Trước tình hình đó hãng Bitdefender vừa công bố Tool giải mã GandCrab Version 5.2. Đây là Version mới nhất có thể giải mã các phiên bản từ trước đến giờ của Ransomware GandCrab.

Phiên bản Ransomware GandCrab được giải mã

Tin vui với người dùng máy tính là nạn nhân của GandCrab, công cụ giải mã mới phát hành bởi BitDefender, giờ đây có thể mở khóa các file được mã hóa bởi các phiên bản mới nhất của Ransomware GandCrab v5.2, cũng như cho các phiên bản ransomware GandCrab cũ hơn. Phiên bản cập nhật của công cụ giải mã ransomware GandCrab có thể cho phép hàng triệu người dùng bị ảnh hưởng mở khóa miễn phí các tệp được mã hóa của họ mà không phải trả tiền chuộc cho tội phạm mạng.

Danh sách liệt kê dưới đây bao gồm các biến thể của Ransomware GandCrab có thể giải mã được. Bạn cần xác định chính xác đuôi mở rộng của tập tin để biết mình bị mã hóa ở Version nào.

Lưu ý khi sử dụng Tool giải mã Virus Ransomware GANDCRAB

Máy tính bị nhiễm Virus phải kết nối Intenet. Các máy chủ giải mã sẽ cố gắng trả lời ID đã gửi bằng khóa riêng RSA-2048 có thể hợp lệ. Chỉ khi bước này thành công, quá trình giải mã Ransomware GandCrab sẽ tiếp tục.

Thông báo tiền chuộc. Để giải pháp khôi phục này hoạt động, bạn phải có ít nhất (1) bản sao thông báo về tiền chuộc trên PC. Lưu ý tiền chuộc là cần thiết để khôi phục khóa giải mã, vì nó dùng để tính toán khóa giải mã duy nhất cho dữ liệu của bạn. Bạn không được chạy tiện ích dọn dẹp để phát hiện và xóa ghi chú tiền chuộc trước khi thực hiện công cụ này.

Cách giải mã Virus tống tiền Ransomware GandCrab 5.2

Bước 1: Tải xuống công cụ giải mã Ransomware GandCrab về máy tính.Lưu ý rằng công cụ này yêu cầu kết nối internet hoạt động. Không có Internet, quá trình giải mã sẽ không tiếp tục.

Bước 2: Chạy BDGandCrabDecryptor.exe.

Bước 3: Đồng ý với các điều khoản và điều kiện.

Bước 4: Chọn “Scan Entire System” nếu bạn muốn tìm kiếm tất cả các dữ liệu bị mã hóa. Hoặc chỉ cần thêm đường dẫn đến tập tin bị mã hóa. Bạn nên chọn “Backup files”. Sau đó chọn Scan.

Bất kể bạn có chọn Backup File hay không, công cụ giải mã sẽ cố gắng giải mã 05 file đầu tiên trong đường dẫn được cung cấp và sẽ KHÔNG tiếp tục nếu quá trình giải mã không thành công.

Bước 5: Bây giờ, dữ liệu đã  được giải mã. Nếu bạn đã chọn tùy chọn Backup File, bạn sẽ thấy cả file bị mã hóa và file được giải mã. Bạn nên xác thực lại các dữ liệu giải mã có mở được không, bằng cách mở dữ liệu lên.

Ngoài ra, bạn có thể tham khảo các Tool giải mã của các Ransomeware khác tại:  https://www.nomoreransom.org/en/decryption-tools.html

Câu hỏi thường gặp

Tôi có thể giải mã các phiên bản GandCrab nào?

Công cụ giải mã của Bitdefender hỗ trợ giải mã các phiên bản GandCrab từ v1 đến v5.2. Hãy kiểm tra đuôi file bị mã hóa để xác định phiên bản chính xác.

Công cụ giải mã cần điều kiện gì để hoạt động?

