Test virut trực tiếp trên máy tính không dùng máy ảo mà vẫn an toàn dữ liệu của bạn. Test cả loại virut siêu đa hình, ransomware wannacry, petya .. mã hóa file mà không ảnh hưởng đến bất kỳ file nào của bạn
Sau đây mình xin trình bày những ưu khuyết điểm mà thủ thuật hổ trợ các bạn trong quá trình test virut về sau:
1. Bạn test virus trên môi trường winpe là điều kiện lý tưởng, vì khả năng miễn nhiễm virut rất cao, dữ liệu của bạn được đảm bảo an toàn. Cụ thể mình lỡ chạy con Win32 Sality 3 khi mình xem task manager bị khóa mình liền khởi động lại winpe là các file.exe mình đã an toàn nó không hề bị lây lan và làm hỏng các file thực thi trên hdd của mình.
2. WinPE test và xóa các dòng autorun khá chuẩn. Khi bạn phát hiện trên hệ điều hành windows gốc bị khóa task manager, chậm máy, thỉnh thoảng mất kết nối internet, blue screen (dump xanh màn hình) ... việc đơn giản bạn boot vào winpe tìm file autorun.inf và mở lên với notepad bạn xem code bên trong nó. Mình ví dụ:
Nhìn sơ qua code chắc các bạn đã biết file ffhsp.exe chính là virut việc còn lại bạn chỉ cần tìm đúng tên nó trên các ổ đĩa và xóa cùng với file autorun.inf là xong nhé! Các bạn có thể nén nó lại hay đóng gói theo cách mình để lưu mẫu gửi bkav hay làm bộ sưu tập cho riêng bạn nhé!
Tùy vào dòng virut mà chức năng phá hoại nó ít hay nhiều nếu sau khi xóa các file virut trên mà máy bạn vẫn có những triệu chứng bất thường thì bạn nên cài lại windows. Sau khi cài win xong các bạn có thể quét virus sau cũng chưa muộn. Nếu là kỹ thuật mình khuyên nên cài lại win là nhanh nhất. Về lỗi dump xanh màn hình có rất nhiều nguyên nhân các bạn nhé thường là do ổ cứng bad, lỗi mbr, do virut, ram hở hay rỉ sét, card màn hình hỏng ... Cách nào mất thời gian ít thì bạn nên kiểm tra trước nha! Bạn đủ kinh nghiệm và chắc chắn thì tùy bạn quyết định vậy.
3. Đối với những dòng virut cực kỳ nguy hiểm như hiện nay là ransomware wannacry, petya, cerber3 ... thì việc bạn test trên winpe là giải pháp an toàn nhất, sau đây mình xin đi vào chi tiết:
H1. Đầu tiên bạn tạo boot uefi, legacy trên hdd hay usb với bootice tương tự link trên. Sau khi bạn tạo boot xong bạn khởi động như H1, H2.
Sau khi vào winpe bạn nên tiến hành copy các file virus và các file mẫu cần test sang ổ đĩa X, hay ổ Ram Disk mà tùy ở mỗi bản winpe có hổ trợ. Bạn cũng có thể dùng usb hay box hdd riêng để tiện việc sao chép file trước khi chạy virut nhé!
H3. Sau khi copy các file xong bạn chạy bootice trên ổ đĩa X hay ổ RamDisk, tại mục Destination Disk bạn chọn ổ hdd/usb cần ẩn để bảo vệ dữ liệu và click Parts Manage. Bạn cũng có thể thoát box hdd/usb an toàn như bình thường nếu không muốn ẩn vẫn được nhé!
H4. Bạn chọn phân vùng cần ẩn để bảo vệ click Hide và OK.
H5, H6 ổ đĩa E và F của mình đã được ẩn.
Sau khi ẩn hay thoát tất cả ổ đĩa dữ liệu quan trọng của bạn. Bạn tiến hành click virut và chạy. Ảnh mình ví dụ con wannacry.exe đang hoạt động. H7, H8.
H9 mình kiểm tra khả năng mã hóa file của ransomware wannacry và hậu quả là hầu hết file mình đều bị mã hóa. Ngoại trừ file.exe và vài file khác.
