Khôi phục file bị mã hóa bằng Kaspersky

Virus mã hóa (hay còn được gọi là Ransomware hoặc virus tống tiền). Nó là tập hợp con của phần mềm độc hại. Khi đó, các dữ liệu trên máy tính sẽ bị khóa bằng cách mã hóa thông tin. Lúc này, người dùng sẽ nhận được yêu cầu thanh toán (trả phí) để mua key giải mã cũng như quyền truy cập dữ liệu.

Máy tính bị virus mã hóa dữ liệu

• Động cơ cho những cuộc tấn công virus mã hóa luôn là tiền tệ và không giống như các loại tấn công khác, người dùng thường được thông báo về việc mã hóa dữ liệu. Kèm theo đó là hướng dẫn làm thế nào để có thể khôi phục dữ liệu bị virus mã hóa.

• Thông thường, việc mua key để giải mã dữ liệu sẽ được yêu cầu bằng một loại tiền ảo như: bitcoin, litecoin, ethereu… Nhằm mục đích bảo mật danh tính của tội phạm mạng và mọi quá trình giao dịch giao dịch giải mã dữ liệu sẽ hoàn toàn mất hết liên lạc khi thao tác vừa kết thúc.

2. Cách nhận biết virus mã hóa dữ liệu

Khi máy tính bị nhiễm virus mã hóa tống tiền tất cả những dữ liệu không còn ở định dạng thông thường mà đuôi file sẽ bị thay đổi. Cụ thể là: *.Doc, *.docx => *.docm, *.xls, *.skype =>*.cerber, *.doc.ccc, !RecOveR!-tkxaf++.Png, !RecOveR!-tkxaf++.Txt… Đặc biệt, mỗi một thời điểm sẽ có đuôi mã hóa khác nhau.

Ngoài ra, khi dữ liệu bị virus mã hóa, toàn bộ dữ liệu không thể sử dụng, định dạng của các file dữ liệu cũng sẽ bị thay đổi dẫn đến tình trạng người dùng không thể mở bất ký tệp tin nào.
Hơn nữa, trong mỗi folder xuất hiện 1 file *.txt chứa link hướng dẫn cách cứu dữ liệu bị virus mã hóa trên máy tính.

3. Phòng ngừa virus mã hóa dữ liệu như thế nào?

Để chống lại các cuộc “tấn công” của virus tống tiền các chuyên gia khuyến khích người dùng nên sao lưu dữ liệu thường xuyên và cập nhật phần mềm diệt virus máy tính.

Mặt khác, việc trung cập web là thao tác thực hiện thường xuyên, bạn hãy cẩn thận khi Click chuột vào các liên kết trong mail gửi từ người lạ và email không rõ nguồn gốc.

Để có thể phòng chống virus mã hóa đổi đuôi file thì các bạn cần phải trang bị cho mình kiến thức về những loại virus thường gặp, một trong những loại virus nguy hiểm nhất chính là GANDCRAB. Từ khoá được tìm kiếm trên google nhiều nhất là " cứu file bị mã hóa bởi ransomware cerber".

4. Cách khôi phục dữ liệu bị virus mã hóa

Hiện nay, có rất nhiều cách khôi phục dữ liệu bị virus mã hóa. Dưới đây 2 cách phổ biến nhất hiện nay:

4.1. Sử dụng phần mềm

*Phần mềm diệt virus Norton

Norton Antivirus là một trong những phần mềm diệt virus hiệu quả hiện nay, hỗ trợ người dùng bảo vệ máy tính cá nhân chống lại các lỗ hỏng bảo mật, tiêu diệt virus gây hại cho máy tính.

Phần mềm diệt virus Norton

Cách thực hiện giả mã bằng phần mềm Norton Antivirus:

• Bạn tiến hành Download Norton AntiVirus và cài đặt trên máy tính.
  • Ở mục Computer Scan, bao gồm: Quick Scan (quét nhanh), Full System Scan (quét toàn bộ hệ thống), tính năng Scan Facebook Wall… dùng để quét trang facebook cá nhân, quét các đường link có chứa virus trên tường facebook nhà bạn.
  • Để quét nhanh máy tính, bạn chọn chế độ “Quick Scan”  và chọn Full System Scan để quét toàn bộ hệ thống máy tính của bạn.