Máy tính của bạn cần kết nối internet và bạn cần giữ lại ít nhất một bản sao của thông báo tống tiền. Việc xóa thông báo này trước khi sử dụng công cụ có thể làm ảnh hưởng đến quá trình giải mã.

Nếu quá trình giải mã không thành công thì sao?

Công cụ sẽ cố gắng giải mã 5 file đầu tiên. Nếu không thành công, hãy kiểm tra kết nối internet và đảm bảo bạn đã giữ lại thông báo tống tiền. Bạn cũng có thể tham khảo thêm các công cụ giải mã khác tại https://www.nomoreransom.org/en/decryption-tools.html.

Sự xuất hiện của Ransomware, cũng tạo nên một trào lưu Troll người khác. Làm họ tưởng máy tính của mình bị virus và mã hóa hết dữ liệu. Trước đây AnonyViet có giới thiệu với các bạn một số Tool Troll trên máy tính cực shock.

Hôm nay mình sẽ giới thiệu với các bạn một vài dòng Code HTML và CSS để tạo ra file .hta. Bạn có thể tạo ra giao diện giả mạo đòi tiện chuộc của Ransomware. Có thể thoạt đầu nạn nhân sẽ hết hồn vì tưởng mình bị dính virus.

File .hta là gì?

hta viết tắt của HTML Application (Ứng dụng HTML) là sự kết hợp giữa HTML và Application. Với ngôn ngữ .hta bạn hoàn toàn có thể kết hợp code HTML và Visual Basic để tạo ra một ứng dụng đơn giản.

Để viết HTAs, bạn nên biết một ít code về VB6, chính xác là code củaVBS; phần lớn 2 ngôn ngữ nầy là tương đồng, chỉ thay đổi một số cách viết hàm. Khi viết code, nếu bạn lưu dưới đuôi file là *.VBS thì đấy là VBS, còn lưu dưới đuôi *.HTA thì đấy là HTAs.

Một file HTA thông thường có 2 phần: phần HT + phần A. (Không bắt buộc phải có cả 2)
* Phần HTML: Viết code có cấu trúc tương tự như viết html, vd: <body>..</body>
* Phần App: Code như VBS

Khi ta click double vào file HTA, (chậm một chút) mshta.exe sẽ đọc và biên dịch cho ta một ứng dụng có đủ (vài thứ) các control trên giao diện đồ họa, các control nầy hoạt động giao tiếp như các phần mềm khác…

File hta được chạy bởi mshta.exe (một chương trình biên dịch của Windows).

Cách viết file .hta

Chỉ cần mở notepad lên và viết, rất đơn giản phải không?

Vì nó là con lai giữa HTML và VBS. Nên bạn hoàn toàn có thể sử dụng công cụ có sẵn trên Windows để biên soạn code.

Cách tạo giao diện Troll Ransomeware

Như đã đề cập ở trên, mình sẽ share code html để bạn tạo ra 1 giao diện troll giống như đang bị tống tiền. Code này là vô hại, các bạn cứ yên tâm nhé.

Hãy mở Notepad lên, copy đoạn code dưới đây vào. Và save thành file “virus.hta”, nhớ chỉnh encoding: UTF-8