H10, H11 mình chuyển đổi thứ tự phân vùng thành ổ A và ổ B nên wannacry không thể mã hóa file. 4(*)
H12. Sau khi test virut xong các bạn có thể đóng gói file virus lại, upload lên internet và gửi mẫu sang bkav hay làm bộ sưu tập riêng tùy ý bạn nhé!
* Về việc mã hóa file của wannacry cũng còn giới hạn ở những định dạng khác nhau, các bạn có thể tải những định dạng file sau đây để lưu trữ an toàn trước wannacry nhé! Đặc biệt mình xin gợi ý để bảo vệ mọi định dạng file bạn an toàn trước hầu hết các loại virut là bạn nên xóa mất tên đuôi file luôn nha! Mình ví dụ tên này:
Wannacry là ransomware cực kỳ nguy hiểm
Hay mình vd cách này để bạn dễ tìm kiếm file mình cần:
Wannacry là ransomware cực kỳ nguy hiểm.docxdocx
Định đạng .docxdocx lặp lại nhiều lần gì đấy tùy bạn miễn sao không phải là định dạng gốc .docx thì wannacry hay bất kỳ loại ransomware, virus, ... nào cũng pó tay cả ạ!
4.(*) Khoản sơ hở không kém phần hấp dẫn mà wannacry lỡ quên add list mã hóa file trên thứ tự phân vùng tên A và B. Mình ví dụ các ảnh sau:
H1. Mình click phải chuột vào ThisPC hay Computer tùy máy bạn và chọn Manage
H2, H3 mình chọn phân vùng cần chuyển đổi tên thứ tự thành ổ A và ổ B
H4. Là kết quả mình chuyển đổi thành công.
Hiện tại mình chưa dám chắc việc đổi tên thứ tự phân vùng như trên tránh khỏi việc mã hóa hư hỏng file với các dòng ransomware crypt khác. Các bạn nên căn nhắc cẩn thận khi dùng cách này áp dụng trực tiếp trên windows nhé!
II. Về Khuyết Điểm:
* Việc bạn lỡ quên ẩn phân vùng với bootice thì hậu quả cũng tương tự bạn chạy virut trực tiếp trên hệ điều hành chính, và mình cũng không phải là thiên tài để làm tốt việc này
* Việc bạn quên Unhide để hiện phân vùng với bootice thì icon và tên ổ đĩa sẽ trở về trạng thái mặc định (việc này không ảnh hưởng đến bất kỳ dữ liệu nào của bạn nhé!).H1
Điểm cực kỳ quan trọng là khi phân vùng bạn đang ẩn trước đó thì việc bạn boot vào tiếp winpe để Unhide (làm hiện lại phân vùng) rồi click Hide ẩn tiếp lại thì WinPE Explore sẽ hiện lên 2 phân vùng giống y đúc nhau. Nếu bạn chạy virut ngay thì việc ẩn phân vùng lần này sẽ vô tác dụng và file bạn sẽ bị lây nhiễm như H1, H2, H3
* Để khắc phục khuyết điểm trên tất nhiên sau khi test virut lần 1 xong bạn sẽ không Unhide hiện lên phân vùng cho virut lây sang dữ liệu ngay lúc đó, mà bạn nên khởi động lại winpe để trở về trạng thái an toàn, rồi bạn hãy Unhide cho phân vùng ẩn hiện lên. Và bạn khởi động winpe thêm lần nữa để bắt đầu việc test virut lần 2 nhé!
Sandbox test virus có những ưu việt riêng của họ. Việc test virut cũng tiềm ẩn nhiều nguy cơ hay có bạn nói đó là con dao hai lưỡi cả thử thách tử thần cũng đúng. Quan trọng hơn là cách bạn thao tác file, bạn không click đúp chuột vào file virut.exe trên windows thì virut rất khó có cơ hội để hoạt động. Các bước trên bạn đã xử lý tốt hy vọng bạn sẽ có nhiều sáng kiến hay cho riêng mình và góp phần phát triển nền công nghệ thông tin nước nhà nhé!
Rất mong các bạn ủng hộ và góp ý thêm giúp mình nhé! Xin chân thành cảm ơn các bạn đã quan tâm ạ!
* File test các loại virut khác nhau các bạn tải link sau nhé!
