Câu hỏi Làm cách nào để xóa phần mềm độc hại, phần mềm độc hại, phần mềm quảng cáo, vi-rút, trojans hoặc rootkit khỏi máy tính của tôi?


Tôi nên làm gì nếu máy tính Windows của tôi có vẻ như bị nhiễm vi-rút hoặc phần mềm độc hại?

  • Các triệu chứng của nhiễm trùng là gì?
  • Tôi nên làm gì sau khi nhận thấy nhiễm trùng?
  • Tôi có thể làm gì để loại bỏ nó?
  • làm thế nào để ngăn chặn nhiễm trùng bởi phần mềm độc hại?

Câu hỏi này xuất hiện thường xuyên và các giải pháp được đề xuất thường giống nhau. Wiki cộng đồng này là một nỗ lực để phục vụ như là câu trả lời dứt khoát, toàn diện nhất có thể.

Vui lòng thêm đóng góp của bạn thông qua chỉnh sửa.


431
2017-11-30 15:16


gốc


Một điều chắc chắn KHÔNG làm là cài đặt bất kỳ công cụ "chống phần mềm độc hại" nào mà bạn được khuyến khích khi bạn truy cập trang web có nội dung "Máy tính của bạn bị nhiễm vi rút!" Đây gần như chắc chắn là phần mềm độc hại. Bạn chỉ được sử dụng các công cụ được xem xét kỹ lưỡng - (có lẽ) các công cụ được đặt tên bên dưới hoặc trên một trang web đáng tin cậy khác. - Daniel R Hicks
@Gnoupi Bài viết này có thể quan tâm maketecheasier.com/… - Simon
Đối với bất cứ ai chỉ đến câu hỏi này muốn phiên bản tl; dr ... Sau khi bị nhiễm, không có cách nào (tốt ... không có cách nào không liên quan đến bạn đã trở thành kỹ sư máy tính và đầu tư vài năm trong cuộc sống của bạn để thực hiện khám nghiệm tử thi kỹ thuật số trên máy) để loại bỏ / chắc chắn bạn đã loại bỏ nhiễm trùng. Phần mềm độc hại có thể ẩn trong các tệp của bạn, các chương trình ứng dụng, hệ điều hành, chương trình cơ sở của bạn ... Đó là lý do tại sao bạn không bao giờ nên tin tưởng một máy tính bị nhiễm trùng. Các nhà cung cấp AV sẽ cố gắng thuyết phục bạn rằng sản phẩm của họ là viên đạn bạc sẽ sửa chữa hệ thống của bạn. Họ nói dối. - Parthian Shot
@DanielRHicks thực sự trong một số trường hợp họ dẫn đến một sản phẩm AV hợp pháp. Lần cuối cùng tôi thấy điều này trên Android với tính năng "hỗ trợ quảng cáo nội tuyến" gây phiền nhiễu (các thanh quảng cáo xuất hiện ở cuối ứng dụng và trang web). Ví dụ tôi vừa khai thác một "loại bỏ virus!" quảng cáo và tôi đã truy cập vào Cửa hàng Google Play trên Bảo mật 360 - Chống tăng cường Antivirus trang ứng dụng. - David Balažic
Khi chúng ta xem xét tính khả quan của Virtual Rootkits và Firmware Rootkits thì chúng ta có thể nói khá nhiều: Bạn đang boned. Hai loại Rootkit này được lưu trong các khu vực máy tính của bạn, bạn không thể dọn dẹp được. Nếu bạn muốn loại bỏ chúng, bạn cần phải mua một máy tính mới. Firmware Rootkits rất hiếm và Virtual Rootkits vẫn chưa tồn tại nhưng vẫn tồn tại: Sự tồn tại của hai Rootkit này chứng minh rằng không có giải pháp 100% làm việc phù hợp với tất cả mọi thứ. Là một người Đức, tôi sẽ chuyển nó thành "Eierlegende Wollmilchsau" - BlueWizard


Các câu trả lời:


Đây là điều: Phần mềm độc hại trong những năm gần đây đã trở thành lén lút và nastier:

Sneakier, bởi vì nó di chuyển trong các gói. Phần mềm độc hại tinh tế có thể ẩn sau các nhiễm trùng rõ ràng hơn. Có rất nhiều công cụ tốt được liệt kê trong các câu trả lời ở đây có thể tìm thấy 99% phần mềm độc hại, nhưng luôn có 1% họ không thể tìm thấy. Chủ yếu, 1% là thứ Mới: các công cụ phần mềm độc hại không thể tìm thấy nó bởi vì nó chỉ xuất hiện và đang sử dụng một số khai thác hoặc kỹ thuật mới để ẩn chính nó mà các công cụ chưa biết.

Phần mềm độc hại cũng có thời hạn sử dụng ngắn. Nếu bạn bị nhiễm bệnh, một cái gì đó từ 1% mới đó rất có khả năng một phần của nhiễm trùng của bạn. Nó sẽ không phải là toàn thể nhiễm trùng: chỉ là một phần của nó. Các công cụ bảo mật sẽ giúp bạn tìm và xóa phần mềm độc hại rõ ràng hơn và nổi tiếng hơn, đồng thời có khả năng xóa tất cả các phần mềm hiển thị triệu chứng (bởi vì bạn có thể tiếp tục đào sâu cho đến khi bạn đạt được điều đó), nhưng chúng có thể để lại những phần nhỏ phía sau, như một keylogger hoặc rootkit ẩn đằng sau một số khai thác mới mà công cụ bảo mật chưa biết cách kiểm tra. Các công cụ chống phần mềm độc hại vẫn có vị trí của họ, nhưng tôi sẽ làm điều đó sau.

Nastier, ở chỗ nó sẽ không chỉ hiển thị quảng cáo, cài đặt thanh công cụ hoặc sử dụng máy tính của bạn dưới dạng zombie nữa. Phần mềm độc hại hiện đại có khả năng đi đúng với thông tin ngân hàng hoặc thẻ tín dụng. Những người xây dựng công cụ này không còn chỉ là kịch bản kiddies tìm kiếm danh vọng; họ bây giờ là những chuyên gia có tổ chức được thúc đẩy bởi lợi nhuậnvà nếu họ không thể lấy cắp trực tiếp bạn, họ sẽ tìm kiếm một cái gì đó họ có thể quay lại và bán. Điều này có thể là xử lý hoặc tài nguyên mạng trong máy tính của bạn, nhưng nó cũng có thể là số an sinh xã hội của bạn hoặc mã hóa các tệp của bạn và giữ chúng để đòi tiền chuộc.

Đặt hai yếu tố này lại với nhau, và không còn cần phải cố gắng loại bỏ phần mềm độc hại khỏi hệ điều hành đã cài đặt nữa. Tôi đã từng rất giỏi trong việc loại bỏ thứ này, đến mức tôi đã tạo ra một phần quan trọng trong cuộc sống của mình theo cách đó, và tôi thậm chí không còn cố gắng nữa. Tôi không nói rằng nó không thể được thực hiện, nhưng tôi nói rằng chi phí / lợi ích và kết quả phân tích rủi ro đã thay đổi: nó chỉ là không có giá trị nó nữa. Có quá nhiều cổ phần, và quá dễ dàng để có được kết quả mà chỉ hình như có hiệu quả.

