Tổng hợp các công cụ giúp giải mã dữ liệu bị mã hóa bởi ransomware

By | 3:05 pm | 08/07/2016

Nếu máy tính bạn bị nhiễm ransomware, xin chia buồn cùng bạn. Các tập tin dữ liệu đã bị mã hóa hầu như không thể giải mã được. Nhưng ít ra những thông tin cung cấp trong bài viết có thể giúp ích cho bạn. Việc còn lại là trông chờ vào may mắn.

Trước khi tìm hướng xử lý, bạn cần biết máy tính của mình đang nhiễm ransomware gì. Trang web ID Ransomware có thể giúp bạn thực hiện điều này.
Danh sách bên dưới là tổng hợp các Decryptor Tool có thể giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware .

  1. CoinVault, Bitcryptor, CryptXXX: Công cụ Ransoware Decryptor của Kaspersky có thể giúp bạn giải mã dữ liệu bị mã hóa bởi 3 ransomware CoinVault, Bitcryptor và CryptXXX. Bạn tìm hiểu về công cụ này tại link https://noransom.kaspersky.com.
  2. Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper: Ngoài 3 ransomware trên, Kaspersky còn cung cấp nhiều Decyptor Tool khác giúp giải mã các ransomware: Rector, Rannoh, Rakhni, Scatter, Xorist, Scraper. Bạn download tại đây: http://support.kaspersky.com/viruses/utility.
  3. Autolocky: Emisoft cung cấp công cụ Decypter cho ransomware Autolocky tại link https://decrypter.emsisoft.com/autolocky. Autolocky là một biến thể của Locky nhưng không phức tạp bằng. Hiện Emisoft đã có thể giải mã. Khi bị nhiễm Autolocky, file sẽ bị mã hóa và đổi tên thành đuôi *.locky.
  4. PETYA: Ransomware này khá hiểm độc. Nó ghi đè Master Boot Record (MBR) khiến máy tính không thể khởi động (kể cả ở chế độ Safe Mode). Hiện đã có công cụ Petya Ransomware Decrypt Tool & Password Generator giúp bạn có thể giành lại quyền truy cập máy tính. Tuy nhiên, các bước tiến hành tương đối phức tạp; bạn nên tham khảo cách tiến hành tại đây: http://www.thewindowsclub.com/petya-ransomware-decrypt-tool-password-generator.
  5. Operation Global III: Ransomware này mã hóa dữ liệu của bạn và đổi tên file thành .EXE. Không những vậy, nó còn chèn đoạn mã độc vào file với mục đích lây lan sang các máy khác. Bạn tham khảo bài viết về hoạt động và cách khắc phục ransomware này tại link http://www.bleepingcomputer.com/forums/t/559220/operation-global-iii-ransomware-not-only-encrypts-but-infects-your-data-as-well.
  6. Nemucod, DMALocker2, HydraCrypt, DMALocker, CrypBoss, Gomasom, LeChiffre, KeyBTC, Radamant, CryptInfinite, PClock, CryptoDefense, Harasom: Ngoài công cụ giải mã cho Autolocky (trình bày ở mục 3), Emisoft còn cung cấp công cụ giải mã cho tất cả các ransomware trên. Bạn có thể download tại đây: https://decrypter.emsisoft.com.
    Nemucod mã hóa và đổi tên file thành *.crypted. Ngoài ra, bạn còn thấy xuất hiện file DECRYPT.txt trên Desktop.
    DMALocker2 mã hóa nhưng không đổi tên file. Ransomware này tự cung cấp thông tin mình là DMALocker2 với ID là “DMALOCK 43:41:90:35:25:13:61:92”
    HydraCrypt mã hóa và đổi tên file thành *.hydracrypt* hoặc *.umbrecrypt*
    DMALocker tương tự DMALocker2. Nhưng có ID là “DMALOCK 41:55:16:13:51:76:67:99”
    CrypBoss mã hóa và đổi tên file thành *.crypt hoặc *.R16M01D05. Đồng thời còn yêu cầu bạn gửi mail về địa chỉ mail có dạng @dr.com
    Gomasom mã hóa và đổi tên file thành *.crypt. Trong tên file có địa chỉ email để liên hệ
    LeChiffre mã hóa và đổi tên file thành *.LeChiffre. Đồng thời yêu cầu bạn liên hệ qua địa chỉ email decrypt.my.files@gmail.com
    KeyBTC tạo ra file DECRYPT_YOUR_FILES.txt và yêu cầu bạn liên hệ keybtc@inbox.com
    Radamant mã hóa và đổi tên file thành *.rdm hoặc *.rrk
    CryptInfinite mã hóa và đổi tên file thành *.CRINF
    PClock mã hóa nhưng không đổi tên file. Ransomware này tự nhận mình là CryptoLocker; đồng thời tạo ra file enc_files.txt trong thư mục User Profile của bạn.
    CryptoDefense tự cung cấp thông tin mình là CryptoDefense và tạo ra file HOW_DECRYPT.txt
    Harasom mã hóa và biến tất cả file thành đuôi *.html. Ransome note cho biết nó là Spamhaus hoặc US Department of Justice
  7. Tesla: Cisco cung cấp công cụ dòng lệnh TeslaCrypt Decryption Tool giúp bạn giải mã dữ liệu bị mã hóa bởi ransomware Tesla. Bạn tìm hiểu về công cụ này tại đây: http://blogs.cisco.com/security/talos/teslacrypt.
  8. Decrypt Protect: Ransomware này cũng được giải mã bởi Emisoft. Bạn download công cụ tại đây: http://tmp.emsisoft.com/fw/decrypt_mblblock.exe.
  9. TorrentLocker, Alpha Crypt, TeslaCrypt: Bạn tham khảo cách giải mã 3 loại ransomware này tại link: http://www.bleepingcomputer.com/virus-removal/threat/ransomware.