Dữ liệu bị mã hóa bởi virus tống tiền (Ransomware) thường rất khó giải mã để khôi phục. Tuy nhiên, nếu bạn may mắn thì cũng có một số gải pháp khôi phục dữ liệu bị mã hóa được liệt kê ở dưới đây.
Nội dung bài viết
Sự nguy hiểm của Ransomeware
Khi máy tính nhiễm virus tống tiền thì tất cả các dữ liệu quan trọng bị đổi thành đuôi khác: .dutan, .dotmap, .stop, .djivu, .access, .format …. File đã bị đổi đuôi đó đương nhiên là không thể mở được vì nó đã bị mã hóa. Ngoài ra, ransomeware còn thu thập và đánh cắp thông tin lưu trên các trình duyệt (tài khoản facebook, email, ngân hàng ….).
Thông điệp kẻ xấu để lại có thể được hiện ngay trên desktop của máy tính hoặc trong các file có tên readme định dạng txt, ini…
Tại sao máy tính bị virus mã hóa dữ liệu?
Có nhiều nguyên nhân khiến máy tính bị virus mã hóa dữ liệu, có thể kể ra đây như:
- Windows không được cập nhật thường xuyên để vá lỗ hổng bảo mật nghiêm trọng. Hay dùng windows bẻ khóa kém bảo mật.
- Không sử dụng phần mềm diệt virus đáng tin cậy.
- Nhấp vào các đường dẫn lạ khi lướt web hay duyệt Email.
- Tải về và chạy các phần mềm giả mạo.
Khi bị nhiễm ransomware thì việc đầu tiên là phải quét máy tính bằng các phần mềm diệt virus đủ mạnh như: Kaspersky, ESET, Bitdefender, Norton ….
Một số công cụ để khôi phục dữ liệu bị mã hóa
Sau khi quét máy tính bằng phần mềm diệt virus đủ mạnh thì mới tính tới việc cứu dữ liệu. Việc cứu được dữ liệu hay không còn phụ thuộc vào chủng loại virus (Ransomware) bị lây nhiễm.
Trong trường hợp mà cắm usb hay thiết bị gắn ngoài vào máy tính mà phát hiện ra dữ liệu đang bị mã hóa. Bạn cần phải ngắt mạng ra ngay lập tức để giảm thiểu rủi ro.
Công cụ giải mã virus tống tiền Djivu – Stop của Emsisoft
Hiện tại Emsisoft phát hành công cụ giải mã dữ liệu đổi đuôi với khóa offline cho các biến thế sau 8/2019. Mở file _Readme.txt ở mỗi thư mục bị mã hóa, nếu Your personal ID kếu thúc là “t1” thì bạn bị mã hóa Offline.
Công cụ này giúp giải mã những biến thế mới của Ransomware Stop Djivu từ sau 8/2019 trở đi. Gồm một số biến thể: .coharos, .shariz, .gero, .hese, .geno, .xoza, .seto, peta, .moka, .meds, .kvag, .domm, .karl, .nesa, .boot, .kuub, .reco, .bora, .leto, nols, werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed or .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi, .npsg, .btos, .repp or .alka
Tải về Decrypt STOP Djivu khi chạy sẽ có các thông báo liên quan đến phần mềm.
Với biến thể cũ trước 8/2019 như: .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pd,. .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput,. , .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug ,. etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom. .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pid. , .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar ,.litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .ADEk, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .mas. , .krusop, .mtAF, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote. Thì sử dụng luôn công cụ giải mã trên trang của EmsiSoft. Bạn cần tải 1 file bị mã hóa và 1 file gốc chưa bị mã hóa (lấy từ cloud, file đính kèm, hình nền mà chưa bị mã hóa).
Nếu gặp biến thể bị đổi đuôi file thành .puma, .pumas, .pumax, .INFOWAIT, .DATAWAIT thì sử dụng công cụ Emsisoft Decryptor for STOP Puma
GandCrab Ransomware decryption tool
Đây là công cụ giải mã dữ liệu mã hóa bởi ransomware GandCrab do Bitdefender phát triển. Công cụ có thể giải mã các phiên bản v1, v4 và v5 của GandCrab (dữ liệu bị mã hóa có đuôi .GDCB, .CRAB, .KRAB…).
Tải về của GandCrab Ransomware decryption tool tại đây. Khi sử dụng công cụ thì nhớ nhấp chọn Backup files để sao lưu trước khi thực hiện.
Công cụ giải mã dữ liệu bị mã hóa của Kaspersky
Kaspersky có rất nhiều công cụ giải mã dữ liệu của nhiều loại ransomware (Xoris, Rector, Rakhni, Scatter, Scraper, Rannoh). Tải về các công cụ của Kaspersky tại đây.
