Cách giải mã ransomware InsaneCrypt (Everbe 1.0)

Ransomware InsaneCrypt hay Everbe 1.0 là một họ ransomware dựa trên một dự án nguồn mở. Họ ransomware này được phân phối thông qua việc spam và hack vào Remote Desktop Services, nhưng hiện điều này chưa được xác nhận.

Tin vui là bạn có thể giải mã các biến thể của họ ransomware này miễn phí bằng cách sử dụng bộ giải mã được tạo bởi Michael Gillespie và Maxime Meignan. Để sử dụng bộ giải mã, nạn nhân chỉ cần có một file bị mã hóa và một phiên bản không bị mã hóa của cùng một file. Điều này thường có thể đạt được thông qua các mẫu được cung cấp bởi Windows.

Các biến thể với phần mở rộng sau thì có thể giải mã bằng công cụ này.

Ransomware

.[email].insane
.[email].DEUSCRYPT
.[email].deuscrypt
.[email].Tornado
.[email].twist
.[email].everbe
.[email].embrace
.[email].pain
.[email].volcano

Thật không may, bộ giải mã này sẽ không giải mã các biến thể của họ ransomware Everbe 2.0 vì tính năng mã hóa của phiên bản đó không có điểm yếu nào để khai thác.

Cách giải mã ransomware InsaneCrypt và Everbe 1.0

Việc nhiễm ransomware InsaneCrypt hoặc Everbe 1.0 có thể được xác định bằng cách kiểm tra xem các file có bị mã hóa và đổi tên thành các phần mở rộng .insane, .DEUSCRYPT, .deuscrypt, .Tornado, .twist, .everbe, .pain, .volcano hoặc .embrace hay không.

Để giải mã các file được mã hóa bởi ransomware Everbe, trước tiên cần tải xuống công cụ InsaneCrypt Decryptor tại đây.

Sau khi tải xuống, chỉ cần nhấp đúp vào file thực thi để bắt đầu giải mã và bạn sẽ được chào đón với màn hình chính.

Màn hình chính

Để giải mã, cần nhập một file bị mã hóa và phiên bản chưa bị mã hóa ban đầu của nó. Trước tiên, nhấp vào menu Settings và chọn Bruteforcer. Thao tác này sẽ mở một màn hình trong đó người dùng có thể chọn cả file được mã hóa và phiên bản không được mã hóa của nó như hình bên dưới.

Chọn file

Sau khi chọn xong cả hai file, nhấp vào nút Start để bắt đầu giải mã. Quá trình này có thể mất khá nhiều thời gian vì vậy hãy kiên nhẫn.

Start

Khi kết thúc, công cụ giải mã sẽ cho biết đã tìm thấy key giải mã. Bây giờ hãy nhấp vào nút X để đóng cửa sổ BruteForcer và key sẽ được load vào công cụ giải mã như hình dưới đây.

Cửa sổ BruteForcer

Bây giờ, cần chọn một thư mục để giải mã. Nếu muốn giải mã toàn bộ ổ đĩa, chỉ cần chọn chính tên ổ đĩa đó. Ví dụ, trong hình ảnh bên dưới, tác giả đã chọn ổ C:\.

Giải mã ổ đĩa

Khi sẵn sàng, nhấp vào nút Decrypt để bắt đầu giải mã các file bị mã hóa bởi ransomware Everbe. Sau khi nhấp vào nút Decrypt, chương trình sẽ giải mã tất cả các file bị mã hóa và hiển thị trạng thái giải mã trong cửa sổ.

Nút Decrypt

Khi kết thúc, công cụ giải mã sẽ hiển thị một bản tóm tắt về số lượng file đã được giải mã. Nếu một số file bị bỏ qua, đó có thể là do quyền đối với các file đó.

Báo cáo

Mặc dù các file hiện đã được giải mã, các file bị mã hóa ban đầu vẫn sẽ nằm trên máy tính. Khi xác nhận rằng các file của mình đã được giải mã chính xác, bạn có thể sử dụng CryptoSearch để di chuyển tất cả các file bị mã hóa bởi ransomware vào một thư mục để có thể xóa hoặc lưu trữ chúng.

Bây giờ bạn có thể đóng công cụ giải mã và sử dụng máy tính như bình thường. Nếu cần trợ giúp khi sử dụng bộ giải mã này, vui lòng để lại nhận xét trong phần bình luận bên dưới!

Chúc bạn thành công!

Xem thêm:

Thứ Năm, 03/01/2019 15:49
52 👨 444
0 Bình luận
Sắp xếp theo
    ❖ Diệt Virus - Spyware