Hướng dẫn này cung cấp cách tải về và sử dụng các công cụ giải mã ransomware mới nhất của Trend Micro để giải mã các tập tin bị mã hóa bởi các chủng ransomware nhất định.
Cách tốt nhất chống lại ransomware là ngăn chặn nó xâm nhập đến hệ thống của bạn. Nhưng mỗi ngày hacker lại thay đổi phương pháp và chiến thuật để cho ra đời các chủng ransomware mới có thể làm các phiên bản công cụ giải mã trước đây lỗi thời. Do đó, bạn nên luyện tập thói quen bảo mật an toàn với các lưu ý sau:
- Hãy chắc chắn rằng bạn luôn sử dụng điện toán đám mây để sao lưu dữ liệu quan trọng nhất của mình.
- Hãy đảm bảo rằng bạn luôn áp dụng các bản cập nhật quan trọng mới nhất và bản vá lỗi cho hệ điều hành hệ thống cũng như phần mềm quan trọng khác (ví dụ như các trình duyệt).
- Hãy cài đặt phiên bản mới nhất và áp dụng các cấu hình tốt nhất của các giải pháp bảo mật tối ưu.
Để biết thêm thông tin chi tiết về ransomware và cách phòng chống tốt nhất, người dùng có thể tham khảo:
- Khách hàng cá nhân:
http://esupport.trendmicro.com/en-us/home/pages/technical-support/1099580.aspx
- Khách hàng doanh nghiệp:
http://esupport.trendmicro.com/solution/en-US/1112223.aspx
Thông tin chi tiết
Hỗ trợ giải mã các chủng ransomware sau đây:
Danh sách sau đây mô tả các ransomware mã hóa các loại tập tin sẽ được xử lý bởi các phiên bản mới nhất của công cụ.
Ransomware | Tên tập tin và phần mở rộng |
CryptXXX V1, V2, V3* | {tên file gốc}.crypt |
TeslaCrypt V1** | {tên file gốc}.ECC |
TeslaCrypt V2** | {tên file gốc}.VVV, CCC, ZZZ, AAA, ABC, XYZ |
TeslaCrypt V3 | {tên file gốc}.XXX hoặc TTT hoặc MP3 hoặc MICRO |
TeslaCrypt V4 | Tên file và phần mở rộng không thay đổi |
SNSLocker | {tên file gốc}.RSNSLocked |
AutoLocky | {tên file gốc}.locky |
* CryptXXX V3 sau khi giải mã có thể không phục hồi toàn bộ tập tin (xem phần Lưu ý quan trọng về giải mã CryptXXX V3 dưới đây).
** Sử dụng công cụ TeslacryptDecryptor 1.0.xxxx riêng biệt dưới đây cho các tập tin TeslaCrypt V1 và V2. Cả hai công cụ này đều hỗ trợ V3 và V4.
Tải và sử dụng bộ công cụ
- Nhấp vào nút tải RansomwareFileDecryptor, TeslacryptDecryptor để có được phiên bản mới nhất của công cụ Trend Micro Ransomware File Decryptor. Giải nén và sau đó khởi động RansomwareFileDecryptor hoặc TeslacryptDecryptor.exe.
- Sau khi tải về, sẽ được yêu cầu chấp nhận thỏa thuận cấp phép người dùng (EULA) để tiến hành.
- Sau khi chấp nhận EULA, công cụ này sẽ tiến hành các giao diện người dùng chính (UI). Từ đây, người dùng sẽ được hướng dẫn từng bước để thực hiện việc giải mã tập tin.
Các bước chi tiết
Bước 1: Chọn tên ransomware
Hầu hết các ransomware thường bao gồm một tập tin văn bản hoặc tập tin html để thông báo cho người dùng rằng hệ thống của bạn đã bị nhiễm bởi một loại ransomware. Sử dụng thông tin này, người dùng bị ảnh hưởng có thể chọn tên ransomware tình nghi để giải mã tập tin. Người dùng gặp khó khăn trong việc xác định các loại ransomware nên liên hệ với dịch vụ hỗ trợ kỹ thuật của Trend Micro để hỗ trợ thêm.
Bước 2: Chọn tập tin được mã hóa hoặc thư mục
Công cụ này có thể giải mã một tập tin duy nhất hoặc tất cả các tập tin chứa trong một thư mục bằng cách sử dụng chế độ đệ quy. Bằng cách nhấp vào “Chọn & Giải mã”, bạn hãy chọn một thư mục hoặc một tập tin và nhấn OK để bắt đầu quá trình giải mã.
Bước 3: Bắt đầu giải mã các tập tin
Sau khi tập tin hoặc thư mục được lựa chọn, công cụ sẽ bắt đầu quét và giải mã tập tin tự động.
Nếu mục tiêu quét là một thư mục, công cụ này sẽ thu thập một số thông tin từ thư mục đích để nhận dạng các tập tin cần phải được giải mã. Trong quá trình quét, giao diện người dùng sẽ được cập nhật để chỉ ra bao nhiêu tập tin được mã hóa và số lượng các tập tin đã được giải mã.
Công cụ này có thể giải mã một số loại ransomware mã hóa tập tin (ví dụ như TeslaCrypt) một cách nhanh chóng. Tuy nhiên, các loại tập tin khác (như CryptXXX) có thể mất nhiều thời gian hơn. Thời gian tổng thể phụ thuộc vào số lượng tập tin nằm trong thư mục.
