NAKIVO > Blog > Multiplatform

Các cuộc tấn công bằng phần mềm tống tiền và khôi phục dữ liệu: Tổng quan toàn diện

Updated: Tháng Năm 26, 2026

Tác giả:: Đội ngũ NAKIVO

Với những hậu quả là mất dữ liệu và thời gian ngừng hoạt động mà chúng gây ra, các cuộc tấn công bằng ransomware là mối đe dọa nguy hiểm đối với các doanh nghiệp trong mọi ngành nghề. Theo Sophos, Số tiền chuộc trung bình trong năm 2023 đã đạt mức 1,54 triệu đô la . Thật không may, tần suất các cuộc tấn công bằng ransomware đang gia tăng qua từng năm. Mọi người đều có nguy cơ bị tấn công. Sau khi được cài đặt trên máy tính, ransomware sẽ xóa hoặc làm hỏng dữ liệu bằng cách sử dụng các thuật toán mã hóa mạnh.

Những kẻ đứng sau ransomware thường yêu cầu một khoản tiền (tiền chuộc) để giải phóng dữ liệu và khôi phục lại khả năng truy cập. Tuy nhiên, ngoài việc khuyến khích tội phạm, việc trả tiền chuộc này không đảm bảo rằng bạn sẽ có được quyền truy cập đầy đủ vào dữ liệu có thể sử dụng được. Bài đăng trên blog này giải thích cách phục hồi hiệu quả sau một cuộc tấn công ransomware đồng thời tránh giao dịch với những kẻ tấn công.

Hãy nói không với các vụ tống tiền cùng NAKIVO

Hãy nói không với các vụ tống tiền cùng NAKIVO

Sử dụng bản sao lưu để khôi phục dữ liệu nhanh chóng sau các cuộc tấn công ransomware. Nhiều tùy chọn khôi phục, bộ nhớ cục bộ và đám mây không thể thay đổi, các tính năng tự động hóa khôi phục và nhiều hơn nữa.

KHÁM PHÁ GIẢI PHÁP

Phải làm gì sau một cuộc tấn công ransomware

Mặc dù đã có rất nhiều biện pháp phòng ngừa, tổ chức của bạn vẫn có khả năng trở thành nạn nhân của một cuộc tấn công ransomware. Các biện pháp sau đây có thể giúp bạn giảm thiểu tác động của một cuộc tấn công ransomware nếu và khi nó xảy ra. Nếu máy tính của bạn bị nhiễm ransomware, hãy làm theo các khuyến nghị sau trước khi khôi phục tệp từ ransomware.

  • Ngắt kết nối thiết bị bị nhiễm . Ngay khi phát hiện máy tính bị nhiễm phần mềm độc hại, bạn phải ngắt kết nối thiết bị khỏi mạng và các thiết bị lưu trữ ngoài ngay lập tức. Bằng cách này, bạn có thể đảm bảo rằng các máy tính và hệ thống khác trong cơ sở hạ tầng của bạn cũng không bị nhiễm. Bước này cho phép bạn lưu dữ liệu chưa bị ảnh hưởng và giảm bớt khối lượng công việc cần thiết để khôi phục tệp từ ransomware.

    Sau đó, xác định số lượng máy tính thực sự bị ảnh hưởng bởi cuộc tấn công ransomware và tìm kiếm các hoạt động đáng ngờ trong hạ tầng của bạn.

  • Xác định loại ransomware . Trao đổi với người đầu tiên phát hiện vấn đề. Hỏi họ đang làm gì trước khi sự cố xảy ra, liệu họ có nhận được email kèm tệp đính kèm đáng ngờ hay không, và các tệp nào họ đã tải xuống gần đây. Việc xác định loại ransomware cung cấp thông tin quý giá có thể được sử dụng để xác định lỗ hổng trong hệ thống bảo vệ dữ liệu của bạn và điều chỉnh nó cho phù hợp.