File Kháng Virut Wannacry.iso 44MB
https://mega.nz/#!B24BzZ4C!DPiRS3g81...YDisfoiZ0Y_De8
File Test Wannacry.zip 16.9MB
https://mega.nz/#!AzIR2YzB!Qq-74Pno1...ZXFc-mvW5hSnyE
I. Về Ưu Điểm:
2. WinPE test và xóa các dòng autorun khá chuẩn. Khi bạn phát hiện trên hệ điều hành windows gốc bị khóa task manager, chậm máy, thỉnh thoảng mất kết nối internet, blue screen (dump xanh màn hình) ... việc đơn giản bạn boot vào winpe tìm file autorun.inf và mở lên với notepad bạn xem code bên trong nó. Mình ví dụ:
[AutoRun] ; ;pacQMXDoxcs opEn= ffhsp.exe ;qpeF bTilnq jwga SheLl\opEn\COmmAND = ffhsp.exe ;ghkRpnal GdFiqR QcFfo YoJRl SHell\expLoRe\COmMaNd= ffhsp.exe ;VYhe RSteBh qfbdXYdlkHfCWtr ooql GuXv sHeLl\opeN\DefAult=1 ;iiAw shell\AutOplay\coMmaNd = ffhsp.exe
Nhìn sơ qua code chắc các bạn đã biết file ffhsp.exe chính là virut việc còn lại bạn chỉ cần tìm đúng tên nó trên các ổ đĩa và xóa cùng với file autorun.inf là xong nhé! Các bạn có thể nén nó lại hay đóng gói theo cách mình để lưu mẫu gửi bkav hay làm bộ sưu tập cho riêng bạn nhé!
Tùy vào dòng virut mà chức năng phá hoại nó ít hay nhiều nếu sau khi xóa các file virut trên mà máy bạn vẫn có những triệu chứng bất thường thì bạn nên cài lại windows. Sau khi cài win xong các bạn có thể quét virus sau cũng chưa muộn. Nếu là kỹ thuật mình khuyên nên cài lại win là nhanh nhất. Về lỗi dump xanh màn hình có rất nhiều nguyên nhân các bạn nhé thường là do ổ cứng bad, lỗi mbr, do virut, ram hở hay rỉ sét, card màn hình hỏng ... Cách nào mất thời gian ít thì bạn nên kiểm tra trước nha! Bạn đủ kinh nghiệm và chắc chắn thì tùy bạn quyết định vậy.
3. Đối với những dòng virut cực kỳ nguy hiểm như hiện nay là ransomware wannacry, petya, cerber3 ... thì việc bạn test trên winpe là giải pháp an toàn nhất, sau đây mình xin đi vào chi tiết:
H1. Đầu tiên bạn tạo boot uefi, legacy trên hdd hay usb với bootice tương tự link trên. Sau khi bạn tạo boot xong bạn khởi động như H1, H2.
Sau khi vào winpe bạn nên tiến hành copy các file virus và các file mẫu cần test sang ổ đĩa X, hay ổ Ram Disk mà tùy ở mỗi bản winpe có hổ trợ. Bạn cũng có thể dùng usb hay box hdd riêng để tiện việc sao chép file trước khi chạy virut nhé!
H3. Sau khi copy các file xong bạn chạy bootice trên ổ đĩa X hay ổ RamDisk, tại mục Destination Disk bạn chọn ổ hdd/usb cần ẩn để bảo vệ dữ liệu và click Parts Manage. Bạn cũng có thể thoát box hdd/usb an toàn như bình thường nếu không muốn ẩn vẫn được nhé!
H4. Bạn chọn phân vùng cần ẩn để bảo vệ click Hide và OK.
H5, H6 ổ đĩa E và F của mình đã được ẩn.
Sau khi ẩn hay thoát tất cả ổ đĩa dữ liệu quan trọng của bạn. Bạn tiến hành click virut và chạy. Ảnh mình ví dụ con wannacry.exe đang hoạt động. H7, H8.
H9 mình kiểm tra khả năng mã hóa file của ransomware wannacry và hậu quả là hầu hết file mình đều bị mã hóa. Ngoại trừ file.exe và vài file khác.
H10, H11 mình chuyển đổi thứ tự phân vùng thành ổ A và ổ B nên wannacry không thể mã hóa file. 4(*)
H12. Sau khi test virut xong các bạn có thể đóng gói file virus lại, upload lên internet và gửi mẫu sang bkav hay làm bộ sưu tập riêng tùy ý bạn nhé!
