Nếu máy tính của bạn đã bị lây nhiễm bởi ransomware, việc lấy lại các tệp của bạn có thể rất khó khăn. Điều này là do ransomware không chỉ mã hóa các tệp chính của bạn mà còn cả các tệp sao lưu của bạn. Vì vậy, trừ khi bản sao lưu của bạn được đặt trên một ổ đĩa, máy tính hoặc đám mây khác, việc khôi phục chúng có nghĩa là trả tiền chuộc mà kẻ tấn công yêu cầu và hy vọng rằng chúng cung cấp cho bạn khóa giải mã chính xác. Có, việc trả tiền chuộc không đảm bảo rằng kẻ tấn công sẽ làm đúng với lời của hắn và trả lại cho bạn dữ liệu của bạn. Hầu hết thời gian, kẻ tấn công chỉ ngừng giao tiếp với nạn nhân sau khi lấy được tiền của họ.
Phần mềm tống tiền mã hóa là một trong những biến thể phổ biến nhất của phần mềm độc hại này hiện nay. Phần mềm tống tiền mã hóa mã hóa các tệp trên máy tính bị ảnh hưởng và hướng dẫn thanh toán được gửi đến người dùng. Khi người dùng của bạn nhận được phần mềm độc hại của họ, nó thường dẫn đến mất dữ liệu vì kẻ tấn công thường chỉ quan tâm đến tiền. Sử dụng ransomware về cơ bản là một trong những cách nhanh nhất để tội phạm mạng kiếm tiền.
Đây là những gì ghi chú ransomware trông như thế nào:
Tất cả các tệp của bạn đều được mã hóa, để giải mã chúng, hãy gửi cho chúng tôi email:admin@wsxdn.com
85,140, 70, 244,57,2,95,127,127, 247,116, 217,214,131, 41, 28, 182,15, 33,33, 201,49, 75,121, 247,161, 79,95,149,16,18
4,48,155,148,183,9,239,185,82,88,196,56,244,95,23,111,180,116,116,172, 205,66, 239,86,163, 217,152, 246,7,182.
Phần mềm mã hóa Ransomware là gì?
Phần mềm mã hóa ransomware là một phần mềm độc hại mã hóa tệp lây nhiễm nhằm ngăn chặn quyền truy cập vào dữ liệu, chẳng hạn như tài liệu, hình ảnh hoặc video, bằng cách mã hóa tệp bằng phần mở rộng .encS. Sau đó, kẻ tấn công cố gắng tống tiền người dùng, thường ở dạng tiền điện tử Bitcoin, để đổi lấy quyền truy cập vào dữ liệu được mã hóa.
Mối đe dọa này đảm bảo khóa hoàn toàn tài liệu và tệp của bạn, do đó bạn không còn lựa chọn nào khác ngoài việc trả tiền chuộc đang được yêu cầu. Phần mềm ransomware encS là biến thể cập nhật của ransomware DeathHiddenTear, một phần mềm độc hại khét tiếng khác xuất hiện trước encS. Khi các tệp được mã hóa, một phần mở rộng khác sẽ được thêm vào tên tệp để người dùng không thể truy cập được. Phần mở rộng có thể là.encS hoặc .encL, với phần mở rộng trước đó phổ biến hơn phần mở rộng sau.
EncS ransomware thường được phát tán bằng cách sử dụng email spam với các tệp đính kèm bị nhiễm độc hoặc bằng cách khai thác các lỗ hổng đã biết trong hệ điều hành của máy tính và các ứng dụng đã cài đặt.
Phần mềm mã hóa Ransomware làm gì?
Khi mã độc mã hóa ransomware xâm nhập vào hệ thống, nó sẽ quét tìm hình ảnh, video cũng như các tài liệu và tệp quan trọng khác, chẳng hạn như .doc, .docx, .xls, .pdf, .ppt, .pptx và những thứ khác. Khi các tệp này được tìm thấy, mã ransomware mã hóa sau đó sẽ mã hóa các tệp và thay đổi phần mở rộng thành .encS, ngăn người dùng mở, sao chép hoặc truy cập tệp.
Sau khi tất cả các tệp đã được mã hóa, ransomware sẽ tạo ghi chú đòi tiền chuộc, thường có tên là Decrypt Guid.txt, chứa các hướng dẫn về cách người dùng có thể khôi phục các tệp. Sau đó, ransomware sẽ tiến hành xóa tất cả các Bản sao Khối lượng Bóng tối để ngăn nạn nhân khôi phục các tệp bằng cách sử dụng các Bản sao Khối lượng Bóng tối.