Rất nhiều người sẽ không đồng ý với tôi về điều này, nhưng tôi thách thức họ không cân nhắc hậu quả của thất bại đủ mạnh. Bạn có sẵn sàng đặt cược tiền tiết kiệm cuộc sống, tín dụng tốt của bạn, ngay cả danh tính của bạn, rằng bạn giỏi hơn những kẻ lừa đảo khiến hàng triệu người làm việc đó mỗi ngày?  Nếu bạn cố gắng loại bỏ phần mềm độc hại và sau đó tiếp tục chạy hệ thống cũ, đó là chính xác Bạn đang làm gì vậy.

Tôi biết có những người ngoài kia đang đọc suy nghĩ này, "Này, tôi đã loại bỏ nhiều loại nhiễm trùng từ nhiều loại máy khác nhau và không có gì xấu xảy ra cả." Tôi nữa, bạn. Tôi cũng vậy. Trong những ngày qua tôi đã làm sạch phần chia sẻ của các hệ thống bị nhiễm. Tuy nhiên, tôi đề nghị bây giờ chúng ta cần phải thêm "chưa" vào cuối tuyên bố đó. Bạn có thể có hiệu quả 99%, nhưng bạn chỉ phải sai một lần, và hậu quả của thất bại cao hơn nhiều so với trước đây; chi phí chỉ là một thất bại có thể dễ dàng vượt qua tất cả những thành công khác. Bạn thậm chí có thể có một cỗ máy đã tồn tại ở đó mà vẫn còn một quả bom đánh dấu bên trong, chỉ cần đợi để được kích hoạt hoặc thu thập thông tin chính xác trước khi báo cáo lại. Ngay cả khi bạn có quy trình 100% hiệu quả ngay bây giờ, công cụ này luôn thay đổi. Hãy nhớ rằng: bạn phải hoàn hảo mọi lúc; những kẻ xấu chỉ phải may mắn một lần thôi.

Tóm lại, thật không may, nhưng nếu bạn đã bị nhiễm phần mềm độc hại đã xác nhận, việc hoàn thành lại toàn bộ máy tính phải là Đầu tiên nơi bạn quay thay vì người cuối cùng.


Dưới đây là cách thực hiện điều đó:

Trước khi bạn bị nhiễm, đảm bảo bạn có cách cài đặt lại bất kỳ phần mềm nào đã mua, bao gồm hệ điều hành, không phụ thuộc vào bất kỳ thứ gì được lưu trữ trên đĩa cứng nội bộ của bạn. Với mục đích này, điều đó thường chỉ có nghĩa là treo lên cd / dvd hoặc các khóa sản phẩm, nhưng hệ điều hành có thể yêu cầu bạn tự tạo đĩa khôi phục. Đừng dựa vào một phân vùng phục hồi cho việc này. Nếu bạn chờ đợi cho đến sau khi bị nhiễm trùng để đảm bảo bạn có những gì bạn cần phải cài đặt lại, bạn có thể thấy mình trả tiền cho cùng một phần mềm một lần nữa. Với sự gia tăng của ransomware, nó cũng cực kỳ quan trọng để có bản sao lưu thường xuyên của dữ liệu của bạn (cộng với, bạn đã biết, thường xuyên không độc hại những thứ như ổ cứng thất bại).

Khi bạn nghi ngờ mình có phần mềm độc hại, hãy xem các câu trả lời khác tại đây. Có rất nhiều công cụ tốt được đề xuất. Vấn đề duy nhất của tôi là cách tốt nhất để sử dụng chúng: Tôi chỉ dựa vào chúng để phát hiện. Cài đặt và chạy công cụ, nhưng ngay sau khi nó tìm thấy bằng chứng của một nhiễm trùng thực sự (nhiều hơn là chỉ "theo dõi cookies") chỉ cần dừng quét: công cụ đã thực hiện công việc của mình và xác nhận nhiễm trùng của bạn.1

Vào thời điểm nhiễm trùng đã được xác nhận, thực hiện các bước sau:

  1. Kiểm tra tín dụng và tài khoản ngân hàng của bạn. Vào lúc bạn tìm hiểu về nhiễm trùng, thiệt hại thực sự có thể đã được thực hiện. Thực hiện mọi bước cần thiết để bảo mật thẻ, tài khoản ngân hàng và danh tính của bạn. Thay đổi mật khẩu tại bất kỳ trang web nào bạn đã truy cập từ máy tính bị xâm phạm. Không sử dụng máy tính bị xâm phạm để thực hiện bất kỳ điều nào trong số này. 
  2. Sao lưu dữ liệu của bạn (thậm chí tốt hơn nếu bạn đã có).
  3. Cài đặt lại hệ điều hành bằng đĩa được vận chuyển với máy tính, được mua riêng hoặc đĩa khôi phục bạn đã tạo khi máy tính mới. Đảm bảo cài đặt lại bao gồm định dạng lại đĩa hoàn chỉnh; khôi phục hệ thống hoặc hoạt động khôi phục hệ thống là không đủ.
  4. Cài đặt lại ứng dụng của bạn.
  5. Đảm bảo hệ điều hành và phần mềm của bạn được cập nhật đầy đủ và cập nhật.
  6. Chạy quét vi-rút hoàn chỉnh để xóa bản sao lưu từ bước hai.
  7. Khôi phục sao lưu.

Nếu được thực hiện đúng cách, điều này có thể mất từ ​​hai đến sáu giờ thực trong thời gian của bạn, trải ra trong hai đến ba ngày (hoặc thậm chí lâu hơn) trong khi bạn đợi những thứ như ứng dụng cài đặt, cửa sổ cập nhật để tải xuống hoặc tệp sao lưu lớn để chuyển ... nhưng tốt hơn là tìm ra sau đó những kẻ lừa đảo rút hết tài khoản ngân hàng của bạn. Thật không may, đây là một cái gì đó bạn nên làm cho mình, hoặc có một người bạn cao cấp làm cho bạn. Với tốc độ tư vấn điển hình khoảng 100 đô la / giờ, có thể rẻ hơn khi mua một máy mới hơn là trả tiền cho một cửa hàng để thực hiện việc này. Nếu bạn có một người bạn làm điều đó cho bạn, hãy làm điều gì đó tốt đẹp để thể hiện sự đánh giá cao của bạn. Ngay cả những chuyên viên máy tính yêu thích giúp bạn thiết lập những điều mới hoặc sửa chữa phần cứng bị hỏng thường xuyên ghét bỏ tedium của công việc làm sạch. Nó cũng là tốt nhất nếu bạn có bản sao lưu của riêng bạn ... bạn bè của bạn sẽ không biết nơi bạn đặt những tập tin, hoặc những người thân thực sự quan trọng đối với bạn. Bạn đang ở một vị trí tốt hơn để có một sao lưu tốt hơn họ đang có.

Ngay sau đó tất cả điều này có thể không đủ, vì hiện nay phần mềm độc hại có khả năng lây nhiễm phần mềm. Ngay cả việc thay thế ổ đĩa cứng cũng không thể loại bỏ sự nhiễm trùng và việc mua một máy tính mới sẽ là lựa chọn duy nhất. Rất may, tại thời điểm tôi viết bài này, chúng tôi chưa đến thời điểm đó, nhưng chắc chắn là trên đường chân trời và tiến tới nhanh chóng.