* Về việc mã hóa file của wannacry cũng còn giới hạn ở những định dạng khác nhau, các bạn có thể tải những định dạng file sau đây để lưu trữ an toàn trước wannacry nhé! Đặc biệt mình xin gợi ý để bảo vệ mọi định dạng file bạn an toàn trước hầu hết các loại virut là bạn nên xóa mất tên đuôi file luôn nha! Mình ví dụ tên này:
Wannacry là ransomware cực kỳ nguy hiểm
Hay mình vd cách này để bạn dễ tìm kiếm file mình cần:
Wannacry là ransomware cực kỳ nguy hiểm.docxdocx
Định đạng .docxdocx lặp lại nhiều lần gì đấy tùy bạn miễn sao không phải là định dạng gốc .docx thì wannacry hay bất kỳ loại ransomware, virus, ... nào cũng pó tay cả ạ!
4.(*) Khoản sơ hở không kém phần hấp dẫn mà wannacry lỡ quên add list mã hóa file trên thứ tự phân vùng tên A và B. Mình ví dụ các ảnh sau:
H1. Mình click phải chuột vào ThisPC hay Computer tùy máy bạn và chọn Manage
H2, H3 mình chọn phân vùng cần chuyển đổi tên thứ tự thành ổ A và ổ B
H4. Là kết quả mình chuyển đổi thành công.
Hiện tại mình chưa dám chắc việc đổi tên thứ tự phân vùng như trên tránh khỏi việc mã hóa hư hỏng file với các dòng ransomware crypt khác. Các bạn nên căn nhắc cẩn thận khi dùng cách này áp dụng trực tiếp trên windows nhé!
II. Về Khuyết Điểm:
* Việc bạn lỡ quên ẩn phân vùng với bootice thì hậu quả cũng tương tự bạn chạy virut trực tiếp trên hệ điều hành chính, và mình cũng không phải là thiên tài để làm tốt việc này
* Việc bạn quên Unhide để hiện phân vùng với bootice thì icon và tên ổ đĩa sẽ trở về trạng thái mặc định (việc này không ảnh hưởng đến bất kỳ dữ liệu nào của bạn nhé!).H1
Điểm cực kỳ quan trọng là khi phân vùng bạn đang ẩn trước đó thì việc bạn boot vào tiếp winpe để Unhide (làm hiện lại phân vùng) rồi click Hide ẩn tiếp lại thì WinPE Explore sẽ hiện lên 2 phân vùng giống y đúc nhau. Nếu bạn chạy virut ngay thì việc ẩn phân vùng lần này sẽ vô tác dụng và file bạn sẽ bị lây nhiễm như H1, H2, H3
* Để khắc phục khuyết điểm trên tất nhiên sau khi test virut lần 1 xong bạn sẽ không Unhide hiện lên phân vùng cho virut lây sang dữ liệu ngay lúc đó, mà bạn nên khởi động lại winpe để trở về trạng thái an toàn, rồi bạn hãy Unhide cho phân vùng ẩn hiện lên. Và bạn khởi động winpe thêm lần nữa để bắt đầu việc test virut lần 2 nhé!
Sandbox test virus có những ưu việt riêng của họ. Việc test virut cũng tiềm ẩn nhiều nguy cơ hay có bạn nói đó là con dao hai lưỡi cả thử thách tử thần cũng đúng. Quan trọng hơn là cách bạn thao tác file, bạn không click đúp chuột vào file virut.exe trên windows thì virut rất khó có cơ hội để hoạt động. Các bước trên bạn đã xử lý tốt hy vọng bạn sẽ có nhiều sáng kiến hay cho riêng mình và góp phần phát triển nền công nghệ thông tin nước nhà nhé!
Rất mong các bạn ủng hộ và góp ý thêm giúp mình nhé! Xin chân thành cảm ơn các bạn đã quan tâm ạ!
* File test các loại virut khác nhau các bạn tải link sau nhé!
File Kháng Virut Wannacry.iso 44MB
https://mega.nz/#!B24BzZ4C!DPiRS3g81...YDisfoiZ0Y_De8
File Test Wannacry.zip 16.9MB
https://mega.nz/#!AzIR2YzB!Qq-74Pno1...ZXFc-mvW5hSnyE