Ransomware là một loại phần mềm độc hại có khả năng mã hóa dữ liệu và yêu cầu người dùng trả tiền chuộc để khôi phục. Đây là mối đe dọa an ninh mạng ngày càng gia tăng, ảnh hưởng đến cả cá nhân lẫn doanh nghiệp. Khi đối mặt với một cuộc tấn công ransomware, việc xử lý nhanh chóng, đúng quy trình sẽ giúp giảm thiểu thiệt hại và tăng khả năng khôi phục dữ liệu. Bài viết này sẽ hướng dẫn bạn từng bước loại bỏ ransomware khỏi hệ thống.
1. Cách ly thiết bị bị nhiễm
Ngay khi nghi ngờ máy tính bị ransomware, hãy ngắt kết nối ngay khỏi Internet để:
-
Ngăn chặn ransomware lây lan sang các thiết bị khác trong cùng mạng.
-
Tránh việc phần mềm độc hại tiếp tục liên lạc với máy chủ điều khiển của kẻ tấn công.
Ngoài ra:
-
Rút toàn bộ thiết bị lưu trữ ngoài (USB, ổ cứng rời, thẻ nhớ, …).
-
Vô hiệu hóa kết nối Wi-Fi hoặc rút cáp Ethernet để chặn mọi kênh truyền thông đi/đến.
2. Nhận diện chủng loại ransomware
Mỗi loại ransomware có hành vi khác nhau, việc xác định chính xác chủng loại giúp bạn tìm giải pháp phù hợp:
-
Xuất hiện thông báo đòi tiền chuộc hoặc pop-up yêu cầu thanh toán (thường bằng tiền điện tử).
-
Các tập tin bị mã hóa với đuôi lạ như:
.locky
,.crypt
,.cerber
. -
Không thể mở hoặc truy cập dữ liệu như bình thường.
Bạn có thể sử dụng công cụ trực tuyến như ID Ransomware để tải lên mẫu ghi chú đòi tiền hoặc một tệp đã bị mã hóa. Hệ thống sẽ phân tích và cho biết ransomware thuộc chủng nào, liệu có công cụ giải mã miễn phí hay không.
3. Khởi động Windows ở Chế độ An toàn (Safe Mode)
Khởi động lại hệ thống ở Safe Mode giúp hạn chế ransomware hoạt động nền:
-
Với Windows 7/8: nhấn
F8
hoặcShift + F8
→ chọn Safe Mode with Networking. -
Với Windows 10/11:
+ Giữ phím Shift và chọn Restart từ menu Start.
+ Vào Troubleshoot > Advanced Options > Startup Settings > Restart.
+ Nhấn4
hoặcF4
để vào Safe Mode.
4. Quét và loại bỏ bằng công cụ bảo mật
Khi đã vào Safe Mode, hãy sử dụng các công cụ uy tín để quét và loại bỏ mã độc:
-
Malwarebytes Anti-Malware – chuyên phát hiện ransomware.
-
HitmanPro – công cụ dựa trên đám mây, phát hiện nhiều dạng malware.
-
Windows Defender – giải pháp tích hợp, có thể phát hiện một số ransomware phổ biến.
-
Kaspersky Ransomware Decryptor – cung cấp bộ giải mã miễn phí cho các chủng đã biết.
Lưu ý: luôn cập nhật phiên bản mới nhất trước khi quét, bởi ransomware thay đổi liên tục.
5. Sử dụng công cụ giải mã (nếu có)
Một số ransomware đã có công cụ giải mã công khai. Bạn có thể tham khảo tại No More Ransom Project – nền tảng hợp tác giữa các hãng bảo mật và cơ quan thực thi pháp luật:
-
Truy cập website No More Ransom.
-
Nhập tên ransomware hoặc tải lên tệp đã mã hóa.
-
Nếu có công cụ, làm theo hướng dẫn để giải mã dữ liệu.
Không phải tất cả ransomware đều có giải mã miễn phí. Trong nhiều trường hợp, sao lưu dữ liệu là phương án duy nhất để phục hồi.
6. Xóa file ransomware thủ công (dành cho chuyên gia)
Nếu các công cụ tự động thất bại, bạn có thể buộc phải xử lý thủ công. Tuy nhiên, thao tác sai có thể khiến hệ thống mất ổn định.
-
Mở Task Manager (Ctrl + Shift + Esc).
-
Tìm tiến trình lạ, khả nghi → End Task.
-
Tìm kiếm và xóa file liên quan đến ransomware (thường có tên ngẫu nhiên hoặc phần mở rộng lạ).
7. Khôi phục dữ liệu
Chỉ tiến hành khôi phục khi chắc chắn ransomware đã được loại bỏ hoàn toàn. Các phương án khôi phục:
-
Cloud Backup (Google Drive, OneDrive, Dropbox, …).
-
Windows File History – phục hồi phiên bản trước của tập tin.
-
Ổ cứng sao lưu ngoại tuyến – chỉ cắm lại sau khi hệ thống đã sạch mã độc.
8. Cài đặt lại hệ điều hành (nếu cần)
Trong trường hợp bị lây nhiễm nghiêm trọng, biện pháp triệt để nhất là cài mới hệ điều hành:
-
Chuẩn bị USB/DVD cài đặt Windows.
-
Boot từ thiết bị cài đặt và chọn Clean Install (xóa toàn bộ dữ liệu).
-
Sau khi cài xong, lập tức cập nhật bản vá và cài phần mềm bảo mật.
9. Ngăn chặn tái nhiễm ransomware
Phòng ngừa luôn quan trọng hơn khắc phục. Các khuyến nghị:
-
Cập nhật phần mềm bảo mật thường xuyên.
-
Bật tường lửa (Firewall) để chặn truy cập trái phép.
-
Sao lưu định kỳ cả trên nền tảng đám mây và ổ cứng rời.
-
Đào tạo người dùng: cảnh giác với email lạ, file đính kèm đáng ngờ, liên kết không rõ nguồn gốc.
-
Cập nhật hệ điều hành và ứng dụng để vá lỗ hổng bảo mật kịp thời.
Lời khuyên từ các chuyên gia an ninh mạng: không nên trả tiền chuộc, vì việc này không đảm bảo dữ liệu sẽ được khôi phục và còn khuyến khích tội phạm tiếp tục hoạt động. Giải pháp bền vững nhất vẫn là xây dựng chiến lược sao lưu, cập nhật và phòng thủ nhiều lớp để bảo vệ hệ thống trước ransomware.