Nếu bạn hoàn toàn khăng khăng, vượt quá mọi lý do, bạn thực sự muốn dọn dẹp bản cài đặt hiện tại của mình thay vì bắt đầu lại, thì tình yêu của Đức Chúa Trời đảm bảo rằng bất cứ phương pháp nào bạn sử dụng đều liên quan đến một trong hai thủ tục sau đây:

  • Tháo ổ đĩa cứng và kết nối nó như một đĩa khách trong một máy tính khác (sạch!) Để chạy quét.

HOẶC LÀ

  • Khởi động từ một đĩa CD / USB với bộ công cụ riêng của nó chạy hạt nhân riêng của nó. Hãy chắc chắn rằng hình ảnh cho điều này là thu được và đốt cháy trên một máy tính sạch. Nếu cần thiết, nhờ một người bạn tạo đĩa cho bạn.

Trong mọi trường hợp, bạn nên cố gắng làm sạch hệ điều hành bị nhiễm bằng phần mềm đang chạy như một quá trình khách của hệ điều hành bị xâm nhập. Đó chỉ là đồng bằng câm.


Tất nhiên, cách tốt nhất để sửa chữa nhiễm trùng là tránh nó ở nơi đầu tiên, và có một số điều bạn có thể làm để giúp với điều đó:

  1. Giữ cho hệ thống của bạn được vá. Đảm bảo bạn kịp thời cài đặt Cập nhật Windows, Cập nhật Adobe, Cập nhật Java, Cập nhật của Apple, v.v. Điều này thậm chí còn quan trọng hơn cả phần mềm chống vi-rút và phần lớn nó không phải là khó, miễn là bạn giữ nguyên hiện tại. Hầu hết các công ty này đã chính thức định cư trên tất cả các bản vá mới phát hành vào cùng một ngày mỗi tháng, vì vậy nếu bạn tiếp tục, nó không làm gián đoạn bạn thường xuyên. Sự gián đoạn Windows Update thường chỉ xảy ra khi bạn bỏ qua chúng quá lâu. Nếu điều này xảy ra với bạn thường xuyên, nó trên bạn để thay đổi hành vi của bạn. đó là quan trọng.
  2. Không chạy với tư cách quản trị viên theo mặc định. Trong các phiên bản gần đây của Windows, điều đó đơn giản như việc bật tính năng UAC.
  3. Sử dụng một công cụ tường lửa tốt. Những ngày này tường lửa mặc định trong Windows thực sự là đủ tốt. Bạn có thể muốn bổ sung lớp này với một cái gì đó giống như WinPatrol giúp ngăn chặn hoạt động độc hại trên giao diện người dùng. Windows Defender hoạt động trong khả năng này ở một mức độ nào đó. Trình cắm trình duyệt Ad-Blocker cơ bản cũng ngày càng trở nên hữu ích ở cấp độ này như một công cụ bảo mật.
  4. Đặt hầu hết các trình cắm của trình duyệt (đặc biệt là Flash và Java) thành "Yêu cầu kích hoạt".
  5. Chạy hiện hành phần mềm chống vi-rút. Đây là một thứ năm xa với các tùy chọn khác, như phần mềm A / V truyền thống thường không còn hiệu quả nữa. Nó cũng quan trọng để nhấn mạnh "hiện tại". Bạn có thể có phần mềm chống vi-rút tốt nhất trên thế giới, nhưng nếu nó không cập nhật, bạn cũng có thể gỡ bỏ cài đặt nó.

    Vì lý do này, tôi hiện khuyên bạn nên sử dụng Microsoft Security Essentials. (Kể từ Windows 8, Microsoft Security Essentials là một phần của Windows Defender). Có khả năng các công cụ quét tốt hơn nhiều ở đó, nhưng Security Essentials sẽ tự cập nhật, mà không bao giờ mạo hiểm một đăng ký hết hạn. AVG và Avast cũng hoạt động tốt theo cách này. Tôi không thể khuyên bạn nên sử dụng bất kỳ phần mềm diệt vi-rút nào mà bạn thực sự phải trả tiền, bởi vì nó quá phổ biến đến nỗi việc đăng ký trả tiền bị mất và bạn kết thúc với các định nghĩa lỗi thời.

    Nó cũng đáng chú ý ở đây mà người dùng Mac bây giờ cần phải chạy phần mềm chống virus, quá. Những ngày mà họ có thể lấy đi mà không có nó đã biến mất lâu rồi. Là một sang một bên, tôi nghĩ rằng đó là vui nhộn Bây giờ tôi phải khuyên người dùng Mac mua phần mềm chống vi-rút, nhưng khuyên người dùng Windows chống lại nó.

  6. Tránh các trang web torrent, warez, phần mềm lậu và phim / video vi phạm bản quyền. Công cụ này thường được tiêm phần mềm độc hại bởi người đã bẻ khóa hoặc đăng nó - không phải luôn luôn, nhưng thường đủ để tránh toàn bộ sự lộn xộn. Đó là một phần lý do tại sao một cracker sẽ làm điều này: thường họ sẽ nhận được một cắt giảm của bất kỳ lợi nhuận.
  7. Sử dụng đầu của bạn khi duyệt web. Bạn là liên kết yếu nhất trong chuỗi an ninh. Nếu một cái gì đó âm thanh quá tốt là đúng, nó có thể là. Nút tải xuống rõ ràng nhất hiếm khi là nút bạn muốn sử dụng nữa khi tải xuống phần mềm mới, vì vậy hãy nhớ đọc và hiểu mọi thứ trên trang web trước khi bạn nhấp vào liên kết đó. Ngoài ra, muốn tải xuống phần mềm và các bản cập nhật / nâng cấp trực tiếp từ nhà cung cấp hoặc nhà phát triển thay vì các trang web lưu trữ tệp của bên thứ ba.

1 Đây là thời điểm tốt để chỉ ra rằng tôi đã làm dịu cách tiếp cận của tôi một chút trong năm qua. Ngày nay, hầu hết các "nhiễm trùng" nằm trong danh mục các PUP (Chương trình không mong muốn tiềm tàng) và các tiện ích mở rộng của trình duyệt đi kèm với các phần tải xuống khác. Thường thì các PUP / tiện ích này có thể được xóa an toàn thông qua các phương tiện truyền thống. Đây là phần trăm phần mềm độc hại đủ lớn mà tôi có thể ngừng vào thời điểm này và chỉ cần thử tính năng Thêm / Loại bỏ Chương trình hoặc trình duyệt thông thường để xóa tiện ích mở rộng. Tuy nhiên, tại dấu hiệu đầu tiên của một cái gì đó sâu hơn - bất kỳ gợi ý rằng phần mềm sẽ không chỉ gỡ bỏ cài đặt bình thường - và nó trở lại để sửa chữa máy.