Kết luận
Ransomware mã hóa dữ liệu để đánh cắp tài khoản và mã hóa dữ liệu rất nguy hiểm. Dữ liệu sau khi bị mã hóa rất khó để giải mã. Nếu không thể dùng các công cụ trên thì bạn nên kiên nhẫn đợi biết đâu lúc nào đó sẽ có công cụ giải mã được. Thường xuyên cập nhật Windows, sử dụng phần mềm diệt virus bản quyền và cẩn trọng khi mở file và mail lạ là điều bạn nên làm.
bị dính đuôi .lyli và pótay
Xin chia buồn với bạn. Cố gắng rút kinh nghiệm để lần sau không tái bị nhé.
Mình bị mã hoá hết dữ liệu, bị chuyển hết sang đuôi .lisp. Ai giúp mình khôi phục lại vớ
Hiện chưa có cách bạn nhé.
Vậy mình cứ giữ lại tất cả dữ liệu, hi vọng sẽ giải mã đc vào 1 thời gian gần nhất 😔😔
mình bị dính con .lisp (gọi tắt là con lồl ) đó :(( bọn súc sinh đã tạo file “chuyển đổi PDF” giả và thế là mình down về cài,vì PDF rất đắt đỏ nên ham đi tìm crack.Giờ mình biết là ko có giải pháp vì là ngày 25/11/2020 mình bị dính và nó nói là đặt khóa “cao nhất” loz trâu nhà nó.Chắc phải cả năm nữa mới đc giải cứu file 🙁
Mình vừa mới bị xog luôn, má tức khóc thật
Cài diệt virus kaspersky đi bác,ko mua thì cài bản free 31days chứ đừng để không như thế vì nó còn ăn tiếp.sau đó lưu mấy file bị mã hóa lại đợi có dịp,file bị mã hóa ko còn virus nếu quét,nhưng tạm thời chưa dùng đc
Đợi gì bác ơi, mình thấy đa phần các bác mua phần mềm này kia vẫn ko giải quyết đc vấn đề, mình quyết định bỏ, cài lại win làm lại mọi thứ. Chỉ bực là tết nhất tới nơi, những thứ đấy là tiền của mình vì mình làm MMO
ý của tôi ko phải là kêu bác mua phần mềm là sẽ giải quyết đc vấn đề, mà là trước đó các vấn đề của 2018 2019 các đuôi khác đã được giải mã do đội ngũ các tập đoàn chống diệt virus hợp sức để tìm giải pháp nhưng cần rất nhiều thời gian. Còn bác chấp nhận xóa hết thì cũng ok thôi vì tùy mỗi người. Tôi đưa ra lời khuyên là vì e ngại những dữ liệu cực quan trọng nên mới khuyên để lại. Hiện tại tôi đều giữ lại vì tôi làm bên… Xem thêm »
Nếu dữ liệu bạn là quan trọng là tiền cả, thì nên xài kết hợp cả malwarebytes premium và antivirus (Denfender win 10 cũng ok). Antivirus nó chỉ mảng rất nhỏ thôi. MalwareBytes nó bảo vệ rộng hơn. Chi tiết bạn xem ở đây: https://anhdvshop.com/product/ban-quyen-malwarebytes-premium-vinh-vien-lifetime/
mình bị đuôi sglh có khôi phục được không ạ,mình đang có 1 số file rất quan trọng,mong bạn giúp
Hiện tại không có cách bạn nhé. Để không bị lần nữa thì bạn nên dùng Malwarebytes: https://anhdvshop.com/product/ban-quyen-malwarebytes-premium-vinh-vien-lifetime/
Máy tính của Tôi bị đổi đuôi DEMO có khắc phục được không?
Đuôi .kolz thì giải mã bằng phần mềm nào ạ :(( mới bị lần đầu
mình cũng bị, xử lý sao
tôi bị hôm nay đây
Mình bị mã hoá đuôi .npph thì dùng phần mền nào để giải mã vậy
mình cũng vừa bị đuôi này
mình cũng vừa bị đuôi này hômn qua
đuôi này mới quá
mình cũng bị, hóng ké ạ
Máy mình cũng bị mã hóa đuôi npph hôm nay. Có cách nào lấy lại ko😞
mình cũng bị đuôi này hôm nay. Đã có cách khắc phục chưa nhỉ?
Mình cũng mới dính, lại dữ liệu quan trọng mới chết chứ
tôi bị hôm nay đây
Chết tiệt thật. Mình cũng bị ngày 18/9/2020. Biết làm thế nào đây
Máy tính mình bị virut mã hoá có đuôi là .roger. Vậy phải dùng phần mềm nào để khôi phục được dữ liệu vậy
có công cụ giải đuôi .kasp ko ah