Phải làm sao khi máy tính bị nhiễm virus đào tiền ảo?

  • Trang chủ
  • Phải làm sao khi máy tính bị nhiễm virus đào tiền ảo?
Phải làm sao khi máy tính bị nhiễm virus đào tiền ảo?

Như đã đưa tin, hôm qua hàng nghìn máy tính tại Việt Nam đã bị virus W32.AdCoinMiner chiếm quyền điều khiển máy tính thông qua dịch vụ quảng cáo trực tuyến Adf.ly. Sau khi chiếm được quyền điều khiến máy tính, các virus này sẽ tiếp tục xâm nhập qua lỗ hổng bảo mật trên các phần mềm và chiếm quyền điều khiển máy tính của người dùng để tải xuống các payload ẩn, thực hiện công việc đào tiền ảo. Khi chiếm được quyền điều khiển từ thiết bị của nạn nhân, ngoài việc tải xuống payload đào tiền ảo, kẻ tấn công có thể cài thêm mã độc khác thông qua máy chủ điều khiển của chúng để thực hiện các hành vi gián điệp, đánh cắp thông tin và thậm chí là mã hóa dữ liệu để tống tiền

 

 

Phải làm sao khi máy tính bị nhiễm virus

 

Theo các chuyên gia từ Trend Micro khuyến cáo, để hạn chế tối đa virus xâm nhập máy tính người dùng cần cập nhật ngay bản vá lỗi mới nhất cho hệ điều hành, cũng như nâng cấp Trend Micro Security phiên bản 12 và thiết lập bảo vệ ở mức độ cao.

Trong trường hợp bạn nghi ngờ máy tính của bạn đã bị nhiễm virus đào tiền ảo W32.AdCoinMiner, có thể thực hiện các biện pháp sau đây:

Bước 1: Trước khi thực hiện bất kì thao tác quét nào, người dùng Windows XP, Vista và Windows 7 buộc phải vô hiệu hóa “System Restore” đầu tiên để có thể quét toàn bộ máy tính.

 

Bước 2: Trong quá trình cài đặt hoặc hệ điều hành khác nhau sẽ dễn đến những tập tin, mục, thư mục hoặc “registry key” khác nhau. Nếu bạn đã tìm thấy những mục này trong máy tính của mình thì không cần thực hiện các bước sau. Tuy nhiên, có nhiều máy tính lại không có những mục này, vậy bạn hãy thực hiện theo hướng dẫn dưới đây nhé.  

 

Bước 3: Tìm và xóa file virus Coinminer dưới định dạng COINMINER_MALXMR.AB-WIN64. 

Trong lúc tìm và xóa file virus này sẽ xuất hiện một vài trường hợp như:
 Windows Task Manager có thể sẽ không hiển thị toàn bộ các ứng dụng đang chạy. Trong trường hợp này, người dùng có thể sử dụng một ứng dụng theo dõi hoạt động khác từ bên thứ ba như Process Explorer để phát hiện các tệp tin chứa mã độc. Người dùng có thể tải về Process Explorer tại đây.
 Trường hợp hai là Windows Task Manager và Process Explorer đều hiển thị nhưng không thể thực thiện thao tác xóa chúng, người dùng nên khởi động lại máy ở chế độ Safe Mode.
 Thứ ba đó là Windows Task Manager và Process Explorer không hiển thị tệp tin này, người dùng nên thực hiện bước tiếp theo.

 

Bước 4: Xóa “Registry Value”.
Lưu ý: Nếu không cẩn thận trong việc chỉnh sửa “Registry” của Windows, người dùng có thể sẽ gặp sự cố hệ thống và không thể khôi phục lại được. Trend Micro khuyên rằng chỉ nên thực hiện bước này khi bạn người dùng biết làm thế nào hoặc yêu cầu hỗ trợ từ quản trị viên của hệ thống. Người dùng có thể tham khảo trước một số bài viết nói về vấn đề này từ Microsoft nếu muốn tiếp tục thực hiện chỉnh sửa “Registry”.

 

Truy cập theo đường dẫn:
Trong HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
XMRRUN = “%SystemRoot%WindowsSysWOW64audiodig.exe –c%SystemRoot%WindowsSysWOW64audiodig”
Trong HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
Wextract_cleanup0 = “rundll32.exe%System%advpack.dll,DelNodeRunDLL32”%User Temp%IXP000.TMP””

 

Bước 5: Tìm và xóa những tệp tin dưới đây
Lưu ý: Trước khi tìm và xóa những tệp tin, người dùng nên bật tính năng “Search Hidden Files and Folders” trong mục “More Avanced Options” để chắc chắn rằng những tệp tin dưới đây không bị ẩn khi tìm kiếm.
• %User Temp%IXP000.TMPTMP{random}.TMP
• %User Temp%IXP000.TMPaudiodig
• %User Temp%IXP000.TMPaudiodig.exe
• %User Temp%IXP000.TMPaudiodig.reg
• %User Temp%IXP000.TMPinit.bat
• %System Root%SysWOW64audiodig
• %System Root%SysWOW64audiodig.exe
• %System Root%SysWOW64audiodig.reg
• %System Root%SysWOW64init.bat

 

Bước 6: Cuối cùng người dùng nên sử dụng Trend Micro Security phần mềm diệt virus để phát hiện và xóa các tệp tin có định dạng như COINMINER_MALXMR.AB-WIN64. Khi phát hiện các tệp tin bị nhiễm virus người dùng nên xóa bỏ hoặc cách ly hoàn toàn với các tệp khác để tránh lây lan.

Nguồn: quantrimang

Comments (0)

Bình luận

Email của bạn sẽ được bảo mật, Vui lòng nhập các trường bắt buộc*.