    Hơn nữa, nếu bạn xác định được loại ransomware, bạn có thể biết chính xác các tệp của mình bị ảnh hưởng như thế nào (tức là chúng bị mã hóa hay bị khóa). Từ đó, bạn có thể hiểu được những hậu quả tiềm ẩn nếu không trả tiền chuộc, và chiến lược nào nên được áp dụng để khôi phục thành công sau cuộc tấn công ransomware.

  • Báo cáo sự cố . Khi tổ chức đào tạo nhân viên, hãy giải thích cho nhân viên rằng việc thông báo cho đội ngũ hỗ trợ CNTT về bất kỳ hoạt động đáng ngờ nào trên máy tính của họ là rất quan trọng. Như vậy, các chuyên gia CNTT có thể phản ứng kịp thời với cuộc tấn công ransomware trước khi gây ra thiệt hại nghiêm trọng. Sau đó, báo cáo vụ tấn công ransomware cho cơ quan chức năng (ví dụ: FBI nếu bạn ở Hoa Kỳ) và cung cấp cho họ tất cả thông tin cần thiết về vụ việc. Việc báo cáo cho cơ quan chức năng có thể giúp ngăn chặn các cuộc tấn công trong tương lai từ cùng tác nhân ransomware.
  • Không trả tiền chuộc . Các quan chức thực thi pháp luật khuyến cáo không nên tuân theo yêu cầu của kẻ tấn công vì điều này sẽ khuyến khích thêm nhiều vụ tấn công ransomware trong tương lai. Những hacker muốn kiếm tiền nhanh chóng sẽ coi bạn là mục tiêu dễ dàng cho các cuộc tấn công sau này của chúng. Hơn nữa, trong hầu hết các trường hợp, việc trả tiền chuộc không đảm bảo rằng kẻ tấn công sẽ mở khóa hoặc giải mã dữ liệu như đã hứa. Hãy nhớ rằng bạn đang đối phó với những tên tội phạm chỉ quan tâm đến lợi nhuận.
  • Xác định tác động của cuộc tấn công ransomware . Bạn nên xác định lượng dữ liệu bị hỏng, số lượng máy tính bị nhiễm do cuộc tấn công và thời gian cần thiết để phục hồi sau cuộc tấn công. Hơn nữa, đánh giá mức độ quan trọng của dữ liệu bị khóa và xác định liệu có thể phục hồi mà không cần trả tiền chuộc hay không.
  • Phục hồi hệ thống sau cuộc tấn công ransomware . Sau khi loại bỏ ransomware khỏi máy tính, bạn có thể bắt đầu quá trình phục hồi sau cuộc tấn công ransomware.

Các tùy chọn khôi phục cho tệp bị mã hóa bởi ransomware

Có nhiều phương pháp khôi phục dữ liệu sau một cuộc tấn công ransomware. Hiệu quả của các phương pháp này thay đổi tùy thuộc vào tình huống.

Sử dụng các công cụ tích hợp trong hệ điều hành của bạn

Nếu bạn sử dụng Windows 10, bạn có thể thử sử dụng công cụ Windows System Restore để khôi phục cài đặt hệ thống và cài đặt chương trình từ một điểm khôi phục được tạo tự động. Không phải tất cả dữ liệu đều có thể được khôi phục bằng phương pháp này. Ransomware hiện đại có thể vô hiệu hóa Khôi phục Hệ thống và xóa hoặc làm hỏng các điểm khôi phục của Windows. Trong trường hợp này, phương pháp này không hiệu quả.

Sử dụng công cụ giải mã ransomware

Nếu bạn đã xác định được loại và phiên bản của ransomware, hãy thử tìm công cụ giải mã do các nhà nghiên cứu bảo mật cung cấp. Công cụ giải mã không có sẵn cho mọi phiên bản ransomware. Ngày nay, việc tìm thấy công cụ giải mã cũng ngày càng hiếm.

