.

Chú ý: Trên một số máy tính, Boot Key lại không phải là F8, khi đó bạn sẽ cần xem lại hướng dẫn của nhà sản xuất để tìm ra phím này.

Làm thế nào để loại bỏ WannaCry?

Hãy đọc các bước cẩn thận và đảm bảo bạn biết rõ mình đang làm gì trước khi thao tác.

Loại bỏ các quá trình bị nhiễm

Giờ bạn cần tìm các quá trình (process) đang chạy trên máy có liên quan tới WannaCry. Nhấn tổ hợp phím Ctrl + Shift + Esc để mở hộp thoại Task Manager. Sau đó hãy nhìn kĩ trên thẻ Processes để tìm các entry lạ.

Thông thường các quá trình nhiễm độc sẽ rất ngốn tài nguyên máy tính, như CPU hay RAM. Nếu thấy entry bất thường, hãy click chuột phải, và chọn Open the File > Delete Everything. Hãy đảm bảo chỉ làm vậy khi bạn chắc chắn quy trình có liên quan tới WannaCry.

Các chương trình khởi động

Giờ hãy mở Startup Programs bằng cách gõ System Configuration vào ô tìm kiếm của Windows. Sau đó chọn kết quả đầu tiên và bạn sẽ thấy danh sách các chương trình.

Nếu dùng Windows 10, bạn có thể thấy Startup Programs ngay trong Task Manager. Trên tất cả các phiên bản Windows, nếu thấy chương trình nào có tên nhà phát triển lạ hoặc nghi ngờ, hãy bỏ chọn và click OK.

Registry

Mở hộp thoại Run của Windows hoặc nhấn tổ hợp phím Windows + R. Sau đó gõ regedit và nhấn Enter.

Khi thấy Registry Editor, nhấn Ctrl + F và gõ tên Ransom.CryptXXX hoặc WannaCry. Hãy xóa tất cả những gì có liên quan tới tên này và chọn Find Next để tìm các kết quả tiếp theo.

Các tập tin dính virus

Cuối cùng, đừng quên xóa tất cả các tập tin có khả năng nhiễm virus. Trên Start Menu, lần lượt gõ từng lựa chọn sau: %AppData%, %LocalAppData%, %ProgramData%, %WinDir%, %Temp%. Mỗi lần tìm kiếm bằng một trong những cái tên trên, một thư mục sẽ hiện ra, hãy chọn lọc theo thời gian và xóa những thư mục, tập tin gần đây nhất. Ngoài ra, bạn có thể vào thư mục Temp để xóa mọi thứ trong đó.

Dù không đảm bảo 100% nhưng những hướng dẫn trên đây có thể hữu ích để giúp bạn loại bỏ WannaCry  khỏi máy tính của mình. 

Bài viết liên quan: 
Cách xử lý mã độc WannaCry khẩn cấp từ cục An toàn thông tin quốc gia
Microsoft phát hành bản vá khẩn cấp để ngăn ngừa ransomware tấn công