*Phần mềm diệt virus Kaspersky

Người dùng có thể DOWNLOAD phần mềm diệt virus Kaspersky. Cách thức hoạt động của công cụ là quét các mã khôi phục dữ liệu máy tính mà virus để là hoặc mã đối chiếu của virus. Từ đó, tìm kiếm key trong CSDL để giải mã dữ liệu.

Phần mềm diệt virus Kaspersky

Các bước thực hiện với phần mềm giải mã:  

• Bạn tải phần mềm diệt virus Kaspersky về máy tính.

• Sau đó giải nén và chạy file CoinVaultDecryptor.exe” với quyền Administrartor.

• Khi cửa sổ bật lên, bạn thực hiện thao tác bấm nút Start Scan để scan danh sách file bị mã hóa và key.

*Phần mềm Trendmicro Decrypto

• Bước đầu tiên, bạn tải bộ công cụ Trendmicro Decrypto về máy tính và giải nén để được file Trendmicro Ransomware File Decryptor.exe và Trendmicro Teslacrypt Decryptor.exe).

Phần mềm Trendmicro Decrypto

• Tiếp theo, bạn mở file Trendmicro Ransomware File Decryptor.exe (còn file Trendmicro Teslacrypt Decryptor.exe thì được phép sử dụng để giải mã dữ liệu bị virus TeslaCrypt mã hóa mà thôi).

• Khi cửa sổ công cụ hiện ra, bạn chọn nút “Agree” để đồng ý với điều khoản sử dụng của chương trình.

• Cuối cùng, bạn chọn nút “Select” rồi chọn đúng phiên bản virus đã mã hóa dữ liệu của bạn. Hiện tại, Trendmicro Decryptor hỗ trợ giải mã 8 loại virus mã hóa, bạn cần chọn chính xác tên của virus mới có thể giải mã dữ liệu thành công của bạn.

4.2. Sử dụng dịch vụ cứu dữ liệu tại Võ Nguyễn

 Khôi phục dữ liệu bằng phần mềm mặc dù không quá khó khăn, nhưng không phải ai cũng thực hiện thành công. Trong trường hợp này, bạn nên sử dụng dịch cứu dữ liệu tại Võ Nguyễn. Với thế mạnh về đội ngũ kỹ thuật viên có trình độ chuyên môn cao, giàu kinh nghiệm, cam kết giúp bạn cứu chữa dữ liệu trong thời gian sớm nhất.
Hy vọng những thông tin trong bài Bí quyết khôi phục dữ liệu bị virus mã hóa hiệu quả sẽ giúp bạn có được kiến thức hữu ích, đồng thời lựa chọn địa chỉ phục hồi dữ liệu uy tín, chất lượng. Chúc bạn thành công!.

Dữ liệu bị mã hóa bởi virus tống tiền (Ransomware) thường rất khó giải mã để khôi phục. Tuy nhiên, nếu bạn may mắn thì cũng có một số gải pháp khôi phục dữ liệu bị mã hóa được liệt kê ở dưới đây.

Sự nguy hiểm của Ransomeware

Khi máy tính nhiễm virus tống tiền thì tất cả các dữ liệu quan trọng bị đổi thành đuôi khác: .dutan, .dotmap, .stop, .djivu, .access, .format …. File đã bị đổi đuôi đó đương nhiên là không thể mở được vì nó đã bị mã hóa. Ngoài ra, ransomeware còn thu thập và đánh cắp thông tin lưu trên các trình duyệt (tài khoản facebook, email, ngân hàng ….).

Thông điệp kẻ xấu để lại có thể được hiện ngay trên desktop của máy tính hoặc trong các file có tên readme định dạng txt, ini…

Tại sao máy tính bị virus mã hóa dữ liệu?