Hoặc DOWNLOAD mã nguồn ở đây

Download

<html>
<SCRIPT LANGUAGE="VBScript">
    Sub UngDung
	On Error Resume Next
       Set colItems = GetObject("winmgmts:\root\CIMV2").ExecQuery("SELECT * FROM Win32_Processor")
   For Each objItem In colItems
      a = a & vbCr & "AddressWidth: " & objItem.AddressWidth
      a = a & vbCr & "Architecture: " & objItem.Architecture
      a = a & vbCr & "Availability: " & objItem.Availability
      a = a & vbCr & "Caption: " & objItem.Caption
      a = a & vbCr & "ConfigManagerErrorCode: " & objItem.ConfigManagerErrorCode
      a = a & vbCr & "ConfigManagerUserConfig: " & objItem.ConfigManagerUserConfig
      a = a & vbCr & "CpuStatus: " & objItem.CpuStatus
      a = a & vbCr & "CreationClassName: " & objItem.CreationClassName
      a = a & vbCr & "CurrentClockSpeed: " & objItem.CurrentClockSpeed
      a = a & vbCr & "CurrentVoltage: " & objItem.CurrentVoltage
      a = a & vbCr & "DataWidth: " & objItem.DataWidth
      a = a & vbCr & "Description: " & objItem.Description
      a = a & vbCr & "DeviceID: " & objItem.DeviceID
      a = a & vbCr & "ErrorCleared: " & objItem.ErrorCleared
      a = a & vbCr & "ErrorDescription: " & objItem.ErrorDescription
      a = a & vbCr & "ExtClock: " & objItem.ExtClock
      a = a & vbCr & "Family: " & objItem.Family
      a = a & vbCr & "L2CacheSize: " & objItem.L2CacheSize
      a = a & vbCr & "L2CacheSpeed: " & objItem.L2CacheSpeed
      a = a & vbCr & "LastErrorCode: " & objItem.LastErrorCode
      a = a & vbCr & "Level: " & objItem.Level
      a = a & vbCr & "LoadPercentage: " & objItem.LoadPercentage
      a = a & vbCr & "Manufacturer: " & objItem.Manufacturer
      a = a & vbCr & "MaxClockSpeed: " & objItem.MaxClockSpeed
      a = a & vbCr & "Name: " & objItem.Name
      a = a & vbCr & "OtherFamilyDescription: " & objItem.OtherFamilyDescription
      a = a & vbCr & "PNPDeviceID: " & objItem.PNPDeviceID
      a = a & vbCr & "PowerManagementCapabilities: " & strPowerManagementCapabilities
      a = a & vbCr & "PowerManagementSupported: " & objItem.PowerManagementSupported
      a = a & vbCr & "ProcessorId: " & objItem.ProcessorId
      a = a & vbCr & "ProcessorType: " & objItem.ProcessorType
      a = a & vbCr & "Revision: " & objItem.Revision
      a = a & vbCr & "Role: " & objItem.Role
      a = a & vbCr & "SocketDesignation: " & objItem.SocketDesignation
      a = a & vbCr & "Status: " & objItem.Status
      a = a & vbCr & "StatusInfo: " & objItem.StatusInfo
      a = a & vbCr & "Stepping: " & objItem.Stepping
      a = a & vbCr & "SystemCreationClassName: " & objItem.SystemCreationClassName
      a = a & vbCr & "SystemName: " & objItem.SystemName
      a = a & vbCr & "UniqueId: " & objItem.UniqueId
      a = a & vbCr & "UpgradeMethod: " & objItem.UpgradeMethod
      a = a & vbCr & "Version: " & objItem.Version
      a = a & vbCr & "VoltageCaps: " & objItem.VoltageCaps
   Next
	ScriptArea.Value= a
    End Sub
</SCRIPT>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
	<title>AnonyViet</title>
	<HTA:APPLICATION ID="MyHTAId" APPLICATIONNAME="MyHTA" BORDER="DIALOG" MAXIMIZEBUTTON="NO" SCROLLFLAT="YES" CAPTION="YES" SELECTION="NO" INNERBORDER="NO" ICON="" SCROLL="NO" SHOWINTASKBAR="YES" SINGLEINSTANCE="YES" SYSMENU="YES" WINDOWSTATE="NORMAL" />
</head>

<script language=javascript>
	var winWidth=1024;
	var winHeight = 920;
	window.resizeTo(winWidth, winHeight);
	var winPosX=screen.width/2-winWidth/2;
	var winPosY=screen.height/2-winHeight/2;
	window.moveTo(winPosX, winPosY);
</script>

