Cách xóa ransomware Moba khỏi hệ điều hành

Hà Nguyễn

Moba là một phần mềm độc hại, thuộc họ ransomware Djvu. Các hệ thống nhiễm phần mềm độc hại này bị mã hóa dữ liệu và nhận được yêu cầu trả tiền chuộc để có được những công cụ/phần mềm giải mã.

Trong quá trình mã hóa, các file được thêm vào phần mở rộng ".moba". Sau khi quá trình này hoàn tất, một ghi chú tiền chuộc - "_readme.txt" - sẽ được đưa vào các thư mục bị xâm nhập.

Ghi chú tiền chuộc - "_readme.txt" - sẽ được đưa vào các thư mục bị xâm nhập

Cách loại bỏ ransomware Moba khỏi hệ thống

Bước 1: Loại bỏ virus Moba bằng Safe Mode with Networking

Với người dùng Windows XP và Windows 7: Khởi động máy tính ở Safe Mode theo một trong 2 hướng dẫn:

- Khởi động chế độ Safe Mode trên Windows XP
- Kích hoạt chế độ Safe Mode trong Windows 7
Với người dùng Windows 8: Khởi động Windows 8 ở Safe Mode with Networking theo hướng dẫn trong bài viết: Windows 8: Khởi động chế độ Safe Mode.
Với người dùng Windows 10: Tham khảo bài viết: Cách vào Safe Mode Windows 10 khi khởi động để biết chi tiết cách thực hiện.

Bước 2: Loại bỏ ransomware Moba bằng System Restore

Đăng nhập vào tài khoản bị nhiễm virus Moba. Khởi động trình duyệt Internet và tải xuống một chương trình chống phần mềm gián điệp hợp pháp. Cập nhật chương trình chống phần mềm gián điệp và bắt đầu quét toàn bộ hệ thống. Xóa tất cả các mục được phát hiện.

Tải Malwarebytes

Malwarebytes sẽ kiểm tra xem máy tính của bạn có bị nhiễm phần mềm độc hại hay không. Để sử dụng sản phẩm đầy đủ tính năng, bạn phải mua giấy phép cho Malwarebytes sau 14 ngày dùng thử miễn phí.

Nếu bạn không thể khởi động máy tính của mình ở Safe Mode with Networking, hãy thử thực hiện System Restore (khôi phục hệ thống).

1. Trong quá trình khởi động máy tính, nhấn phím F8 trên bàn phím nhiều lần cho đến khi menu Windows Advanced Options xuất hiện, sau đó chọn Safe Mode with Command Prompt từ danh sách và nhấn ENTER.

Chọn Safe Mode with Command Prompt từ danh sách

2. Khi chế độ Command Prompt load, hãy nhập: cd restore và nhấn ENTER.

3. Tiếp theo, nhập dòng này: rstrui.exe và nhấn ENTER.

4. Trong cửa sổ mở, nhấp vào Next.

5. Chọn một trong các Restore Point (điểm khôi phục có sẵn) và nhấp vào Next. Thao tác này sẽ khôi phục hệ thống máy tính về thời điểm trước khi ransomware Moba xâm nhập vào PC.

6. Trong cửa sổ mở, nhấp vào Yes.

7. Sau khi khôi phục máy tính về một ngày trước đó, hãy tải xuống và quét PC bằng phần mềm được đề xuất ở trên để loại bỏ mọi file ransomware Moba còn lại.

Để khôi phục các file riêng lẻ được mã hóa bởi phần mềm ransomware này, hãy thử sử dụng tính năng Windows Previous Versions. Phương pháp này chỉ hiệu quả nếu chức năng System Restore được bật trên hệ điều hành bị nhiễm. Lưu ý rằng một số biến thể của Moba được biết là loại bỏ Shadow Volume Copies của các file, vì vậy phương pháp này có thể không hoạt động trên tất cả các máy tính.

Để khôi phục file, nhấp chuột phải vào file, chọn Properties và vào tab Previous Versions. Nếu file liên quan có Restore Point, hãy chọn file đó và nhấp vào nút Restore.

Nếu bạn không thể khởi động máy tính ở Safe Mode with Networking (hoặc with Command Prompt), hãy khởi động máy tính bằng rescue disk. Một số biến thể của ransomware có thể vô hiệu hóa Safe Mode khiến việc gỡ bỏ nó trở nên phức tạp. Để thực hiện bước này, bạn cần có quyền truy cập vào một máy tính khác.

Để lấy lại quyền kiểm soát các file được mã hóa bởi Moba, bạn cũng có thể thử sử dụng chương trình có tên Shadow Explorer. Để bảo vệ máy tính khỏi những phần mềm ransomware mã hóa như thế này, hãy sử dụng các chương trình diệt virus và chống phần mềm gián điệp có uy tín.

Nếu muốn thêm một phương thức bảo vệ bổ sung, bạn có thể sử dụng các chương trình như HitmanPro.Alert và EasySync CryptoMonitor, để đưa các Group Policy Object vào Registry nhằm chặn các chương trình lừa đảo như ransomware Moba.

Lưu ý rằng Windows 10 Fall Creators Update bao gồm tính năng Controlled Folder Access, chặn các nỗ lực ransomware mã hóa file. Theo mặc định, tính năng này tự động bảo vệ các file được lưu trữ trong những thư mục Documents, Pictures, Videos, Music, Favorites và Desktop. Người dùng Windows 10 nên cài đặt bản cập nhật này để bảo vệ dữ liệu của mình khỏi các cuộc tấn công ransomware.