Nếu bạn đang tìm cách giải mã dữ liệu bị mã hóa bởi ransomware, đây là bài viết dành cho bạn. Chúng tôi không chắc bạn có thể giải mã được dữ liệu; nhưng ít ra những thông tin cung cấp trong bài viết có thể giúp bạn đi đúng hướng. Việc còn lại là trông chờ vào may mắn. Tất nhiên, bạn còn một phương án nữa: TRẢ TIỀN CHUỘC.
Trước khi tiếp tục, có 2 lưu ý quan trọng dành cho bạn:
Nếu đã nhiễm ransomware, bạn cần cô lập máy tính đó ngay lập tức để tránh lây lan (lây sang máy tính khác trong mạng LAN hoặc lây sang thiết bị/vùng lưu trữ khác kết nối vào máy tính). Việc ngắt kết nối mạng cũng giúp dữ liệu đã bị mã hóa không đồng bộ lên Dropbox, Google Drive hoặc các dịch vụ Online Backup khác (nếu bạn có sử dụng). Tiếp theo đó, bạn phải xác định đang bị nhiễm ransomware nào để không bị rối trong việc tìm kiếm thông tin khi có hàng nghìn bài viết về ransomware trên Internet. Công cụ ID Ransomware có thể giúp bạn điều này.
Nếu chưa nhiễm ransomware, bạn nên cảm thấy vui vì mình còn may mắn. Việc bạn cần làm ngay (nếu chưa làm) là sao lưu dữ liệu và đảm bảo tiến hành công tác này một cách thường xuyên, lưu trữ dữ liệu sao lưu tách biệt dữ liệu gốc và trong thời gian đủ lâu. Không kém quan trọng, bạn cần sớm cảnh báo end-user về việc sử dụng email, truy cập Internet.
Tốt nhất là không mở bất cứ email/file đính kèm nào được gửi từ địa chỉ email lạ, có dấu hiệu bất thường. Vì đây là nguồn phát tán ransomware phổ biến nhất. Hãy nhớ, phòng bệnh tốt gấp trăm lần chữa bệnh. Đặc biệt với DỮ LIỆU.
Danh sách các Decryptor Tool
Như nói ở trên, bước đầu tiên bạn cần xác định loại ransomware đang bị nhiễm. Sau đó, xem danh sách bên dưới để tìm ra Decryptor Tool có thể giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware đó.
CoinVault, Bitcryptor, CryptXXX: Công cụ Ransoware Decryptor của Kaspersky có thể giúp bạn giải mã dữ liệu bị mã hóa bởi 3 ransomware CoinVault, Bitcryptor và CryptXXX. Bạn tìm hiểu về công cụ này tại link: https://noransom.kaspersky.com.
Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper: Ngoài 3 ransomware trên, Kaspersky còn cung cấp nhiều Decyptor Tool khác giúp giải mã các ransomware: Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper. Bạn download tại đây: http://support.kaspersky.com/viruses/utility.
Autolocky: Emisoft cung cấp công cụ Decypter cho ransomware Autolocky tại link: https://decrypter.emsisoft.com/autolocky.
PETYA: Ransomware này khá hiểm độc. Nó ghi đè Master Boot Record (MBR) khiến máy tính không thể khởi động (kể cả ở chế độ Safe Mode). Hiện đã có công cụ Petya Ransomware Decrypt Tool & Password Generator giúp bạn có thể giành lại quyền truy cập máy tính.
Operation Global III: Ransomware này mã hóa dữ liệu của bạn và đổi tên file thành .EXE. Không những vậy, nó còn chèn đoạn mã độc vào file với mục đích lây lan sang các máy khác. Bạn tham khảo bài viết về hoạt động và cách khắc phục ransomware này tại link: http://www.bleepingcomputer.com/forums/t/559220/operation-global-iii-ransomware-not-only-encrypts-but-infects-your-data-as-well.
