Diệt virus mới “ăn” bộ gõ tiếng Việt Unikey, Vietkey, bà con với WannaCry

Phát hiện loại virus mới “ăn” bộ gõ tiếng Việt Unikey, Vietkey, có cùng cách thức lây lan với WannaCry. Công ty CyRadar mới đây đã phát hiện loại virus mới có cùng cách thức lây lan với ransomware WannaCry. Theo chuyên gia CyRadar, máy tính bị nhiễm virus mới này sẽ bị mất các bộ gõ tiếng Việt như Unikey hay Vietkey và người dùng cũng không thể cài lại được.

Những ngày gần đây, nhiều người dùng máy tính tại Việt Nam khi đang sử dụng máy tính đã gặp phải hiện tượng không thể gõ được tiếng Việt, biểu tượng của bộ gõ chữ Việt Unikey cũng biến mất hoàn toàn trên thanh tác vụ – taskbar cũng như trên desktop. Không những thế khi người dùng tải lại phần mềm gõ chữ Việt và cài lại thì hiện tượng kể trên tiếp tục tái diễn.

virus diet bo go tieng viet virus diet bo go tieng viet - virus diet bo go tieng viet - Diệt virus mới “ăn” bộ gõ tiếng Việt Unikey, Vietkey, bà con với WannaCry
virus diet bo go tieng viet

Mục tiêu của người phát tán loại virus này lớn hơn nhiều. Cách đặc trị cho loại virus này chỉ có bằng tay. Hiện tại, đã có thể diệt loại virus này bằng cách thủ công, biểu hiện của con này thường là giả mạo tên file system, sau đó xóa unikey, ngăn chặn kết nối của các trình anti với mạng internet, sau đó tắt tường lửa, mở đường cho attacker xâm nhập vào máy tính của end user. Theo kinh nghiệm thực tế thì đây không chỉ là 1 loại virus. Nó là tập hợp nhóm 3-4 loại khác nhau, trong đó có maleware. Chính vì thế mà các bác có quét cỡ nào cũng không ra đâu. Cho dù có hy sinh dữ liệu và cài lại win cho end user thì cũng không làm được gì, các máy sẽ lây nhiễm lại cho nhau vào ngày hôm sau thôi.

Chủng phổ biến của loại này thường là giả mạo tên file system. Để kiểm tra, ta có thể mở taskmanager, tìm process đang chạy là csrss.exe đây là 2 file hệ thống. Nếu 2 file này có mục description lẫn mục username trắng trơn thì 80% là đã bị nhiễm. Việc của chúng ta là endprocess Csrss.exe này và kèm thêm file mrt.exe nếu có. Công cụ diệt chủng này là TDSSKiller của Kaspersky. Tải về change parametter, tích mọi thứ rồi quét. Tìm đường dẫn của các threats rồi xoá chúng đi bằng tay. cụ thể đường dẫn như sau:
C:/user/”adminuser”/AppData/Roaming/Temp/Cloudnet

Để có thể tối ưu hoá thì nên xoá tất cả folder Temp đi. Lưu ý, endprocess csrss.exe và mrt.exe trước khi xoá. nếu mở taskmanager lên không có thì cứ diệt bình thường

Lưu ý nguyên tắc khi diệt maleware nói chung và chủng cloudnet nói riêng. Đầu tiên là khoanh vùng dịch, đảm bảo an toàn cho các máy tính chưa bị nhiễm sau đó mới dập dịch đồng loạt tất cả thì mới tránh bị tái phát. Các file mà mình nêu trên là ví dụ tiêu biểu nhất cho chủng maleware mới này. Sự khác biệt là phải xoá được folder Cloudnetinc trong đường dẫn mình nêu trên, Nếu như không tìm được folder chứa file chạy của chủng virus này thì đành bó tay.

Hãy kiểm tra máy tính của bạn xem có các biểu hiện đã nêu không và xử lý gấp nhé.

Leave a Reply

Your email address will not be published. Required fields are marked *