257



Điều này có vẻ là khôn ngoan nhất, ngày nay, thực sự. Tôi sẽ nói thêm rằng có một lý do khác khiến một số phần mềm độc hại lén lút: chúng sẽ không hoạt động và sử dụng máy tính của bạn cho các hoạt động khác. Có thể là proxy, lưu trữ mọi thứ ít nhiều bất hợp pháp hoặc là một phần của cuộc tấn công DDOS. - Gnoupi
@ConradFrix Quá sớm để nói ... Tôi đã không cần thiết để làm điều này với một máy tính Windows 8 được nêu ra ... nhưng tôi bi quan bởi vì nó không dẫn đến định dạng lại ổ đĩa. Windows 8 bao gồm một số cải tiến bảo mật, bao gồm chạy phần mềm chống vi-rút từ thời gian 0 như một phần của hệ điều hành, vì vậy tôi hy vọng không bao giờ cần phải làm điều này cho Windows 8 cả. - Joel Coehoorn
@DanielRHicks đọc câu đầy đủ. Đó là hai đến sáu giờ thời gian của bạn, trải rộng trong một hoặc ba ngày, nơi bạn có hiệu quả về đá một cái gì đó ra và kiểm tra lại sau. Nếu bạn đang ngồi tất cả mọi thứ, sau đó yeah: nó sẽ mất một lúc. - Joel Coehoorn
@ JoelCoehoorn Chỉ có tôi, hoặc phần mềm độc hại tiên tiến này cũng sẽ lây nhiễm phần mềm trên tất cả các loại thành phần làm cho bất kỳ nỗ lực loại bỏ vô ích? - Enis P. Aginić
Hãy nhớ rằng nếu bạn có một sao lưu SAU KHI bạn phát hiện ra sự lây nhiễm, nó là rất có thể xảy ra rằng bản thân sao lưu bị nhiễm bệnh. Vui lòng quét bản sao lưu trước khi thử khôi phục. - Tejas Kale


Làm cách nào để biết máy tính của tôi có bị nhiễm không?

Triệu chứng chung cho phần mềm độc hại có thể là bất cứ điều gì. Thông thường là:

  • Máy chậm hơn bình thường.
  • Lỗi ngẫu nhiên và những điều xảy ra khi chúng không xảy ra (ví dụ: một số vi-rút mới đặt các hạn chế chính sách nhóm trên máy của bạn để ngăn trình quản lý tác vụ hoặc các chương trình chẩn đoán khác chạy).
  • Trình quản lý tác vụ hiển thị CPU cao khi bạn cho rằng máy của bạn không hoạt động (ví dụ: <5%).
  • Quảng cáo xuất hiện ngẫu nhiên.
  • Các cảnh báo về virus xuất hiện từ một chương trình diệt virus mà bạn không nhớ cài đặt (chương trình chống vi-rút là giả mạo và cố gắng yêu cầu bạn có vi-rút đáng sợ với các tên như 'bankpasswordstealer.vir'. Bạn được khuyến khích trả tiền cho chương trình này để làm sạch chúng ).
  • Cửa sổ bật lên / màn hình xanh chết chóc (BSOD) yêu cầu bạn gọi một số để sửa lỗi.
  • Các trang Internet được chuyển hướng hoặc bị chặn, ví dụ: trang chủ của sản phẩm AV hoặc trang web hỗ trợ (www.symantec.com, www.avg.com, www.microsoft.com) được chuyển hướng đến các trang web chứa quảng cáo hoặc trang web giả mạo quảng cáo chống giả mạo công cụ diệt vi-rút / "hữu ích" hoặc bị chặn hoàn toàn.
  • Tăng thời gian khởi động, khi bạn chưa cài đặt bất kỳ ứng dụng nào (hoặc các bản vá lỗi) ... Điều này thật khó xử.
  • Các tệp cá nhân của bạn được mã hóa và bạn sẽ thấy một khoản tiền chuộc.
  • Bất cứ điều gì ra khỏi màu xanh, nếu bạn "biết" hệ thống của bạn, bạn thường biết khi một cái gì đó là rất sai.

Làm cách nào để loại bỏ điều này?

Sử dụng CD trực tiếp

Vì máy quét vi-rút của máy tính bị nhiễm có thể bị xâm nhập, nên có thể an toàn hơn khi quét ổ đĩa từ CD trực tiếp. CD sẽ khởi động một hệ điều hành chuyên biệt trên máy tính của bạn, sau đó sẽ quét ổ đĩa cứng.

Có, ví dụ, Avira Antivir Rescue System hoặc là ubcd4win. Bạn có thể tìm thêm đề xuất tại Đĩa CD cứu hộ AntiVirus khởi động MIỄN PHÍ Tải xuống danh sách nhu la:

  • Kaspersky Rescue CD
  • Đĩa CD cứu hộ BitDefender
  • Đĩa CD cứu hộ F-Secure
  • Đĩa cứu hộ Avira Antivir
  • Đĩa CD cứu hộ Trinity
  • Đĩa CD cứu hộ AVG

Kết nối ổ đĩa cứng với một PC khác

Nếu bạn đang kết nối ổ đĩa cứng bị nhiễm với một hệ thống sạch để quét nó, hãy đảm bảo rằng bạn cập nhật các định nghĩa vi-rút cho tất cả các sản phẩm mà bạn sẽ sử dụng để quét ổ đĩa bị nhiễm. Chờ một tuần để cho các nhà cung cấp chống vi-rút phát hành các định nghĩa vi-rút mới có thể cải thiện cơ hội phát hiện tất cả vi-rút của bạn.

Đảm bảo rằng hệ thống bị nhiễm của bạn vẫn bị ngắt kết nối khỏi internet ngay khi bạn phát hiện ra nó đã bị nhiễm. Điều này sẽ ngăn không cho nó có thể tải xuống các phiên bản vi-rút mới (trong số những thứ khác).

Bắt đầu với một công cụ tốt như Tìm kiếm và tiêu diệt Spybot hoặc là Malwarebytes Anti-Malware và thực hiện quét toàn bộ. Cũng cố gắng ComboFixSuperAntiSpyware. Không có sản phẩm chống virus nào sẽ có mọi định nghĩa virus. Sử dụng nhiều sản phẩm là chìa khóa (không phải để bảo vệ thời gian thực). Nếu ngay cả chỉ một virus vẫn còn trên hệ thống, nó có thể tải xuống và cài đặt tất cả các phiên bản mới nhất của vi rút mới và tất cả nỗ lực cho đến nay sẽ không có gì.