Nemucod, DMALocker2, HydraCrypt, DMALocker, CrypBoss, Gomasom, LeChiffre, KeyBTC, Radamant, CryptInfinite, PClock, CryptoDefense, Harasom: Ngoài công cụ giải mã cho Autolocky (trình bày ở mục 3), Emisoft còn cung cấp công cụ giải mã cho tất cả các ransomware trên.
Nemucod mã hóa và đổi tên file thành *.crypted. Ngoài ra, bạn còn thấy xuất hiện file DECRYPT.txt trên Desktop.
Tesla: Cisco cung cấp công cụ dòng lệnh TeslaCrypt Decryption Tool giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware Tesla. Bạn tìm hiểu về công cụ này tại đây: http://blogs.cisco.com/security/talos/teslacrypt.
Decrypt Protect: Ransomware này cũng được giải mã bởi Emisoft. Bạn download công cụ tại đây:http://tmp.emsisoft.com/fw/decrypt_mblblock.exe.
TorrentLocker, Alpha Crypt, TeslaCrypt: Bạn tham khảo cách giải mã 3 loại ransomware này tại link:http://www.bleepingcomputer.com/virus-removal/threat/ransomware.
BackupAcademy
Danh sách các Decryptor Tool
Như nói ở trên, bước đầu tiên bạn cần xác định loại ransomware đang bị nhiễm. Sau đó, xem danh sách bên dưới để tìm ra Decryptor Tool có thể giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware đó.
CoinVault, Bitcryptor, CryptXXX: Công cụ Ransoware Decryptor của Kaspersky có thể giúp bạn giải mã dữ liệu bị mã hóa bởi 3 ransomware CoinVault, Bitcryptor và CryptXXX. Bạn tìm hiểu về công cụ này tại link: https://noransom.kaspersky.com.
Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper: Ngoài 3 ransomware trên, Kaspersky còn cung cấp nhiều Decyptor Tool khác giúp giải mã các ransomware: Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper. Bạn download tại đây: http://support.kaspersky.com/viruses/utility.
Autolocky: Emisoft cung cấp công cụ Decypter cho ransomware Autolocky tại link: https://decrypter.emsisoft.com/autolocky.
Autolocky là một biến thể của Locky nhưng không phức tạp bằng. Hiện Emisoft đã có thể giải mã. Khi bị nhiễm Autolocky, file sẽ bị mã hóa và đổi tên thành đuôi *.locky.
PETYA: Ransomware này khá hiểm độc. Nó ghi đè Master Boot Record (MBR) khiến máy tính không thể khởi động (kể cả ở chế độ Safe Mode). Hiện đã có công cụ Petya Ransomware Decrypt Tool & Password Generator giúp bạn có thể giành lại quyền truy cập máy tính.
Tuy nhiên, các bước tiến hành tương đối phức tạp; bạn nên tham khảo cách tiến hành tại đây: http://www.thewindowsclub.com/petya-ransomware-decrypt-tool-password-generator.
Operation Global III: Ransomware này mã hóa dữ liệu của bạn và đổi tên file thành .EXE. Không những vậy, nó còn chèn đoạn mã độc vào file với mục đích lây lan sang các máy khác. Bạn tham khảo bài viết về hoạt động và cách khắc phục ransomware này tại link: http://www.bleepingcomputer.com/forums/t/559220/operation-global-iii-ransomware-not-only-encrypts-but-infects-your-data-as-well.
Nemucod, DMALocker2, HydraCrypt, DMALocker, CrypBoss, Gomasom, LeChiffre, KeyBTC, Radamant, CryptInfinite, PClock, CryptoDefense, Harasom: Ngoài công cụ giải mã cho Autolocky (trình bày ở mục 3), Emisoft còn cung cấp công cụ giải mã cho tất cả các ransomware trên.
Bạn có thể download tại đây: https://decrypter.emsisoft.com.
Nemucod mã hóa và đổi tên file thành *.crypted. Ngoài ra, bạn còn thấy xuất hiện file DECRYPT.txt trên Desktop.
