Tuy nhiên, hacker liên tục thay đổi phương pháp và chiến thuật để tạo ra các chủng ransomware mới có thể làm các công cụ giải mã trước đây trở nên lỗi thời.
Với công cụ giải mã vừa được Trend Micro cung cấp, người dùng có thể yên tâm hơn phần nào trước vấn nạn mã độc tống tiền.
Dưới đây là danh mục ransomware mà Trend Micro có thể giải mã giúp bạn lấy lại dữ liệu:
Danh sách mô tả chủng loại ransomware mã hóa các loại tập tin sẽ được xử lý bởi các phiên bản mới nhất của công cụ Trend Micro. |
Lưu ý, CryptXXX V3 sau khi giải mã có thể không phục hồi toàn bộ tập tin, và người dùng cần sử dụng công cụ TeslacryptDecryptor 1.0.xxxx riêng biệt cho các tập tin TeslaCrypt V1 và V2.
Cách sử dụng công cụ giải mã của Trend Micro
1. Tải về phiên bản mới nhất của công cụ Trend Micro Ransomware File Decryptor. Giải nén và sau đó khởi động RansomwareFileDecryptor hoặc TeslacryptDecryptor.exe.
2. Sau khi tải về, sẽ được yêu cầu chấp nhận thỏa thuận cấp phép người dùng (EULA) để tiến hành.
3. Sau khi chấp nhận EULA, công cụ này sẽ tiến hành các giao diện người dùng chính (UI). Từ đây, người dùng sẽ được hướng dẫn từng bước để thực hiện việc giải mã tập tin.
Các bước chi tiết
Bước 1: Chọn tên ransomware
Hầu hết ransomware thường bao gồm một tập tin văn bản hoặc tập tin .html để thông báo cho người dùng rằng hệ thống của bạn đã bị nhiễm bởi một loại ransomware. Sử dụng thông tin này, người dùng bị ảnh hưởng có thể chọn tên ransomware tình nghi để giải mã tập tin. Người dùng gặp khó khăn trong việc xác định các loại ransomware nên liên hệ với dịch vụ hỗ trợ kỹ thuật của Trend Micro để hỗ trợ thêm.
Hình 1. |
Bước 2: Chọn tập tin được mã hóa hoặc thư mục
Công cụ này có thể giải mã một tập tin duy nhất hoặc tất cả các tập tin chứa trong một thư mục bằng cách sử dụng chế độ đệ quy. Bằng cách nhấp vào “Chọn & Giải mã”, bạn hãy chọn một thư mục hoặc một tập tin và nhấn OK để bắt đầu quá trình giải mã.
Hình 2. |
Bước 3: Bắt đầu giải mã các tập tin
Sau khi tập tin hoặc thư mục được lựa chọn, công cụ sẽ bắt đầu quét và giải mã tập tin tự động.
Hình 3. |
Nếu mục tiêu quét là một thư mục, công cụ này sẽ thu thập một số thông tin từ thư mục đích để nhận dạng các tập tin cần phải được giải mã. Trong quá trình quét, giao diện người dùng sẽ được cập nhật để chỉ ra bao nhiêu tập tin được mã hóa và số lượng các tập tin đã được giải mã.
Hình 4. |
Công cụ này có thể giải mã một số loại ransomware mã hóa tập tin (ví dụ như TeslaCrypt) một cách nhanh chóng. Tuy nhiên, các loại tập tin khác (như CryptXXX) có thể mất nhiều thời gian hơn. Thời gian tổng thể phụ thuộc vào số lượng tập tin nằm trong thư mục.
Nếu bạn nhấp nút dừng, quá trình này sẽ bị gián đoạn.
Bước 4: Giải mã CyptXXX V1 (tùy chọn)
Nếu công cụ nhận dạng tập tin được mã hóa bởi CryptXXX V1, nó sẽ yêu cầu người dùng cung cấp thêm thông tin để tiến hành giải mã chi tiết.
Hình 5. |
Sau khi chọn “click here” (bấm vào đây), hộp thoại khác sẽ xuất hiện, người dùng cần phải chọn một tập tin bị nhiễm và một tập tin không bị nhiễm phù hợp nếu có một bản sao lưu sẵn (lớn hơn kích thước tập tin càng tốt).
Bước 5: Hoàn thành giải mã tập tin
Sau khi quét và giải mã quá trình hoàn tất, giao diện sẽ hiển thị các kết quả.
Hình 6. |
Bằng cách nhấp vào xem tập tin mã hóa, công cụ này sẽ mở ra vị trí tập tin được mã hóa hoặc thư mục được chọn để quét. Các tập tin giải mã lúc đó sẽ nằm trong thư mục mở.
Các tên tập tin đã giải mã sẽ giống như các tập tin bị mã hóa trước đó nhưng đã loại bỏ các phần mở rộng nối thêm bởi ransomware.
Đối với những tập tin được mã hóa mà không có sự thay đổi tên, tên tập tin sẽ trở thành {tên file gốc}.{phần mở rộng}.
Bằng cách nhấp vào nút hoàn thành, công cụ trở về giao diện chính. Lặp lại bước 1 và 2 để giải mã nhiều tập tin.
Lưu ý quan trọng về giải mã CryptXXX V3
Do cách mã hóa của crypto-ransomware ngày càng tiên tiến nên sẽ chỉ có một phần dữ liệu được giải trên các tập tin bị ảnh hưởng bởi CryptXXX V3. Sau khi dữ liệu giải mã một phần, người dùng có thể phải sử dụng một công cụ của bên thứ 3 để phục hồi tập tin (chẳng hạn như các chương trình mã nguồn mở JPEGSnoop).
Một ví dụ về điều này sẽ là hình ảnh hoặc tập tin hình ảnh được phục hồi một phần nhưng không phải toàn bộ. Người dùng sau đó sẽ xác định xem các tập tin có đủ quan trọng để sử dụng một công cụ hoặc dịch vụ phục hồi tập tin của bên thứ 3 hay không.
Ảnh gốc trước khi nhiễm mã độc tống tiền CryptXXX V3. |
Ảnh sau khi giải mã một phần. |
Dịch vụ hỗ trợ kỹ thuật của Trend Micro có phần hạn chế trong bất kỳ trợ giúp nào được cung cấp liên quan đến phục hồi tập tin của bên thứ 3.
* Trend Micro không xác nhận đặc biệt cũng như không được liên kết với các dự án JPEGSnoop trong bất kỳ cách thức nào mà chỉ đưa ra một ví dụ về các loại công cụ phục hồi mà người dùng có thể cần.
Cách lấy Tool Logs
Công cụ giải mã ransomware của Trend Micro sẽ trích dẫn chính nó vào thư mục tạm thời sau khi thực hiện là %User%\AppData\Local\Temp\TMRDTSelfExtract\.
Sau khi quét hoàn thành, một thư mục có tên “log” (đăng nhập) sẽ xuất hiện ở vị trí này, trong đó có các bản ghi chi tiết quá trình giải mã với thời gian khác nhau.
Ví dụ về thư mục tạm thời:
Ví dụ về thư mục tạm thời. |
Ví dụ về các bản ghi trong thư mục con:
Ví dụ về các bản ghi trong thư mục con. |
Nguồn: PC World VN