Cảnh báo về Ransomware Sqpc, thuộc dòng STOP/Djvu

Sqpc tương tự như các ransomware: Muslat, Ferosas, Neras. Nó mã hóa tất cả các loại file phổ biến. Do đó, người dùng không thể sử dụng tài liệu hoặc ảnh của mình. Sqpc thêm phần mở rộng đặc biệt của nó .sqpc vào tất cả các file. Chẳng hạn, file video.avi, sẽ được sửa đổi thành video.avi.sqpc. Ngay sau khi mã hóa được thực hiện thành công, Sqpc tạo một file đặc biệt "_readme.txt", và thêm nó vào tất cả các thư mục chứa các file đã sửa đổi.

Thông tin chính về ransomware Sqpc

Họ RansomwareDJVU/STOP ransomware
Tệp mở rộng.sqpc
Giá tiền chuộcTừ $490 đến $980(Bitcoin)
Liên hệhelpmanager@mail.ch, helpdatarestore@firemail.cc
Phát hiệnTrojan:Win32/Androm.DSK!MTB, Troj/Qbot-FS, Trojan.Win32.Zenpak.aaka
Triệu chứngCác tệp của bạn (ảnh, video, tài liệu) có phần mở rộng .sqpc và bạn không thể mở nó

Sqpc sử dụng mã hóa AES-256, mã hóa bằng khóa giải mã cụ thể, khóa này là duy nhất và không có bất kỳ bản sao nào khác. Điều này đồng nghĩa với việc bạn sẽ không thể khôi phục được dữ liệu nếu không có được khóa giải mã.

Nếu Sqpc hoạt động ở chế độ trực tuyến, bạn không thể có quyền truy cập đến khóa AES-256. Khóa này được lưu trữ trên máy chủ từ xa, thuộc sở hữu của những kẻ tạo ra Sqpc.

Để nhận khóa giải mã, nạn nhân được khuyến khích liên hệ với người tạo ra Sqpc qua email helpmanager@mail.ch hoặc Telegram và sẽ phải thanh toán 980$. File _readme.txt cho biết chủ sở hữu máy tính phải liên lạc với đại diện Sqpc trong 72 giờ bắt đầu từ thời điểm file được mã hóa. Với điều kiện này, người dùng sẽ được hoàn tiền 50% (chỉ còn 490$). Tuy nhiên, đừng trả tiền cho Sqpc. Bạn hãy thử những bản sao lưu dữ liệu khác hoặc công cụ Decrypter (công cụ giải mã).

Ví dụ về file bị mã hóa bởi Sqpc
Ví dụ về file bị mã hóa bởi Sqpc

Đặc thù của những loại virus này là áp dụng những hành động tương tự để tạo khóa giải mã duy nhất nhằm khôi phục dữ liệu đã được mã hóa.

Một hành động cụ thể khác của ransomware Sqpc là thay đổi file hosts. Nó thêm một đối tượng (entity) bổ sung của máy chủ cập nhật Microsoft vào file hosts, khiến máy tính mất khả năng nhận bản cập nhật Windows, điều này có thể rất quan trọng đối với ransomware. Một bản cập nhật có thể đặt một số file, cài đặt hệ thống (đã bị ransomware thay đổi) về mặc định.

Do đó, trừ khi ransomware vẫn đang trong giai đoạn phát triển hoặc sở hữu một số lỗ hổng, việc khôi phục thủ công dữ liệu bị mã hóa là điều bạn không thể thực hiện. Giải pháp duy nhất để ngăn chặn việc mất dữ liệu quý giá của bạn là thường xuyên thực hiện sao lưu các file quan trọng, khiến hoạt động của ransomware có thể gặp khó khăn.

Lưu ý rằng ngay cả khi bạn duy trì các bản sao lưu như vậy thường xuyên, chúng vẫn nên được đặt vào một vị trí cụ thể không nằm trên máy tính, và không được kết nối với máy tính chính của bạn.

Sqpc ransomware có thể làm mất tác dụng của các bản sao lưu dữ liệu theo nhiều cách. Phổ biến nhất là mã hóa file sao lưu và tiêm file .exe. Cả hai thường chỉ được phát hiện trong trường hợp cần dùng đến bản sao lưu để khôi phục hệ thống, nhưng dù sao, bạn vẫn có thể dễ dàng tránh được điều này.

Ví dụ, bản sao lưu có thể được lưu trên USB hoặc ổ cứng ngoài hay dịch vụ lưu trữ dữ liệu trực tuyến.

Theo một số báo cáo, Sqpc ransomware cũng có thể xóa hoặc vô hiệu hóa các bản sao lưu được tạo bằng công cụ độc quyền của Windows. Thật khó để lưu chức năng sao lưu này, vì vậy, việc sử dụng một công cụ tạo sao lưu khác sẽ dễ dàng hơn nhiều.

Ngoài ra, hãy thật cẩn thận khi sử dụng phương thức tạo sao lưu bằng OneDrive. Nó bắt đầu quá trình tạo sao lưu mà không có bất kỳ thông báo nào về việc này. Vì vậy, thật khó để tránh quá trình này. Và do ghi đè dự phòng (bản sao lưu mới được ghi trên bản cũ), bản sao lưu OneDrive của bạn có thể chứa đầy các file bị ransomware Sqpc mã hóa, do đó bạn sẽ mất khả năng sử dụng bản sao lưu này để khôi phục hệ thống.

Hiển nhiên, việc lưu các bản sao lưu trên cùng máy tính bị nhiễm ransomware Sqpc sẽ khiến nó bị mã hóa tương tự như các file dữ liệu khác, do đó bạn không nên lưu trữ cục bộ bản sao lưu thiết bị của mình. Hãy dùng những cách đã đề cập ở trên.

Làm gì khi bị nhiễm Sqpc?

Sử dụng Malwarebytes Anti-Malware để quét và diệt ransomware Sqpc. Hoặc bạn có thể tải công cụ mà Howtofix gợi ý là GridinSoft Anti-Malware về, cài đặt và quét máy tính.

Sau khi đã diệt xong ransomware Sqpc, bạn hãy tải Emsisoft Decryptor for STOP Djvu về, cài đặt và giải mã các file đã bị mã hóa.

Cuối cùng, hãy cẩn thận với mọi thứ các bạn chuẩn bị nhấp chuột vào, tải về và đọc kỹ các tùy chọn trong khi cài đặt phần mềm để không bị lây nhiễm những ransomware, virus máy tính độc hại.

Nguồn: Howtofix

Thứ Ba, 12/05/2020 10:46
53 👨 1.070
0 Bình luận
Sắp xếp theo
    ❖ Diệt Virus - Spyware