Nếu bạn nhấp nút dừng, quá trình này sẽ bị gián đoạn.
Bước 4: Giải mã CyptXXX V1 (tùy chọn)
Nếu công cụ nhận dạng tập tin được mã hóa bởi CryptXXX V1, nó sẽ yêu cầu người dùng cung cấp thêm thông tin để tiến hành giải mã chi tiết.
Sau khi chọn “click here” (bấm vào đây), hộp thoại khác sẽ xuất hiện, người dùng cần phải chọn một tập tin bị nhiễm và một tập tin không bị nhiễm phù hợp nếu có một bản sao lưu sẵn (lớn hơn kích thước tập tin càng tốt).
Bước 5: Hoàn thành giải mã tập tin
Sau khi quét và giải mã quá trình hoàn tất, giao diện sẽ hiển thị các kết quả.
Bằng cách nhấp vào xem tập tin mã hóa, công cụ này sẽ mở ra vị trí tập tin được mã hóa hoặc thư mục được chọn để quét. Các tập tin giải mã lúc đó sẽ nằm trong thư mục mở.
Các tên tập tin giải mã sẽ giống như các tập tin được mã hóa trước đó nhưng đã loại bỏ các phần mở rộng nối thêm bởi ransomware.
Đối với những tập tin được mã hóa mà không có sự thay đổi tên, tên tập tin sẽ trở thành {tên file gốc}.{phần mở rộng}.
Bằng cách nhấp vào nút hoàn thành, công cụ trở về giao diện chính. Lặp lại bước 1 và 2 để giải mã nhiều tập tin.
Lưu ý quan trọng về giải mã CryptXXX V3
Do mã hóa ngày càng tiên tiến của crypto-ransomware, nên sẽ chỉ có một phần dữ liệu được giải trên các tập tin bị ảnh hưởng bởi CryptXXX V3. Sau khi dữ liệu giải mã một phần, người dùng có thể phải sử dụng một công cụ của bên thứ 3 để phục hồi tập tin (chẳng hạn như các chương trình mã nguồn mở JPEGSnoop*).
Một ví dụ về điều này sẽ là hình ảnh hoặc tập tin hình ảnh được phục hồi một phần nhưng không phải toàn bộ. Người dùng sau đó sẽ xác định xem các tập tin có đủ quan trọng để sử dụng một công cụ hoặc dịch vụ phục hồi tập tin của bên thứ 3 hay không.
Ảnh gốc (trước khi chưa nhiễm CryptXXX V3)
Ảnh sau khi giải mã một phần
Dịch vụ hỗ trợ kỹ thuật của Trend Micro có phần hạn chế trong bất kỳ trợ giúp nào được cung cấp liên quan đến phục hồi tập tin của bên thứ 3.
* Trend Micro không xác nhận đặc biệt cũng như không được liên kết với các dự án JPEGSnoop trong bất kỳ cách thức nào mà chỉ đưa ra một ví dụ về các loại công cụ phục hồi mà người dùng có thể cần.
Cách lấy Tool Logs
Công cụ giải mã ransomware của Trend Micro sẽ trích dẫn chính nó vào thư mục tạm thời sau khi thực hiện:
%User%\AppData\Local\Temp\TMRDTSelfExtract\
Sau khi quét hoàn thành, một thư mục có tên “log” (đăng nhập) sẽ xuất hiện ở vị trí này, trong đó có các bản ghi chi tiết quá trình giải mã với thời gian khác nhau.
Ví dụ về thư mục tạm thời:
Ví dụ về các bản ghi trong thư mục con
Video hướng dẫn
Trend Micro đã tạo ra một mô-đun máy tính CBT cho khách hàng với video hướng dẫn về cách làm thế nào để chạy công cụ. Vào địa chỉ: http://esupport.trendmicro.com/solution/en-us/1114221.aspx để xem các mô-đun.
Ghi chú và hạn chế
- Công cụ giải mã TeslaCrypt V1, V2 hiện đang nằm trong một gói riêng.
- Công cụ giải mã CryptXXX V2, V3 không hỗ trợ các tập tin văn bản đơn giản.
- Công cụ giải mã CryptXXX V3 không hỗ trợ tập tin lưu trữ hoặc giải mã tập tin kích thước lớn hơn 13MB.
Lưu ý quan trọng: Tập tin được mã hóa bởi CryptXXX V3 không thể được phục hồi hoàn toàn 100%, vui lòng xem các ghi chú trên dưới về CryptXXX V3.
Nộp xác minh và kiểm tra
RansomwareFileDecryptor
RansomwareFileDecryptor 1.0.1569 MUI.exe được đăng tải ngày 3/6/2016 lúc 15:30 GMT
MD5: fa35e8a1ded9055ad9322f1bc4aa1666
SHA-256: c30b84fe15ffeb97620e0c529ea63c8e67be0d9ae5e54bcee4f4a0062e1f396b
TeslacryptDecryptor
TeslacryptDecryptor 1.0.1569 MUI.exe được đăng tải ngày 3/6/2016 lúc 15:30 GMT
MD5: 2d66d6b03591ca56f48552421c0d14cd
SHA-256: e201dc39113e1efb236c26b6a6c9c0a01de2f25a818a068c05423310e07b5ae6
NHƯ QUỲNH