Tài liệu bị mã hóa bởi virus tống tiền (Ransomware) thường rất khó lời giải để khôi phục. Tuy nhiên, nếu như bạn may mắn thì cũng đều có một số gải pháp khôi phục tài liệu bị mã hóa được liệt kê ở ở chỗ này.
Sự nguy hiểm của Ransomeware
Khi máy tính nhiễm virus tống tiền thì tất cả những tài liệu quan trọng bị đổi thành đuôi khác: .dutan, .dotmap, .stop, .djivu, .access, .format …. File đã biết thành đổi đuôi đó đương nhiên là không thể mở được vì nó đã biết thành mã hóa. Ngoài ra, ransomeware còn thu thập và đánh cắp thông tin lưu trên các trình duyệt (tài khoản facebook, email, nhà băng ….).
Thông điệp kẻ xấu để lại sở hữu thể được hiện ngay trên desktop của máy tính hoặc trong các file mang tên readme định dạng txt, ini…
Vì sao máy tính bị virus mã hóa tài liệu?
Có nhiều nguyên nhân khiến máy tính bị virus mã hóa tài liệu, có thể kể ra đây như:
- Windows không được update thường xuyên để vá lỗ hổng bảo mật thông tin nghiêm trọng. Hay dùng windows bẻ khóa kém bảo mật thông tin.
- Không sử dụng phần mềm diệt virus đáng tin cậy.
- Nhấp vào các đường dẫn lạ khi lướt web hay duyệt Thư điện tử.
- Tải về và chạy các phần mềm mạo.
Khi bị nhiễm ransomware thì việc trước nhất là phải quét máy tính bằng các phần mềm diệt virus đủ mạnh như: Kaspersky, ESET, Bitdefender, Norton ….
Một số dụng cụ để khôi phục tài liệu bị mã hóa
Sau khoản thời gian quét máy tính bằng phần mềm diệt virus đủ mạnh thì mới có thể tính tới việc cứu tài liệu. Việc cứu được tài liệu hay là không còn phụ thuộc vào chủng loại virus (Ransomware) bị truyền nhiễm.
Trong trường hợp mà cắm usb hay thiết bị gắn ngoài vào máy tính mà phát hiện ra tài liệu hiện nay đang bị mã hóa. Bạn phải phải ngắt mạng ra ngay tức tốc để giảm thiểu rủi ro.
Phương tiện lời giải virus tống tiền Djivu – Stop của Emsisoft
Ngày nay Emsisoft phát hành dụng cụ lời giải tài liệu đổi đuôi với khóa offline cho những biến thế sau 8/2019. Mở file _Readme.txt ở mỗi thư mục bị mã hóa, nếu Your personal ID kếu thúc là “t1” thì bạn bị mã hóa Offline.
Phương tiện này giúp lời giải những biến thế mới của Ransomware Stop Djivu từ sau 8/2019 trở đi. Gồm một số biến thể: .coharos, .shariz, .gero, .hese, .geno, .xoza, .seto, peta, .moka, .meds, .kvag, .domm, .karl, .nesa, .boot, .kuub, .reco, .bora, .leto, nols, werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed or .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi, .npsg, .btos, .repp or .alka
Tải về Decrypt STOP Djivu khi chạy sẽ có những thông tin liên quan đến phần mềm.
Với biến thể cũ trước 8/2019 như: .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pd,. .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput,. , .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug ,. etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom. .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pid. , .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar ,.litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .ADEk, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .mas. , .krusop, .mtAF, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote. Thì sử dụng luôn dụng cụ lời giải trên trang của EmsiSoft. Bạn phải tải 1 file bị mã hóa và 1 file gốc chưa bị mã hóa (lấy từ cloud, file đính kèm, hình nền mà chưa bị mã hóa).
Nếu gặp biến thể bị đổi đuôi file thành .puma, .pumas, .pumax, .INFOWAIT, .DATAWAIT thì sử dụng dụng cụ Emsisoft Decryptor for STOP Puma
GandCrab Ransomware decryption tool
Đây là dụng cụ lời giải tài liệu mã hóa bởi ransomware GandCrab do Bitdefender phát triển. Phương tiện có thể lời giải các phiên bản v1, v4 và v5 của GandCrab (tài liệu bị mã hóa có đuôi .GDCB, .CRAB, .KRAB…).
Tải về của GandCrab Ransomware decryption tool tại đây. Khi sử dụng dụng cụ thì nhớ nhấp chọn Backup files để sao lưu trước lúc thực hiện.
Phương tiện lời giải tài liệu bị mã hóa của Kaspersky
Kaspersky có rất nhiều dụng cụ lời giải tài liệu của nhiều loại ransomware (Xoris, Rector, Rakhni, Scatter, Scraper, Rannoh). Tải về các dụng cụ của Kaspersky tại đây.
Tóm lại
Ransomware mã hóa tài liệu để đánh cắp tài khoản và mã hóa tài liệu rất nguy hiểm. Tài liệu sau khoản thời gian bị mã hóa rất khó để lời giải. Nếu không thể dùng các dụng cụ trên thì bạn nên nhẫn nại đợi biết đâu lúc nào này sẽ có dụng cụ lời giải được. Thường xuyên update Windows, sử dụng phần mềm diệt virus bản quyền và thận trọng khi mở file và mail lạ là điều bạn nên làm.