Xóa các chương trình đáng ngờ khỏi khởi động

  1. Bắt đầu ở chế độ an toàn.
  2. Sử dụng msconfig để xác định chương trình và dịch vụ nào bắt đầu lúc khởi động (hoặc khởi động trong trình quản lý tác vụ trong Windows 8).
  3. Nếu có các chương trình / dịch vụ đáng ngờ, hãy xóa chúng khỏi khởi động. Khác bỏ qua để sử dụng một đĩa CD trực tiếp.
  4. Khởi động lại.
  5. Nếu các triệu chứng không biến mất và / hoặc chương trình thay thế chính nó khi khởi động, hãy thử sử dụng một chương trình có tên Autoruns để tìm chương trình và xóa chương trình khỏi đó. Nếu máy tính của bạn không thể khởi động, Autoruns có một tính năng có thể chạy từ một máy tính thứ hai có tên "Phân tích máy tính offline". Đặc biệt chú ý đến Logon và Scheduled tasks tab.
  6. Nếu vẫn không có thành công trong việc loại bỏ chương trình, và bạn chắc chắn rằng đó là nguyên nhân của vấn đề của bạn, khởi động vào chế độ thông thường, và cài đặt một công cụ gọi là Trình mở khóa
  7. Điều hướng đến vị trí của tệp đó là vi-rút đó và cố gắng sử dụng trình mở khóa để xóa nó. Một vài điều có thể xảy ra:
    1. Tệp sẽ bị xóa và không xuất hiện lại khi khởi động lại. Đây là trường hợp tốt nhất.
    2. Tệp đã bị xóa, nhưng ngay lập tức xuất hiện trở lại. Trong trường hợp này, hãy sử dụng một chương trình có tên Process Monitor để tìm ra chương trình đã tạo lại tệp. Bạn cũng sẽ cần xóa chương trình đó.
    3. Không thể xóa tệp, trình mở khóa sẽ nhắc bạn xóa tệp khi khởi động lại. Làm điều đó, và xem nó có xuất hiện lại không. Nếu có, bạn phải có một chương trình khởi động để điều đó xảy ra và kiểm tra lại danh sách các chương trình chạy trong khi khởi động.

Phải làm gì sau khi khôi phục

Bây giờ nó nên được an toàn (hy vọng) để khởi động vào hệ thống của bạn (trước đó) bị nhiễm bệnh. Tuy nhiên, hãy để mắt bạn mở ra cho các dấu hiệu nhiễm trùng. Vi-rút có thể để lại những thay đổi trên máy tính có thể làm cho việc lây nhiễm trở lại dễ dàng hơn ngay cả sau khi vi-rút đã bị xóa.

Ví dụ: nếu vi-rút thay đổi cài đặt DNS hoặc proxy, máy tính của bạn sẽ chuyển hướng bạn đến phiên bản giả mạo của các trang web hợp pháp, để tải xuống những gì dường như là một chương trình nổi tiếng và đáng tin cậy thực sự có thể tải xuống vi-rút.

Họ cũng có thể lấy mật khẩu của bạn bằng cách chuyển hướng bạn đến các trang web tài khoản ngân hàng giả mạo hoặc các trang web email giả mạo. Đảm bảo kiểm tra cài đặt DNS và proxy của bạn. Trong hầu hết các trường hợp, DNS của bạn phải được cung cấp bởi ISP của bạn hoặc được DHCP tự động mua lại. Cài đặt proxy của bạn sẽ bị tắt.

Kiểm tra của bạn hosts tập tin (\%systemroot%\system32\drivers\etc\hosts) cho bất kỳ mục đáng ngờ nào và xóa chúng ngay lập tức. Đồng thời đảm bảo tường lửa của bạn được bật và bạn có tất cả các bản cập nhật Windows mới nhất.

Tiếp theo, hãy bảo vệ hệ thống của bạn bằng một chương trình chống vi-rút tốt và bổ sung nó bằng một sản phẩm chống phần mềm độc hại. Microsoft Security Essentials thường được khuyến cáo cùng với các sản phẩm khác.

Phải làm gì nếu mọi thứ thất bại

Cần lưu ý rằng một số phần mềm độc hại rất tốt trong việc tránh các máy quét. Có thể một khi bạn bị nhiễm, nó có thể cài đặt rootkit hoặc tương tự để ẩn. Nếu mọi thứ thực sự tồi tệ, tùy chọn duy nhất là xóa đĩa và cài đặt lại hệ điều hành từ đầu. Đôi khi quét bằng GMER hoặc Kaspersky TDSS Killer có thể cho bạn thấy nếu bạn có rootkit.

Bạn có thể muốn thực hiện một vài lần chạy Spybot Search and Destroy. Nếu sau ba lần chạy nó không thể loại bỏ một sự phá hoại (và bạn không thể thực hiện nó theo cách thủ công) xem xét việc cài đặt lại.

Một đề xuất khác: Combofix là một công cụ loại bỏ rất mạnh mẽ khi rootkit ngăn chặn những thứ khác chạy hoặc cài đặt.

Sử dụng nhiều công cụ quét chắc chắn có thể giúp tìm malware tốt nhất, nhưng đó là một nhiệm vụ khó tính và một chiến lược sao lưu / khôi phục tốt sẽ hiệu quả và an toàn hơn.


Tiền thưởng: Có một chuỗi video thú vị bắt đầu bằng "Hiểu và chống phần mềm độc hại: Vi rút, phần mềm gián điệp " với Mark Russinovich, tác giả của Sysinternals ProcessExplorer & Autoruns, về việc dọn dẹp phần mềm độc hại.


197



Việc xóa ổ đĩa thường là tuyến đường nhanh nhất và an toàn nhất khi được đề xuất trên toàn bộ trang web này là "câu trả lời hay nhất" - Ivo Flipse♦
Theo kinh nghiệm của tôi, tôi sẽ không tin tưởng spybot là lựa chọn đầu tiên của tôi. Avira, Kaspersky Virus Removal Tool & AVG là lựa chọn tốt miễn phí theo sự so sánh AV av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/… - fluxtendu
Một gợi ý là nhiều chương trình phần mềm độc hại này làm ăn cắp mật khẩu và dữ liệu ngân hàng, do đó, không phải là một ý tưởng tồi để ngắt kết nối khỏi internet khi bạn trở nên nghi ngờ nhiễm trùng. Nó rất tốt có thể là quá muộn, nhưng có một cơ hội bạn sẽ giới hạn rò rỉ dữ liệu, hoặc ngăn chặn các phần mềm độc hại từ cập nhật chính nó, cho đến khi bạn thành công trong việc làm sạch của bạn. - emgee
@emgee Nguyên tắc tốt về ngón tay cái trên dữ liệu exfiltration: khi nghi ngờ, kéo nó ra (các plug ethernet) - Nate Koppenhaver
Combofix.org không phải là vị trí tải xuống chính thức của Combofix và không được ủy quyền hoặc được đề xuất bởi tác giả của Combofix. Tải xuống chính thức là đây. - Andrew Lambert


Có một số mẹo chống phần mềm độc hại tuyệt vời trong Jeff Atwood's "Làm thế nào để làm sạch một Windows Spyware Infestation". Dưới đây là quy trình cơ bản (hãy nhớ đọc qua bài đăng trên blog để biết ảnh chụp màn hình và các chi tiết khác mà tóm tắt này tô màu lên):

  1. Dừng bất kỳ phần mềm gián điệp nào hiện đang chạy. Trình quản lý tác vụ tích hợp của Windows sẽ không cắt nó; được Sysinternals Process Explorer.
    1. Chạy Process Explorer.
    2. Sắp xếp danh sách quy trình theo Tên công ty.
    3. Giết bất kỳ quy trình nào không có Tên công ty (không bao gồm DPC, Gián đoạn, Hệ thống và Quy trình nhàn rỗi hệ thống) hoặc có Tên công ty mà bạn không nhận ra.
  2. Ngừng phần mềm gián điệp khởi động lại vào lần khởi động hệ thống tiếp theo. Một lần nữa, công cụ dựng sẵn của Windows, MSconfig, là một giải pháp một phần, nhưng Sysinternals AutoRuns là công cụ để sử dụng.
    1. Chạy AutoRuns.
    2. Đi qua toàn bộ danh sách. Bỏ chọn các mục đáng ngờ - những người có tên Nhà xuất bản trống hoặc bất kỳ tên Nhà xuất bản nào mà bạn không nhận ra.
  3. Bây giờ khởi động lại.
  4. Sau khi khởi động lại, kiểm tra lại với Process Explorer và AutoRuns. Nếu một cái gì đó "trở lại", bạn sẽ phải đào sâu hơn.
    • Trong ví dụ của Jeff, một cái gì đó đã trở lại là một mục nhập driver đáng ngờ trong AutoRuns. Ông nói qua việc theo dõi quá trình tải nó trong Process Explorer, đóng chốt xử lý và xóa bỏ trình điều khiển.
    • Ông cũng tìm thấy một tập tin DLL được đặt tên kỳ quặc trong quá trình Winlogon, và chứng minh việc tìm kiếm và giết chết các tiến trình tải DLL đó để cho AutoRuns cuối cùng có thể loại bỏ các mục.

