Dữ liệu bị mã hóa bởi virus tống tiền (Ransomware) thường rất khó giải mã để khôi phục. Tuy nhiên, nếu bạn may mắn thì cũng có một số gải pháp khôi phục dữ liệu bị mã hóa được liệt kê ở dưới đây.
Nội dung bài viết
Sự nguy hiểm của Ransomeware
Khi máy tính nhiễm virus tống tiền thì tất cả các dữ liệu quan trọng bị đổi thành đuôi khác: .dutan, .dotmap, .stop, .djivu, .access, .format …. File đã bị đổi đuôi đó đương nhiên là không thể mở được vì nó đã bị mã hóa. Ngoài ra, ransomeware còn thu thập và đánh cắp thông tin lưu trên các trình duyệt (tài khoản facebook, email, ngân hàng ….).
Thông điệp kẻ xấu để lại có thể được hiện ngay trên desktop của máy tính hoặc trong các file có tên readme định dạng txt, ini…
Tại sao máy tính bị virus mã hóa dữ liệu?
Có nhiều nguyên nhân khiến máy tính bị virus mã hóa dữ liệu, có thể kể ra đây như:
- Windows không được cập nhật thường xuyên để vá lỗ hổng bảo mật nghiêm trọng. Hay dùng windows bẻ khóa kém bảo mật.
- Không sử dụng phần mềm diệt virus đáng tin cậy.
- Nhấp vào các đường dẫn lạ khi lướt web hay duyệt Email.
- Tải về và chạy các phần mềm giả mạo.
Khi bị nhiễm ransomware thì việc đầu tiên là phải quét máy tính bằng các phần mềm diệt virus đủ mạnh như: Kaspersky, ESET, Bitdefender, Norton ….
Một số công cụ để khôi phục dữ liệu bị mã hóa
Sau khi quét máy tính bằng phần mềm diệt virus đủ mạnh thì mới tính tới việc cứu dữ liệu. Việc cứu được dữ liệu hay không còn phụ thuộc vào chủng loại virus (Ransomware) bị lây nhiễm.
Trong trường hợp mà cắm usb hay thiết bị gắn ngoài vào máy tính mà phát hiện ra dữ liệu đang bị mã hóa. Bạn cần phải ngắt mạng ra ngay lập tức để giảm thiểu rủi ro.
Công cụ giải mã virus tống tiền Djivu – Stop của Emsisoft
Hiện tại Emsisoft phát hành công cụ giải mã dữ liệu đổi đuôi với khóa offline cho các biến thế sau 8/2019. Mở file _Readme.txt ở mỗi thư mục bị mã hóa, nếu Your personal ID kếu thúc là “t1” thì bạn bị mã hóa Offline.
Công cụ này giúp giải mã những biến thế mới của Ransomware Stop Djivu từ sau 8/2019 trở đi. Gồm một số biến thể: .coharos, .shariz, .gero, .hese, .geno, .xoza, .seto, peta, .moka, .meds, .kvag, .domm, .karl, .nesa, .boot, .kuub, .reco, .bora, .leto, nols, werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed or .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi, .npsg, .btos, .repp or .alka
Tải về Decrypt STOP Djivu khi chạy sẽ có các thông báo liên quan đến phần mềm.
Với biến thể cũ trước 8/2019 như: .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pd,. .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput,. , .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug ,. etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom. .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pid. , .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar ,.litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .ADEk, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .mas. , .krusop, .mtAF, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote. Thì sử dụng luôn công cụ giải mã trên trang của EmsiSoft. Bạn cần tải 1 file bị mã hóa và 1 file gốc chưa bị mã hóa (lấy từ cloud, file đính kèm, hình nền mà chưa bị mã hóa).
Nếu gặp biến thể bị đổi đuôi file thành .puma, .pumas, .pumax, .INFOWAIT, .DATAWAIT thì sử dụng công cụ Emsisoft Decryptor for STOP Puma
GandCrab Ransomware decryption tool
Đây là công cụ giải mã dữ liệu mã hóa bởi ransomware GandCrab do Bitdefender phát triển. Công cụ có thể giải mã các phiên bản v1, v4 và v5 của GandCrab (dữ liệu bị mã hóa có đuôi .GDCB, .CRAB, .KRAB…).
