Nếu bạn đã trải nghiệm hoặc đang gặp phải Nefilim ransomware, bạn không đơn độc. Những người khác cũng đã than thở về điều đó.
Chúng tôi đã biên soạn bài viết này để giải thích cho bạn Nefilim ransomware là gì, nó hoạt động như thế nào, cách gỡ bỏ nó và cách loại bỏ nó một cách hiệu quả.
Giới thiệu về Nefilim Ransomware?
Nefilim là một ransomware mới xuất hiện và bắt đầu lây lan trên internet vào cuối tháng 2 năm 2020, theo báo cáo của Bleeping Computer. Báo cáo của Bleeping Computer cho thấy mã ransomware Nefilim có các chữ ký cho thấy đây là phiên bản nâng cấp của Nemty 2.5.
Mặc dù cả hai chia sẻ những điểm tương đồng về mã của chúng, nhưng chúng có sự khác biệt chính trong hoạt động của chúng.
Nefilim liên lạc với các nạn nhân để nhận email thông qua thanh toán qua email thay vì trang thanh toán Tor. Nó đã loại bỏ thành phần Ransomware-as-a-Service (RaaS) quan trọng - cả hai đều là các tính năng cụ thể của Nemty. Không có dấu hiệu nào cho thấy những kẻ đe dọa tương tự trong Nemty đứng sau Nefilim.
Nefilim ransomware làm gì?
Để trả lời câu hỏi này, tất cả những gì bạn cần biết là mô hình hoạt động của ransomware Nefilim.
Nefilim ransomware hoạt động bằng cách lây nhiễm vào hệ thống và mã hóa các tệp tin để yêu cầu thanh toán cho việc giải mã. Nhưng nó có cách hoạt động cụ thể:
- Vẫn chưa biết chắc Nefilim được phân phối như thế nào, nhưng các nhà nghiên cứu bảo mật hiện cho biết rất có thể nó được phân phối thông qua Dịch vụ Máy tính Từ xa đã lộ diện.
- Khi được khởi chạy, phần mềm ransomware Nefilim sử dụng kết hợp hai thuật toán - AES-128 và RSA-2048 - để mã hóa các tệp của nạn nhân.
- Đầu tiên, thuật toán AES-128 mã hóa các tệp của nạn nhân.
- Sau đó, khóa mã hóa AES này được mã hóa bằng khóa công khai RSA-2048, được nhúng trong tệp thực thi của ransomware.
- Sau đó, khóa AES được mã hóa sẽ được thêm vào nội dung của mỗi tệp được mã hóa. Điều này chỉ có thể được giải mã bằng khóa cá nhân RSA mà chỉ những người điều hành hoặc nhà phát triển ransomware mới biết.
- Sau đó, Nefilim đánh dấu tất cả các tệp được mã hóa bằng một chuỗi (phần mở rộng) xuất hiện dưới dạng ‘.NEFILIM.’
- Các tệp được mã hóa sau đó sẽ có tên mở rộng tệp - ‘.NEFILIM’ - được thêm vào tên tệp của chúng. Ví dụ:một tệp có tên state.doc được mã hóa và đổi tên thành todoc.NEFILIM.
- Ngoài khóa AES được mã hóa, phần mềm tống tiền Nefilim cũng thêm một chuỗi đánh dấu tệp ở dạng “NEFILIM” vào tất cả các tệp được mã hóa.
- Sau khi mã hóa thành công các tệp được nhắm mục tiêu, Nefilim sau đó viết một ghi chú đòi tiền chuộc - ‘NEFILIM-DECRYPT.txt’ - để hướng dẫn nạn nhân cách giải mã và khôi phục các tệp.
Nefilim ransomware dường như phức tạp hơn những phần mềm khác trước đó. Trong ghi chú tiền chuộc của Nefilim, các nhà điều hành đã đưa các email liên hệ khác nhau về cách liên hệ với họ để thanh toán và họ cũng đe dọa sẽ tiết lộ dữ liệu của nạn nhân nếu họ không trả tiền chuộc trong vòng bảy ngày kể từ ngày tấn công.
Bạn có nên trả tiền chuộc không?
Không có câu trả lời đúng hoặc rõ ràng cho tình huống khó xử này.
Bạn có thể trả tiền chuộc và lấy chìa khóa để giải mã các tệp của mình. Nhưng không có gì đảm bảo rằng các nhà khai thác Nefilim sẽ cung cấp cho bạn chìa khóa. Đánh giá từ lịch sử trước đó, những kẻ lừa đảo như vậy đã không cung cấp công cụ hoặc phần mềm giải mã được yêu cầu.
Do đó, chúng tôi khuyên bạn nên tránh tiếp xúc với các nhà khai thác ransomware.
Nạn nhân nên làm gì?
Điều đầu tiên mà nạn nhân của Nefilim ransomware cần làm là gỡ bỏ ransomware khỏi hệ thống PC ngay lập tức. Ransomware ở bên trong càng lâu thì càng có nhiều dữ liệu bị xâm phạm. Thứ hai, bạn có thể khôi phục dữ liệu của mình sau khi mối đe dọa được loại bỏ thành công.
Làm thế nào để loại bỏ phần mềm ransomware Nefilim?
Xóa Nefilim ransomware khỏi hệ thống máy tính của bạn là cách an toàn và đáng tin cậy duy nhất để giải quyết vấn đề. Bạn có thể làm điều này theo hai cách:
- Sử dụng phần mềm hoặc công cụ xóa tự động, chẳng hạn như phần mềm của bên thứ ba để làm công cụ xóa ransomware.
- Sử dụng phương pháp thủ công, có thể hơi phức tạp vì nó đòi hỏi kinh nghiệm sử dụng máy tính và có thể yêu cầu bạn tìm kiếm sự trợ giúp của chuyên gia.
Cách thoát khỏi Nefilim Ransomware
Bạn sẽ cần phải loại bỏ phần mềm ransomware Nefilim và tất cả các tệp liên quan mãi mãi.
Trước khi tiến hành gỡ bỏ nó, bạn cần khởi động lại hệ thống máy tính ở Chế độ An toàn với Mạng:
Đối với người dùng Windows XP / Vista / 7:
- Khởi động lại máy tính của bạn.
- Trước khi PC của bạn khởi động, hãy nhấn F8 vài lần (Điều này sẽ ngăn hệ thống tải và hướng bạn đến màn hình Tùy chọn khởi động nâng cao.)
- Trên màn hình khởi động nâng cao, hãy chọn tùy chọn 'Chế độ an toàn với mạng.'
- Nhấn Enter trên bàn phím của bạn.
Đối với người dùng Windows 8 &10:
- Nhấp vào Bắt đầu rồi chọn Cài đặt.
- Nhấp vào Cập nhật &Bảo mật.
- Chọn Khôi phục , sau đó nhấp vào Khởi động lại ngay bây giờ .
- Sau khi khởi động lại, hãy chuyển đến Khắc phục sự cố > Tùy chọn nâng cao > Cài đặt khởi động > Khởi động lại .
- Sau lần khởi động lại cuối cùng, nhấn F5 để Bật Chế độ an toàn với mạng (sau đó làm theo hướng dẫn trên màn hình.)
Kết luận
Thế là xong!
Chúng tôi hiểu phần mềm ransomware Nefilim có thể gây khó chịu như thế nào. Nhưng chúng tôi tin rằng bây giờ bạn đã hiểu nó và làm thế nào để thoát khỏi nó. Nếu bạn gặp bất kỳ vấn đề nào khác với các cuộc tấn công bằng ransomware, hãy thông báo cho chúng tôi qua phần nhận xét.