DMALocker2 mã hóa nhưng không đổi tên file. Ransomware này tự cung cấp thông tin mình là DMALocker2 với ID là “DMALOCK 43:41:90:35:25:13:61:92″
HydraCrypt mã hóa và đổi tên file thành *.hydracrypt* hoặc *.umbrecrypt*
DMALocker tương tự DMALocker2. Nhưng có ID là “DMALOCK 41:55:16:13:51:76:67:99″
CrypBoss mã hóa và đổi tên file thành *.crypt hoặc *.R16M01D05. Đồng thời còn yêu cầu bạn gửi mail về địa chỉ mail có dạng @dr.com
Gomasom mã hóa và đổi tên file thành *.crypt. Trong tên file có địa chỉ email để liên hệ
LeChiffre mã hóa và đổi tên file thành *.LeChiffre. Đồng thời yêu cầu bạn liên hệ qua địa chỉ email decrypt.my.files@gmail.com
KeyBTC tạo ra file DECRYPT_YOUR_FILES.txt và yêu cầu bạn liên hệ keybtc@inbox.com
Radamant mã hóa và đổi tên file thành *.rdm hoặc *.rrk
CryptInfinite mã hóa và đổi tên file thành *.CRINF
PClock mã hóa nhưng không đổi tên file. Ransomware này tự nhận mình là CryptoLocker; đồng thời tạo ra file enc_files.txt trong thư mục User Profile của bạn.
CryptoDefense tự cung cấp thông tin mình là CryptoDefense và tạo ra file HOW_DECRYPT.txt
Harasom mã hóa và biến tất cả file thành đuôi *.html. Ransome note cho biết nó là Spamhaus hoặc US Department of Justice
HydraCrypt mã hóa và đổi tên file thành *.hydracrypt* hoặc *.umbrecrypt*
DMALocker tương tự DMALocker2. Nhưng có ID là “DMALOCK 41:55:16:13:51:76:67:99″
CrypBoss mã hóa và đổi tên file thành *.crypt hoặc *.R16M01D05. Đồng thời còn yêu cầu bạn gửi mail về địa chỉ mail có dạng @dr.com
Gomasom mã hóa và đổi tên file thành *.crypt. Trong tên file có địa chỉ email để liên hệ
LeChiffre mã hóa và đổi tên file thành *.LeChiffre. Đồng thời yêu cầu bạn liên hệ qua địa chỉ email decrypt.my.files@gmail.com
KeyBTC tạo ra file DECRYPT_YOUR_FILES.txt và yêu cầu bạn liên hệ keybtc@inbox.com
Radamant mã hóa và đổi tên file thành *.rdm hoặc *.rrk
CryptInfinite mã hóa và đổi tên file thành *.CRINF
PClock mã hóa nhưng không đổi tên file. Ransomware này tự nhận mình là CryptoLocker; đồng thời tạo ra file enc_files.txt trong thư mục User Profile của bạn.
CryptoDefense tự cung cấp thông tin mình là CryptoDefense và tạo ra file HOW_DECRYPT.txt
Harasom mã hóa và biến tất cả file thành đuôi *.html. Ransome note cho biết nó là Spamhaus hoặc US Department of Justice
Tesla: Cisco cung cấp công cụ dòng lệnh TeslaCrypt Decryption Tool giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware Tesla. Bạn tìm hiểu về công cụ này tại đây: http://blogs.cisco.com/security/talos/teslacrypt.
Decrypt Protect: Ransomware này cũng được giải mã bởi Emisoft. Bạn download công cụ tại đây:http://tmp.emsisoft.com/fw/decrypt_mblblock.exe.
TorrentLocker, Alpha Crypt, TeslaCrypt: Bạn tham khảo cách giải mã 3 loại ransomware này tại link:http://www.bleepingcomputer.com/virus-removal/threat/ransomware.
BackupAcademy