Tải về của GandCrab Ransomware decryption tool tại đây. Khi sử dụng công cụ thì nhớ nhấp chọn Backup files để sao lưu trước khi thực hiện.
Công cụ giải mã dữ liệu bị mã hóa của Kaspersky
Kaspersky có rất nhiều công cụ giải mã dữ liệu của nhiều loại ransomware (Xoris, Rector, Rakhni, Scatter, Scraper, Rannoh). Tải về các công cụ của Kaspersky tại đây.
Kết luận
Ransomware mã hóa dữ liệu để đánh cắp tài khoản và mã hóa dữ liệu rất nguy hiểm. Dữ liệu sau khi bị mã hóa rất khó để giải mã. Nếu không thể dùng các công cụ trên thì bạn nên kiên nhẫn đợi biết đâu lúc nào đó sẽ có công cụ giải mã được. Thường xuyên cập nhật Windows, sử dụng phần mềm diệt virus bản quyền và cẩn trọng khi mở file và mail lạ là điều bạn nên làm.
Còn mình thì bị đổi thành . MPAJ. Mẹ nó xui ko tả, mình đi kiếm ứng dụng Camsatia cài và bị dính đạn, bọn súc sinh
m cũng bị. Mẹ cái bọn chó. Cài KTool exell
ban giai duoc chua?
mình cũng đang bị dính, mới sáng nay bị xong. ông có công cụ giải mã chưa
Chịu thôi mấy ông, format ổ đĩa rồi cài lại win ngay đi. Để lâu ngày thì mệt, con mpaj này mới ra ngày 9 tây chưa có cách trị đâu
Bạn bị mã hóa file video hay file gì vậy?
Mình bị đổi thành đuôi .nppp k biết có thuốc gì chưa nhỉ? Thanks
Em vừa bị đổi đuôi thành .foop là loại virus gì và chưa có cách xử lý, mong các bác biết giúp mình với ạ
xin chân thành cảm ơn.
Mình mới bị virut mã hóa toàn bộ dữ liệu thành đuôi .bora Anh em nào có phần mềm giải mã chỉ giúp mình với (phucminhbtc@gmail.com
Minh2 cũng bị hôm nay, Toàn bộ dữ lieu bị đổi thàng đuôi .mpaj
em vừa bị nhiễm cái mới .mado mà tìm chưa ra được công cụ. Chán quá các ace ạ
Mình cũng bị dính mà không biết khắc phục sao nữa
cung chung so phan .mado
Mình bị mã hóa mado file có giải được không ạ
mình cũng bị mã hóa file này bạn giải đc chưa?
Chưa bạn mình hỏi thì ngta bảo có nhưng phải thợ giỏi dùng 4 tiện ích gì cơ mà k liên lạc được nên đag để đó thôi
Nói bậy nào bạn, không tiện ích nào giúp được cả. Vì các file bị mã hóa rất mạnh (cứ tưởng tượng nó đặt password dài vài trăm ký tự). Chỉ có mã khóa giải mã với cứu được dữ liệu. Khóa này hac-ker mới có. Dò khóa giải mã là điều không tưởng, trừ khi dùng siêu máy tính may ra.
Mình cũng bị file mado. Mất hết dữ liệu tức điên cả người
tui cung moi bi. no’ luon không biết bạn đã mở được chưa
minh bi remk co giai ma duoc khong
mình bị mã hóa .remk không bt có giải mã dc ko
mình bị mã hoa đuôi DAVDA, có bản nào giúp khôi phục mã hóa được kg?
Hiện tại chưa có cách khôi phục bạn nhé1
Thanks anhdv
Minh bi duoi .lokd co giai phap nao giup voi
bạn giải mã được chưa, mình cũng bị
Chưa bạn ơi
tôi cũng mới bị nè