86



Ngoài ra, Trend Micro HijackThis là một tiện ích miễn phí tạo ra một báo cáo chuyên sâu về cài đặt đăng ký và tệp từ máy tính của bạn. Tôi sẽ cảnh báo điều này tìm thấy những thứ tốt và xấu, và không phân biệt, nhưng Google là bạn của chúng tôi nếu chúng tôi nghi ngờ. - Umber Ferrule
Liên kết Sysinternals Process Explorer là Dead. Những câu trả lời này là trên một số kết quả hàng đầu của google. Ai đó có thể cập nhật điều này bằng liên kết được cập nhật không? Tôi cũng đang tìm nó. - Malavos
Autoruns là tuyệt vời, nhưng đề xuất dựa vào Nhà xuất bản có thể không hữu ích. Câu hỏi stackoverflow này cho thấy cách thông tin phiên bản có thể dễ dàng sửa đổi (và do đó giả mạo) [stackoverflow.com/questions/284258/…. Tôi đã thử điều này trên một Java DLL và Autoruns cho thấy các nhà xuất bản không chính xác. - AlainD
liên kết autorun systernals của bạn bị hỏng - Daniel


Cách xóa phần mềm độc hại của tôi có hiệu quả và tôi chưa bao giờ thấy phần mềm độc hại bị lỗi:

  1. Tải về Autoruns và nếu bạn vẫn chạy tải xuống 32 bit, một trình quét rootkit.
  2. Khởi động vào chế độ Safe Mode và khởi động Autoruns nếu bạn có thể, sau đó chuyển sang bước 5.
  3. Nếu bạn không thể vào Chế độ an toàn, hãy kết nối đĩa với máy tính khác.
  4. Khởi động Autoruns trên máy tính đó, vào File -> Analyze Offline System và điền nó vào.
  5. Chờ cho quá trình quét được thực hiện.
  6. Trong menu Tùy chọn, chọn mọi thứ.
  7. Hãy để nó quét lại bằng cách nhấn F5. Điều này sẽ nhanh chóng khi mọi thứ được lưu trữ.
  8. Đi qua danh sách và bỏ chọn bất kỳ điều gì có ý nghĩa hoặc không có công ty được xác minh.
  9. Không bắt buộc: Chạy trình quét rootkit.
  10. Hãy để một máy quét virus hàng đầu loại bỏ bất kỳ tập tin nào còn lại.
  11. Không bắt buộc: Chạy máy quét chống phần mềm độc hại và chống phần mềm gián điệp để loại bỏ rác.
  12. Không bắt buộc: Chạy các công cụ như HijackThis / OTL / ComboFix để loại bỏ rác.
  13. Khởi động lại và tận hưởng hệ thống sạch sẽ của bạn.
  14. Không bắt buộc: Chạy lại máy quét rootkit.
  15. Đảm bảo máy tính của bạn được bảo vệ đầy đủ!

Một số nhận xét:

  • Autoruns được viết bởi Microsoft và do đó hiển thị mọi vị trí của những thứ tự động bắt đầu ...
  • Khi phần mềm không được chọn từ Autoruns, phần mềm sẽ không khởi động và không thể ngăn bạn gỡ bỏ phần mềm ...
  • Không tồn tại rootkit cho hệ điều hành 64 bit vì chúng cần được ký ...

Nó có hiệu quả vì nó sẽ vô hiệu hóa phần mềm độc hại / phần mềm gián điệp / vi-rút từ khi bắt đầu,
bạn được tự do chạy các công cụ tùy chọn để xóa sạch bất kỳ thư rác nào còn sót lại trên hệ thống của bạn.


49





Làm theo thứ tự dưới đây để khử trùng PC của bạn

  1. Trên PC không bị nhiễm, hãy tạo đĩa khởi động AV rồi khởi động từ đĩa trên PC bị nhiễm và quét ổ đĩa cứng, loại bỏ bất kỳ nhiễm trùng nào mà nó tìm thấy. Tôi thích Windows Defender ngoại tuyến khởi động CD / USB vì nó có thể loại bỏ vi rút sector khởi động, xem "Lưu ý" bên dưới.

    Hoặc, bạn có thể thử một số đĩa khởi động AV khác.

  2. Sau khi bạn đã quét và xóa phần mềm độc hại bằng đĩa khởi động, hãy cài đặt miễn phí MBAM, chạy chương trình và đi đến tab Cập nhật và cập nhật nó, sau đó đi tới Tab Máy quét và thực hiện quét nhanh, chọn và xóa mọi thứ mà nó tìm thấy.

  3. Khi MBAM được cài đặt xong SAS phiên bản miễn phí, chạy quét nhanh, xóa những gì nó tự động chọn.

  4. Nếu tệp hệ thống cửa sổ bị nhiễm bạn có thể cần chạy SFC để thay thế các tệp, bạn có thể phải làm điều này ngoại tuyến nếu nó sẽ không khởi động do việc loại bỏ các tập tin hệ thống bị nhiễm bệnh. Tôi khuyên bạn nên chạy SFC sau khi loại bỏ nhiễm trùng được thực hiện.

  5. Trong một số trường hợp, bạn có thể phải chạy sửa chữa khởi động (Chỉ dành cho Windows Vista và Windows7) để khởi động lại đúng cách. Trong trường hợp cực đoan, có thể cần 3 lần sửa chữa khởi động liên tiếp.

MBAM và SAS không phải là phần mềm AV như Norton, máy quét theo yêu cầu chỉ quét các phần mềm gián điệp khi bạn chạy chương trình và sẽ không can thiệp vào AV đã cài đặt của bạn, chúng có thể chạy một lần một ngày hoặc một tuần để đảm bảo bạn không bị nhiễm. Đảm bảo bạn cập nhật chúng trước mỗi lần quét hàng tuần.

Lưu ý: sản phẩm Windows Defender Offline rất tốt khi xóa nhiễm trùng MBR dai dẳng đó là phổ biến những ngày này.

.

Đối với người dùng nâng cao:

Nếu bạn có một nhiễm trùng duy nhất đại diện cho chính nó như là phần mềm, tức là "System Fix" "AV Security 2012" vv, xem trang này để biết hướng dẫn gỡ bỏ cụ thể

.