Phụ lục này được đặt sau tên tệp gốc hoặc sau phần mở rộng loại tệp chính. Ví dụ:khi Word.docx được mã hóa, bạn sẽ không thể nhìn thấy nội dung hoặc thậm chí logo Word của tài liệu này. Tất cả những gì bạn thấy là một tệp trống với tên tệp đã sửa đổi. Tiếp theo, tên tệp được thay đổi thành Word.docx.encL hoặc Word.docx.encS. Rất tiếc, bạn không thể xem bản xem trước của tệp, tài liệu, hình ảnh hoặc video sau khi mã đã được thay đổi. Điều này gây khó khăn để biết tệp nào trong số các tệp đặc biệt quan trọng. Phần mềm tống tiền này cực kỳ khó xử lý vì nó liên quan đến việc tống tiền và chuyển tiền. Ngoài việc làm hỏng thiết bị của bạn vĩnh viễn, bạn cũng có thể mất tiền sau khi thanh toán vì không chắc liệu bạn có thể nhận được khóa giải mã chính xác hay không.
Decrypt Guide.txt là tệp mà phần mềm độc hại lưu ở nhiều vị trí khác nhau trên máy, vì vậy người dùng có thể truy cập hướng dẫn và tìm cách sửa các tệp bị ảnh hưởng. Tệp này cũng bao gồm một thông báo ngắn gọn về mã hóa, thúc giục nạn nhân gửi email cho những kẻ tấn công phần mềm độc hại để yêu cầu thanh toán cho việc giải mã. Email được sử dụng để liên lạc thường là admin@wsxdn.com Trong hầu hết các trường hợp, đây cũng là địa chỉ email được sử dụng để chuyển khoản thanh toán cho khóa giải mã.
Cách loại bỏ EncS Ransomware
Khi thiết bị của bạn đã bị nhiễm phần mềm độc hại này, đừng trả phí chuộc. Ngoài thực tế là bạn đang góp phần vào các hoạt động bất hợp pháp của những tội phạm mạng này bằng cách cấp thêm tiền cho chúng, việc trả tiền chuộc không đảm bảo rằng bạn sẽ lấy lại được tất cả các tệp của mình trong một bộ phận. Đã có một số trường hợp khi nạn nhân trả tiền chuộc, chỉ để phát hiện ra rằng các tệp đã bị hỏng sau khi chúng được giải mã. Rất có khả năng quá trình mã hóa và giải mã đã làm hỏng các tệp, vì vậy bạn sẽ không thể khôi phục chúng ngay cả khi bạn có khóa giải mã.
Thay vào đó, bạn có thể làm theo hướng dẫn bên dưới về cách xóa phần mềm mã hóa ransomware và khôi phục quyền truy cập vào các tệp quan trọng của mình.
Bước 1:Xóa EncS Ransomware.
Bước đầu tiên là loại bỏ phần mềm độc hại chính khỏi hệ thống của bạn bằng ứng dụng chống phần mềm độc hại mạnh mẽ. Các ứng dụng miễn phí hoặc dùng thử sẽ không thể xử lý loại phần mềm độc hại này do cách nó hoạt động. Khi bạn đã xóa phần mềm độc hại, hãy đảm bảo xóa tất cả các tệp có liên quan bằng trình dọn dẹp PC.
Bước 2:Gỡ cài đặt Ứng dụng độc hại.
Nếu phần mềm độc hại đã được cài đặt trên máy tính của bạn thông qua gói, bạn cũng cần gỡ cài đặt ứng dụng đi kèm với phần mềm độc hại để được an toàn. Bạn có thể gỡ cài đặt nó trong Control Panel> Programs and Features. Tìm ứng dụng độc hại từ danh sách, sau đó nhấp vào Gỡ cài đặt. Thực hiện việc này đối với tất cả các ứng dụng mà bạn nghi ngờ bị nhiễm.
Bước 3:Giải mã tệp của bạn.
Khi bạn đã xóa hoàn toàn phần mềm độc hại khỏi máy tính của mình, bạn có thể tiếp tục và giải mã các tệp của mình. Bạn có thể bắt đầu bằng cách sử dụng các trình giải mã phổ biến, chẳng hạn như trình giải mã của Kaspersky. Symantec, McAfee, Trend Micro, Symantec, Cisco Systems và Emsisoft cũng có phần mềm giải mã của riêng họ. Nếu không gặp may, bạn có thể thử liên hệ với Michael Gillespie, người đã có thể giải mã phiên bản trước đó của ransomware này.
Tóm tắt
Phần mềm tống tiền mã hóa là một công việc khó chịu vì tất cả các tệp quan trọng của bạn đang bị giữ làm con tin. Bạn sẽ không thể khôi phục các tệp của mình bằng cách sử dụng các bản sao bóng vì tất cả các bản sao lưu cũng đã được mã hóa. Nếu máy tính của bạn bị nhiễm phần mềm độc hại này, đừng nghĩ đến việc trả tiền chuộc. Những gì bạn cần làm là vô hiệu hóa ransomware, loại bỏ nó và khôi phục tệp của bạn bằng cách làm theo các bước ở trên.