Sử dụng phần mềm khôi phục tệp đã xóa

Nếu ransomware chưa ghi đè lên các tệp trên đĩa và lấp đầy bề mặt đĩa bằng các số 0 hoặc dữ liệu ngẫu nhiên, bạn vẫn có cơ hội khôi phục một số dữ liệu quan trọng. Quá trình quét bề mặt đĩa sẽ mất nhiều thời gian. Tên tệp sau khi khôi phục có thể bị mất, và tên của chúng có thể giống như RECOVER0001.JPG, RECOVER0002.JPG, v.v.

Khôi phục dữ liệu từ bản sao lưu

Điểm chính của phương pháp này là bạn phải chuẩn bị trước và không nên chờ đến khi ransomware lây nhiễm vào máy tính của bạn. Nếu bạn chưa tạo bản sao lưu trước khi xảy ra cuộc tấn công ransomware, phương pháp này sẽ không áp dụng được. Bạn cần chuẩn bị trước và sao lưu dữ liệu định kỳ. Các nguyên tắc tốt nhất về sao lưu khuyến nghị tuân theo hướng dẫn tại Quy tắc sao lưu 3-2-1 và lưu trữ bản sao lưu tại một địa điểm khác và/hoặc ngoại tuyến để phục hồi sau cuộc tấn công ransomware. Bạn có thể sử dụng dịch vụ lưu trữ đám mây, băng và/hoặc bản sao lưu không thể thay đổi cho mục đích này.

Cách tốt nhất để tạo bản sao lưu là sử dụng các giải pháp bảo vệ dữ liệu chuyên dụng hỗ trợ các loại tải công việc và hạ tầng khác nhau, đồng thời cho phép bạn áp dụng quy tắc sao lưu 3-2-1.

Một trong những giải pháp đó là NAKIVO Backup & Replication. Giải pháp của NAKIVO giúp bạn nâng cao hiệu suất sao lưu, đảm bảo khả năng khôi phục dữ liệu và cải thiện quá trình khôi phục sau cuộc tấn công ransomware. Giải pháp này hỗ trợ bảo vệ dữ liệu cho máy chủ vật lý, máy ảo (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), các phiên bản Amazon EC2 và Microsoft 365. Với giải pháp này, bạn có thể:

  • Thực hiện sao lưu và nhân bản dựa trên hình ảnh, nhận biết ứng dụng và tăng dần.
  • Dễ dàng tạo các bản sao lưu mà không cần sử dụng máy chủ nguồn hoặc máy ảo (VM).
  • Lưu trữ bản sao lưu tại một địa điểm từ xa, trên đám mây công cộng hoặc băng từ.
  • Kích hoạt tính bất biến cho các kho lưu trữ dựa trên Linux cục bộ hoặc trên đám mây Amazon S3.
  • Lựa chọn trong số nhiều tùy chọn khôi phục linh hoạt, bao gồm khởi động máy ảo tức thì, phục hồi theo từng phần và khôi phục P2V (Physics to Virtual) cho các máy vật lý thành máy ảo VMware vSphere.
  • Tạo quy trình khôi phục thảm họa bằng cách sắp xếp các hành động và điều kiện khác nhau thành một chuỗi tự động.

Mất bao lâu để khôi phục sau cuộc tấn công ransomware?

Thời gian cần thiết để khôi phục các tệp bị mã hóa do virus ransomware tấn công phụ thuộc vào lượng dữ liệu bị hỏng trên các máy tính bị nhiễm và phương pháp được sử dụng để khôi phục ransomware. Khi ước tính thời gian cần thiết để khôi phục sau cuộc tấn công ransomware, chúng tôi đề cập đến việc khôi phục dữ liệu và đưa tất cả hệ thống trở lại hoạt động với các tải công việc được khôi phục.

Thời gian để khôi phục dữ liệu và khôi phục các tải công việc có thể dao động từ vài ngày đến vài tháng. Hãy xem xét các yếu tố chính ảnh hưởng đến thời gian khôi phục.