44



Có một máy tính thứ hai dành riêng cho quét virus có lẽ là giải pháp tốt nhất, vì bạn không dựa vào ổ đĩa bị nhiễm cho hệ thống của bạn. Tuy nhiên, bên cạnh các công ty hỗ trợ máy tính, tôi nghi ngờ nhiều người có giải pháp sẵn sàng như vậy. - Gnoupi
Nếu không có máy tính chuyên dụng có sẵn, một thủ tục tương tự có thể được thực hiện bằng cách khởi động hệ thống với một CD trực tiếp - Ophir Yoktan
@Ophir: Live CD? - Fahad Uddin
ví dụ: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
Cũng giống như một lưu ý Trình quét hệ thống độc lập của Microsoft Chỉ là tên cũ của Windows Defender Offline, trong trường hợp ai đó cũng tìm thấy điều đó. - Scott Chamberlain


Nếu bạn nhận thấy bất kỳ triệu chứng nào thì một điều cần kiểm tra là cài đặt DNS trên kết nối mạng của bạn.

Nếu những điều này đã được thay đổi hoặc từ "Lấy địa chỉ máy chủ DNS tự động" hoặc đến một máy chủ khác với máy chủ, thì đó là dấu hiệu tốt cho thấy bạn bị nhiễm trùng. Đây sẽ là nguyên nhân của việc chuyển hướng khỏi các trang web chống phần mềm độc hại hoặc hoàn toàn không thể truy cập trang web.

Nó có thể là một ý tưởng tốt để có một lưu ý của các thiết lập DNS của bạn trước khi một nhiễm trùng xảy ra, do đó bạn biết những gì họ cần. Ngoài ra các chi tiết sẽ có sẵn trên các trang trợ giúp của trang web của ISP của bạn.

Nếu bạn không có một lưu ý về các máy chủ DNS và không thể tìm thấy thông tin trên trang ISP của bạn thì việc sử dụng các máy chủ DNS của Google là một lựa chọn tốt. Chúng có thể được tìm thấy ở 8.8.8.8 và 8.8.4.4 cho các máy chủ chính và phụ tương ứng.

Trong khi đặt lại DNS sẽ không khắc phục được sự cố, nó sẽ cho phép bạn truy cập vào các trang web chống phần mềm độc hại để lấy phần mềm bạn cần để làm sạch PC và b) phát hiện nếu nhiễm trùng tái diễn vì cài đặt DNS sẽ thay đổi trở lại.


35





Các giải pháp có thể cho một nhiễm virus là theo thứ tự: (1) quét virus, (2) sửa chữa hệ thống, (3) tổng số cài đặt lại.

Trước hết hãy đảm bảo rằng tất cả dữ liệu của bạn được sao lưu.

Tải và cài đặt một số phần mềm chống vi-rút, đảm bảo chúng được cập nhật và quét sâu đĩa cứng của bạn. Tôi khuyên bạn nên sử dụng ít nhất Malwarebytes Anti-Malware. Tôi cũng thích Avast.

Nếu điều đó không hoạt động vì bất kỳ lý do gì, bạn có thể sử dụng trình quét vi-rút live-CD cứu hộ: Tôi thích nhất Hệ thống cứu hộ Avira AntiVir bởi vì nó được cập nhật nhiều lần trong ngày và vì vậy đĩa CD tải xuống được cập nhật. Là một đĩa CD khởi động, nó tự động và không hoạt động khi sử dụng hệ thống Windows của bạn.

Nếu không tìm thấy vi-rút nào, hãy sử dụng "sfc / scannow" để sửa các tệp Windows quan trọng.
Xem này bài báo.

Nếu điều đó cũng không hiệu quả, bạn nên Thực hiện cài đặt sửa chữa.

Nếu không có gì hoạt động, bạn nên định dạng đĩa cứng và cài đặt lại Windows.


31



Khi bị nhiễm virus / trojan gần đây, tôi đã sử dụng Knoppix trên một thanh USB, chạy rượu apt-get, cài đặt Dr Web Cure-It trong phiên rượu của tôi và chạy nó để làm sạch nhiễm trùng của tôi. Tôi đã phải làm điều đó theo cách này bởi vì máy tính xách tay của tôi sẽ không khởi động một số lựa chọn thay thế live-CD khác. - PP.


Có nhiều phần mềm độc hại. Một số trong số đó là tầm thường để tìm và loại bỏ. Một số của nó là phức tạp hơn. Một số của nó thực sự là khó khăn để tìm thấy, và rất khó để loại bỏ.

Nhưng ngay cả khi bạn có một phần mềm độc hại nhẹ, bạn nên mạnh mẽ xem xét việc cải cách và cài đặt lại hệ điều hành. Điều này là do bảo mật của bạn đã thất bại và nếu nó không thành công cho một phần mềm độc hại đơn giản, có thể bạn đã bị nhiễm phần mềm độc hại nguy hiểm.

Những người làm việc với dữ liệu nhạy cảm hoặc mạng bên trong nơi dữ liệu nhạy cảm được tổ chức nên xem xét kỹ lưỡng việc xóa và cài đặt lại. Những người có thời gian là có giá trị nên mạnh mẽ xem xét lau và cài đặt lại (đó là phương pháp nhanh nhất và dễ nhất và chắc chắn nhất). Những người không cảm thấy thoải mái với các công cụ nâng cao nên cân nhắc kỹ lưỡng việc xóa và cài đặt lại.

Nhưng những người có thời gian, và thích thú xung quanh, có thể thử các phương pháp được liệt kê trong các bài viết khác.


30



Chính xác. Công cụ này được thiết kế để bảo mật và làm sạch và sử dụng hệ điều hành trần tục. Đừng tham gia vào cuộc đua vũ trang. Không khoan nhượng là chính sách duy nhất. - XTL


Ransomware

Một dạng phần mềm độc hại mới hơn, đặc biệt khủng khiếp là ransomware. Loại chương trình này, thường được phân phối với một Trojan (ví dụ: đính kèm e-mail) hoặc khai thác trình duyệt, đi qua các tệp của máy tính, mã hóa chúng (hiển thị chúng hoàn toàn không thể nhận ra và không sử dụng được) và yêu cầu một khoản tiền chuộc để trả lại cho chúng tiểu bang.

Ransomware thường sử dụng mã hóa khóa bất đối xứng, bao gồm hai phím: khóa công khai và khóa riêng. Khi bạn bị tấn công bởi ransomware, chương trình độc hại chạy trên máy tính của bạn kết nối với máy chủ của kẻ xấu (lệnh và kiểm soát, hoặc C & C), tạo ra cả hai khóa. Nó chỉ gửi khóa công khai đến phần mềm độc hại trên máy tính của bạn, vì đó là tất cả những gì cần để mã hóa các tệp. Thật không may, các tập tin chỉ có thể được giải mã bằng khóa riêng, mà thậm chí không bao giờ đi vào bộ nhớ máy tính của bạn nếu phần mềm ransomware được viết tốt. Những kẻ xấu thường nói rằng họ sẽ cung cấp cho bạn khóa riêng (do đó cho phép bạn giải mã các tệp của mình) nếu bạn trả tiền, nhưng tất nhiên bạn phải tin tưởng họ làm như vậy.