Có nhiều nguyên nhân khiến máy tính bị virus mã hóa dữ liệu, có thể kể ra đây như:

• Windows không được cập nhật thường xuyên để vá lỗ hổng bảo mật nghiêm trọng. Hay dùng windows bẻ khóa kém bảo mật.
• Không sử dụng phần mềm diệt virus đáng tin cậy.
• Nhấp vào các đường dẫn lạ khi lướt web hay duyệt Email.
• Tải về và chạy các phần mềm giả mạo.

Khi bị nhiễm ransomware thì việc đầu tiên là phải quét máy tính bằng các phần mềm diệt virus đủ mạnh như: Kaspersky, ESET, Bitdefender, Norton ….

Một số công cụ để khôi phục dữ liệu bị mã hóa

Sau khi quét máy tính bằng phần mềm diệt virus đủ mạnh thì mới tính tới việc cứu dữ liệu. Việc cứu được dữ liệu hay không còn phụ thuộc vào chủng loại virus (Ransomware) bị lây nhiễm.

Trong trường hợp mà cắm usb hay thiết bị gắn ngoài vào máy tính mà phát hiện ra dữ liệu đang bị mã hóa. Bạn cần phải ngắt mạng ra ngay lập tức để giảm thiểu rủi ro.

Công cụ giải mã virus tống tiền Djivu – Stop của Emsisoft

Hiện tại Emsisoft phát hành công cụ giải mã dữ liệu đổi đuôi với khóa offline cho các biến thế sau 8/2019. Mở file _Readme.txt ở mỗi thư mục bị mã hóa, nếu Your personal ID kếu thúc là “t1” thì bạn bị mã hóa Offline.

Công cụ này giúp giải mã những biến thế mới của Ransomware Stop Djivu từ sau 8/2019 trở đi. Gồm một số biến thể:  .coharos, .shariz, .gero, .hese, .geno, .xoza, .seto, peta, .moka, .meds, .kvag, .domm, .karl, .nesa, .boot, .kuub, .reco, .bora, .leto, nols, werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed or .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi, .npsg, .btos, .repp or .alka

Tải về Decrypt STOP Djivu khi chạy sẽ có các thông báo liên quan đến phần mềm.

Với biến thể cũ trước 8/2019 như: .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pd,. .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput,. , .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug ,. etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom. .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pid. , .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar ,.litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .ADEk, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .mas. , .krusop, .mtAF, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote. Thì sử dụng luôn công cụ giải mã trên trang của EmsiSoft. Bạn cần tải 1 file bị mã hóa và 1 file gốc chưa bị mã hóa (lấy từ cloud, file đính kèm, hình nền mà chưa bị mã hóa).

Nếu gặp biến thể bị đổi đuôi file thành .puma, .pumas, .pumax, .INFOWAIT, .DATAWAIT thì sử dụng công cụ Emsisoft Decryptor for STOP Puma

GandCrab Ransomware decryption tool

Đây là công cụ giải mã dữ liệu mã hóa bởi ransomware GandCrab do Bitdefender phát triển. Công cụ có thể giải mã các phiên bản v1, v4 và v5 của GandCrab (dữ liệu bị mã hóa có đuôi .GDCB, .CRAB, .KRAB…).

Tải về của GandCrab Ransomware decryption tool tại đây. Khi sử dụng công cụ thì nhớ nhấp chọn Backup files để sao lưu trước khi thực hiện.

Công cụ giải mã dữ liệu bị mã hóa của Kaspersky

Kaspersky có rất nhiều công cụ giải mã dữ liệu của nhiều loại ransomware (Xoris, Rector, Rakhni, Scatter, Scraper, Rannoh). Tải về các công cụ của Kaspersky tại đây.

Kết luận

Ransomware mã hóa dữ liệu để đánh cắp tài khoản và mã hóa dữ liệu rất nguy hiểm. Dữ liệu sau khi bị mã hóa rất khó để giải mã. Nếu không thể dùng các công cụ trên thì bạn nên kiên nhẫn đợi biết đâu lúc nào đó sẽ có công cụ giải mã được. Thường xuyên cập nhật Windows, sử dụng phần mềm diệt virus bản quyền và cẩn trọng khi mở file và mail lạ là điều bạn nên làm.