  • Kinh nghiệm của quản trị viên hệ thống. Các quản trị viên hệ thống có kỹ năng thường có nhiều kế hoạch khôi phục thảm họa cho các tình huống khác nhau và biết phải làm gì trong từng tình huống. Bạn nên có một kế hoạch khôi phục ransomware để chuẩn bị cho các cuộc tấn công ransomware.
  • Việc khôi phục bằng công cụ giải mã (nếu bạn tìm thấy công cụ cho một phiên bản ransomware cụ thể) có thể mất nhiều thời gian. Nếu tên tệp cũng đã bị thay đổi sau khi mã hóa (ví dụ: ` sLc6-fAl26m.nSeB2 ` thay vì ` image001.jpg`), việc sắp xếp chúng vào các thư mục đúng sau khi khôi phục sẽ mất nhiều thời gian hơn. Bạn cần tuân thủ cấu trúc tệp và thư mục chính xác, đặc biệt nếu các tệp này là cần thiết để các ứng dụng hoạt động.
  • Việc sao lưu dữ liệu giúp giảm thời gian cần thiết để khôi phục tệp và máy chủ sau khi bị tấn công bởi ransomware. Lợi thế của việc khôi phục tệp từ bản sao lưu sau một cuộc tấn công ransomware là bạn có thể khôi phục dữ liệu có cấu trúc, bao gồm tên tệp và thư mục cùng với đường dẫn chính xác của chúng. Bạn cần chọn bản sao lưu cho ngày/giờ phù hợp và chọn vị trí đích để khôi phục dữ liệu. Sau đó chỉ cần đợi cho đến khi dữ liệu được sao chép và khôi phục.
    Hơn nữa, các giải pháp sao lưu như NAKIVO Backup & Replication dựa trên công nghệ dựa trên hình ảnh để sao lưu máy ảo (VM) và máy vật lý. Điều này có nghĩa là bản sao lưu ghi lại hệ điều hành và các tệp liên quan đến hệ điều hành, chẳng hạn như tệp cấu hình ứng dụng và trạng thái hệ thống, giúp bạn tiết kiệm thời gian trong việc khôi phục hệ thống hoạt động trở lại.
  • Việc kiểm tra không đầy đủ kế hoạch khôi phục ransomware có thể dẫn đến thời gian khôi phục dữ liệu lâu hơn dự kiến. Vì lý do này, hãy luôn cố gắng Kiểm tra kế hoạch khôi phục của bạn để đảm bảo bạn có thể khôi phục mọi thứ cần thiết trong khung thời gian phù hợp.

Lưu ý rằng khi tạo chiến lược khôi phục thảm họa bao gồm kế hoạch khôi phục thảm họa ransomware, bạn nên xem xét RTO và RPO các chỉ số.

Kết luận

Phục hồi sau tấn công ransomware là một quá trình phức tạp bao gồm khôi phục dữ liệu và khôi phục các khối lượng công việc. Chi phí và thời gian phục hồi sau tấn công ransomware phụ thuộc vào mức độ chuẩn bị cho chiến lược sao lưu và phục hồi sau các cuộc tấn công ransomware.

Cách tiếp cận chính để giảm thiểu các vấn đề do tấn công ransomware gây ra là tuân thủ các biện pháp phòng ngừa và sao lưu dữ liệu thường xuyên. Tuân thủ quy tắc sao lưu 3-2-1, sử dụng bộ lưu trữ sao lưu không thể thay đổi và giải pháp bảo vệ dữ liệu đáng tin cậy có thể tự động hóa các tác vụ.

Hãy thử NAKIVO Backup & Replication

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. Dùng thử miễn phí trong 15 ngày. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí

People also read

Picture
Tổng quan về ứng phó sự cố và khôi phục sau thảm họa
Picture
Thiết lập và tạo hộp thư chung trong Microsoft 365 Exchange Online
Picture
Sao lưu trên đám mây là gì và hoạt động như thế nào?