Ransomware có thể lây lan trên internet mà không có mục tiêu cụ thể. Nhưng về bản chất, kẻ tấn công có thể lựa chọn mục tiêu tấn công, những mục tiêu thường được lựa chọn là các server chứa cơ sở dữ liệu như các phần mềm kế toán.
Để nắm rõ hơn cách mà Ransomeware lây nhiễm vào server cũng như cách xử lý, Quý khách có thể tham khảo ở đây. Trong bài viết này, Long Vân sẽ hướng dẫn Quý khách cách lấy lại dữ liệu của phần mềm kế toán MISA trên server đã bị mã hóa.
I. Kiểm tra và xác định dữ liệu có thể sử dụng.
- Dữ liệu MISA mặc định sẽ được lưu tại folder
C:MISA JSC
, khi phần mềm MISA hoặc hệ điều hành lỗi (do mã hóa), bạn có thể truy cập vào thư mục trên để kiểm tra các dữ liệu có thể sử dụng. - Các dữ liệu có thể sử dụng bao gồm:
- Dữ liệu backup MISA (các file có đuôi
.mbk
hoặc.mbz
) là các file backup dữ liệu MISA ở thời điểm gần nhất. Trong trường hợp server MISA có backup thường xuyên, dữ liệu này có thể được sử dụng để restore khi cần thiết. - Dữ liệu đang sử dụng, là dữ liệu đang chạy trực tiếp trên server MISA, đối với mỗi dữ liệu MISA sẽ bao gồm 2 file có đuôi là
.smd
và.sld
hoặc.ldf
. Thông thường các file này sẽ được lưu ở thư mục mặc định của MISA. Để chép dữ liệu qua server mới, cần phải có đầy đủ dữ liệu từ hai file kể trên.
- Dữ liệu backup MISA (các file có đuôi
- Dữ liệu đã bị mã hóa thường có đuôi là một chuỗi ký tự kèm một cái tên giống nhau (hình dưới). Không thể mở hoặc sử dụng được. Các dữ liệu này không thể sử dụng lại.
Trên hình, các dữ liệu có từ ZeNyA trong tên đều đã bị mã hóa. Không thể sử dụng được. Các file dữ liệu MISA còn lại đều có thể tận dụng để chép qua một server mới.
II. Tiến hành thực hiện
- Cài đặt một máy chủ mới: máy chủ đã bị nhiễm malware và bị mã hóa dữ liệu (cho dù đã được xử lý) vẫn tiềm ẩn nhiều nguy cơ bị tấn công trở lại, vậy nên ưu tiên cài một server mới để chuyển dữ liệu qua.
- Cài đặt ứng dụng MISA trên máy chủ mới. Kiểm tra và cài đặt đúng phiên bản MISA đã sử dụng ở server cũ để tránh các lỗi về phiên bản trong quá trình sử dụng.
- Theo kết quả kiểm tra phần dữ liệu ở phần I, copy các dữ liệu có thể sử dụng được qua server mới.
- Import dữ liệu kế toán
-
Trường hợp 1: Với dữ liệu backup.
- Mở ứng dụng MISA.
- Vào menu Tệp, chọn Quản lý dữ liệu.
- Tiếp tục nhấn chọn Đồng ý trong cửa sổ đăng nhập để tiếp tục
- Trong của sổ làm việc, nhấn chọn Phục hồi để khôi phục dữ liệu từ file backup.
- Ở hàng Chọn dữ liệu phục hồi, chọn biểu tượng folder, sau đó chọn đúng file backup dữ liệu (.mbk, mbz) đã copy từ server cũ qua.
- Lựa chọn dữ liệu cần phục hồi và nhấn chọn biểu tượng Phục hồi để khôi phục lại dữ liệu ở server mới.
- Quá trình phục hồi hoàn thành khi MISA hiển thị thông báo “Phục hồi dữ liệu kế toán thành công”.
- Với các bản backup quá xa, việc khôi phục lại dữ liệu theo cách này sẽ không thể khôi phục hoàn toàn ngay trước thời điểm MISA bị lỗi bởi viêc mã hóa dữ liệu.
-
Trường hợp 2: Với dữ liệu MISA đang sử dụng.
- Tạo thư mục Data tương ứng trong folder chứ dữ liệu mặc định của MISA, với phiên bản MISA 2020 thì thư mục nằm ở
C:MISA JSCMISA SME.NET 2020DataMISASME2020
- Copy tất cả dữ liệu đang sử dụng đã lấy được từ server cũ qua (bao gồm các file .smd, .sld hoặc .ldf)
- Truy cập MISA, mở cửa sổ Quản lý dữ liệu tương tự bước 1.
- Trong cửa sổ làm việc, nhấn chọn Đăng ký.
- Trong cửa sổ Đăng ký dữ liệu kế toán, ở dòng Chọn tệp dữ liệu kế toán chọn biểu tượng folder, tiếp tục chọn file .smd trong thư mục dữ liệu.
- Nhấn chọn biểu tượng Đăng ký.
- Quá trình hoàn thành khi MISA thông báo “Đăng ký dữ liệu kế toán thành công“.
- Tạo thư mục Data tương ứng trong folder chứ dữ liệu mặc định của MISA, với phiên bản MISA 2020 thì thư mục nằm ở
-
- Kiểm tra lại dữ liệu, truy cập vào dữ liệu kế toán bằng thông tin đăng nhập đã sử dụng trước đó để kiểm tra dữ liệu sau khi import.
III. Các giải pháp để tránh việc server bị tấn công
- Bật firewall và chặn truy cập với port SMB (445).
- Chỉ mở các port thực sự cần thiết.
- Đổi port remote desktop, không nên sử dụng port remote desktop mặc định (3389).
- Chặn truy cập vào port MSSQL (1433), hoặc giới hạn truy cập theo địa chỉ IP truy cập (nếu có thể).
- Cài đặt và sử dụng một ứng dụng VPN để truy cập MISA từ xa.
- Nên sử dụng một phần mềm diệt virus trên server.
Như vậy, Long Vân đã hoàn thành hướng dẫn Quý khách cách lấy và khôi phục dữ liệu MISA bị mã hóa. Trong trường hợp tất cả các file dữ liệu trong bài viết đều bị mã hóa, Quý khách có thể liên hệ với bộ phận hỗ trợ kỹ thuật để được restore các bản backup trước đó. Chúc Quý khách thành công!