Bạn có thể làm gì

Tùy chọn tốt nhất là cài đặt lại hệ điều hành (để xóa mọi dấu vết của phần mềm độc hại) và khôi phục các tệp cá nhân của bạn từ các bản sao lưu bạn đã thực hiện trước đó. Nếu bạn không có bản sao lưu bây giờ, điều này sẽ khó khăn hơn. Tạo thói quen sao lưu các tệp quan trọng.

Thanh toán có thể sẽ cho phép bạn khôi phục các tệp của mình, nhưng làm ơn đừng. Làm như vậy hỗ trợ mô hình kinh doanh của họ. Ngoài ra, tôi nói "có thể cho phép bạn phục hồi" bởi vì tôi biết ít nhất hai chủng được viết rất kém đến mức chúng không thể thu được các tệp của bạn; ngay cả chương trình giải mã tương ứng cũng không thực sự hoạt động.

Giải pháp thay thế

May mắn thay, có một lựa chọn thứ ba. Nhiều nhà phát triển ransomware đã phạm sai lầm để cho các chuyên gia bảo mật tốt phát triển các quy trình nhằm hoàn tác thiệt hại. Quá trình để làm điều đó phụ thuộc hoàn toàn vào sự căng thẳng của ransomware, và danh sách đó liên tục thay đổi. Một số người tuyệt vời đã đặt lại với nhau một danh sách lớn các biến thể ransomware, bao gồm cả các phần mở rộng được áp dụng cho các tệp bị khóa và tên ghi chú tiền chuộc, có thể giúp bạn xác định phiên bản nào bạn có. Đối với một vài chủng, danh sách đó cũng có một liên kết đến một bộ giải mã miễn phí! Làm theo các hướng dẫn thích hợp (các liên kết nằm trong cột Decryptor) để khôi phục các tệp của bạn. Trước khi bắt đầu, sử dụng các câu trả lời khác cho câu hỏi này để đảm bảo chương trình ransomware bị xóa khỏi máy tính của bạn.

Nếu bạn không thể xác định những gì bạn đã đạt được từ chỉ các phần mở rộng và tên ghi chú tiền chuộc, hãy thử tìm kiếm trên Internet một vài cụm từ đặc biệt từ ghi chú tiền chuộc. Lỗi chính tả hoặc ngữ pháp thường khá độc đáo và bạn có thể sẽ gặp phải một chuỗi diễn đàn xác định phần mềm ransomware.

Nếu phiên bản của bạn chưa được biết hoặc không có cách giải mã miễn phí, đừng từ bỏ hy vọng! Các nhà nghiên cứu bảo mật đang làm việc để hoàn tác phần mềm ransomware và thực thi pháp luật đang theo đuổi các nhà phát triển. Có thể là một bộ giải mã cuối cùng sẽ xuất hiện. Nếu tiền chuộc bị hạn chế về thời gian, có thể hiểu rằng các tệp của bạn sẽ vẫn có thể phục hồi khi sửa lỗi được phát triển. Ngay cả khi không, xin vui lòng không trả tiền trừ khi bạn hoàn toàn phải. Trong khi chờ đợi, hãy đảm bảo máy tính của bạn không có phần mềm độc hại, lại sử dụng các câu trả lời khác cho câu hỏi này. Cân nhắc sao lưu các phiên bản được mã hóa của các tệp của bạn để giữ an toàn cho đến khi bản sửa lỗi xuất hiện.

Một khi bạn phục hồi càng nhiều càng tốt (và thực hiện sao lưu của nó vào phương tiện bên ngoài!), Mạnh mẽ xem xét việc cài đặt hệ điều hành từ đầu. Một lần nữa, điều đó sẽ thổi bay bất kỳ phần mềm độc hại nào nằm sâu trong hệ thống.

Các mẹo cụ thể về biến thể bổ sung

Một số mẹo đặc biệt về biến thể ransomware chưa có trong bảng tính lớn:

  • Nếu công cụ giải mã cho LeChiffre không hoạt động, bạn có thể khôi phục tất cả trừ 8KB đầu tiên và cuối cùng của dữ liệu của từng tệp bằng trình chỉnh sửa hex. Chuyển tới địa chỉ 0x2000 và sao chép tất cả trừ byte 0x2000 cuối cùng. Các tệp nhỏ sẽ bị hỏng hoàn toàn, nhưng với một số khó khăn bạn có thể có được một cái gì đó hữu ích từ những cái lớn hơn.
  • Nếu bạn bị tấn công WannaCrypt và bạn đang chạy Windows XP, chưa khởi động lại từ khi bị nhiễm, và may mắn, bạn có thể trích xuất khóa riêng với Wannakey.
  • (những người khác sẽ được thêm vào khi chúng được phát hiện)

Phần kết luận

Ransomware là khó chịu, và thực tế đáng buồn là nó không phải luôn luôn có thể phục hồi từ nó. Để giữ cho mình an toàn trong tương lai:

  • Luôn cập nhật hệ điều hành, trình duyệt web và chống vi-rút của bạn
  • Không mở các tệp đính kèm e-mail mà bạn không mong đợi, đặc biệt nếu bạn không biết người gửi
  • Tránh các trang web sơ sài (tức là những trang web có nội dung bất hợp pháp hoặc mang tính nghi ngờ về mặt đạo đức)
  • Đảm bảo tài khoản của bạn chỉ có quyền truy cập vào tài liệu mà bạn đích thân cần làm việc với
  • Luôn luôn có làm việc sao lưu trên phương tiện bên ngoài (không kết nối với máy tính của bạn)!

28



Có một vài chương trình hiện có sẵn được cho là bảo vệ bạn chống lại ransomware, ví dụ: winpatrol.com/WinAntiRansom (một chương trình thương mại). Tôi chưa bao giờ sử dụng điều này bởi vì tôi không còn trên Windows, nhưng sản phẩm WinPatrol của công ty đó là sản phẩm tôi đã sử dụng trong nhiều năm và thường xuyên được đề xuất. Một vài nhà phát triển chống vi-rút có các công cụ chống ransomware sẵn có, đôi khi là một tùy chọn chi phí cao hơn. - fixer1234
Để biết thông tin cụ thể về việc loại bỏ phần mềm rườm rà của Petya, hãy xem câu hỏi và câu trả lời này: superuser.com/questions/1063695/… - fixer1234
Tôi muốn thêm một thứ khác vào danh sách lời khuyên trong kết luận: Tránh truy cập các trang web quảng cáo hành vi bất hợp pháp hoặc mục vụ, chẳng hạn như vi phạm bản quyền và phương tiện truyền thông; nội dung ngoài vòng pháp luật ở hầu hết các nơi trên thế giới; Các trang web này thường hợp đồng với ít nhất các nhà cung cấp quảng cáo có uy tín, những người không thực sự nỗ lực lọc nội dung của "quảng cáo", khiến bọn tội phạm dễ dàng đưa trang web của bạn vào nội dung cung cấp phần mềm độc hại hoặc cố gắng khai thác trình duyệt của bạn để truy cập vào hệ thống của bạn. Đôi khi ngay cả một adblocker tốt sẽ bỏ lỡ công cụ này. - allquixotic
@allquicatic Tôi đã thêm một điểm đạn trong tĩnh mạch đó. Hãy cho tôi biết nếu bất cứ điều gì khác có thể được mở rộng. Cảm ơn! - Ben N