<style type='text/css'>
	body{font:14px Tahoma, sans-serif;margin: 13px;line-height: 20px;background: #EDEDED;}
	.bold{font-weight: bold;}
	.mark{background: #D0D0E8;padding: 2px 5px;}
	.header{text-align: center;font-size: 25px;line-height: 40px;font-weight: bold;margin-bottom:20px;}
	.info{background: #D0D0E8;border-left: 10px solid #00008B;}
	.private{border: 1px dashed #000;background: #FFFFEF;}
	.note{height: auto;padding-bottom: 1px;margin: 15px 0;}
	.note .title{font-weight: bold;text-indent: 10px;height: 25px;line-height: 30px;padding-top: 10px;}
	.note ul{margin-top: 0;}
</style>

<body>
	<div class='header'>
		<div>Tất cả dữ liệu của bạn đã bị mã hóa</div>
	</div>
	<div class='bold'>Các tài liệu, ảnh, cơ sở dữ liệu của bạn và các tập tin quan trọng khác đã được mã hóa, khôi phục lại dữ liệu là điều không thể. Các tài liệu, ảnh, cơ sở dữ liệu của bạn và các tệp quan trọng khác đã được mã hóa mật mã rất nhiều, không thể khôi phục mà không có chìa khóa gốc! Để giải mã các tập tin của bạn, bạn cần phải mua một chương trình đặc biệt - AnonyViet DECRYPTER. Việc sử dụng các công cụ khác có thể làm hỏng các file của bạn. Nếu bạn muốn khôi phục dữ liệu mã hóa, hãy gửi email cho chúng tôi <span class='mark'>anonyviet.com@gmail.com</span>
	</div>
	<div>Bạn sẽ phải chi trả bằng Bitcoins cho việc giải mã dữ liệu. Giá cả phụ thuộc vào thời gian bạn gửi email cho chúng tôi. Sau khi thanh toán, chúng tôi sẽ gửi cho bạn công cụ giải mã sẽ giải mã tất cả các tệp của bạn.</div>
	<div class='note info'>
		<div class='title'>Giải mã miễn phí 3 files</div>
		<ul>Trước khi thanh toán, bạn có thể gửi cho chúng tôi tối đa 3 tệp để giải mã miễn phí. Tổng kích thước tệp phải dưới 1MB (không nén) và tệp không được chứa thông tin có giá trị. (database,backup, excel ...)</ul>
	</div>
	<div class='note info'>
		<div class='title'>Làm thế nào để có được bitcoin</div>
		<ul>Cách dễ nhất để mua bitcoins là trang web LocalBitcoins. Bạn phải đăng ký, bấm vào 'Mua bitcoins', và chọn người bán theo phương thức thanh toán và giá cả.
			<br><a href='https://localbitcoins.com/buy_bitcoins'>https://localbitcoins.com/buy_bitcoins</a>
			<br>Ngoài ra bạn có thể tìm thấy những nơi khác để mua Bitcoins ở đây:
			<br><a href='http://www.coindesk.com/information/how-can-i-buy-bitcoins/'>http://www.coindesk.com/information/how-can-i-buy-bitcoins/</a>
		</ul>
	</div>
	<div class='note'>
		<div class='title'>Copy đoạn mã dưới đây và gửi kèm theo Bitcoin</div>
	</div>
	</div>
	<center>
		<textarea name="ScriptArea" rows=12 cols=80></textarea><p>
    <input id=runbutton  type="button" value="Lấy thông tin" onClick="UngDung">
    </center>
</body>

Phân tích Code Troll Ransomware

Đoạn <SCRIPT LANGUAGE=”VBScript”> đây là phần Application mình đề cập ở trên.

Đoạn từ <head> trở về cuối cùng chỉ là mã html và css đơn thuần.

Và tất nhiên đây chỉ là một giao diện hù dọa. Khi người dùng click vào nút Lấy thông tin, code VBS sẽ khởi chạy, và sẽ show ra thôn tin CPU của bạn.

Nếu bạn nghiên cứu thêm về code VBS, bạn có thể làm cho Code troll này trở thành một con virus thật sự. Nhưng mình không khuyến khích điều đó, chỉ nên dùng kiến thức vào việc có ích nhé.