Mới đây, một bộ giải mã cho mã độc tống tiền LooCipher đã được công ty bảo mật Emsisoft phát hành chính thức, cho phép nạn nhân của ransomware này có thể giải mã các tệp của mình hoàn toàn miễn phí. Nếu máy tính của bạn hoặc công ty bạn đang bị nhiễm LooCipher, đừng vội trả tiền chuộc mà thay vào đó, hãy làm theo các bước hướng dẫn trong bài này.
Nếu bạn chưa biết, LooCipher được lây nhiễm và cài đặt trên hệ thống của nạn nhân thông qua các tài liệu Word độc hại, có thể tải xuống tệp thực thi chứa mã độc và chạy tệp đó trong hệ thống. Sau khi được thực thi, ransomware sẽ ngay lập tức mã hóa toàn bộ dữ liệu trên máy tính của nạn nhân, đồng thời nối phần đuôi mở rộng .lcphr vào tên của tất cả các tệp đã bị mã hóa.
Sau đó, mã độc tống tiền này sẽ tự động cho hiển thị màn hình desktop mới với nội dung chính là hình ảnh Bộ giải mã LooCipher (LooCipher Decryptor) có chứa bộ đếm ngược cho đến khi key của bạn bị xóa, cũng như một nút bấm để kiểm tra xem khoản thanh toán tiền chuộc đã được thực hiện hay chưa.
Thông điệp của mã độc LooCipher
Nếu máy tính của bạn gặp phải toàn bộ hiện tượng nêu trên, hãy làm theo hướng dẫn dưới đây để lấy lại các tệp đã bị mã hóa mà không tốn một xu nào.
Giải mã ransomware LooCipher
Nếu máy tính của bạn đã bị nhiễm LooCipher và vẫn còn chứa nguyên vẹn các tệp đã bị nó mã hóa, chỉ cần tải xuống chương trình decrypt_LooCodes.exe từ liên kết: https://www.emsisoft.com/decrypter/loocipher. Sau đó lưu chương trình này ngay trên desktop. Bộ giải mã này được phát triển bởi chuyên gia bảo mật nổi tiếng Michael Gillespie, với sự hỗ trợ từ một nhà nghiên cứu tình báo mạng giàu kinh nghiệm khác là Francesco Muroni.
Bộ giải mã không yêu cầu chương trình LooCipher.exe phải cùng hoạt động trong khi giải mã tệp, do đó, nếu thấy chương trình này đang chạy ngầm, bạn nên chấm dứt tiến trình và xóa tệp sau khi đã cài đặt xong để tránh gặp lỗi.
Sau khi download thành công decrypt_LooCodes.exe về máy, bạn hãy chạy chương trình này với các đặc quyền quản trị để giải mã tất cả các tệp đã bị LooCipher mã hóa trên hệ thống. Bấm chọn đồng ý với thỏa thuận cấp phép và bạn sẽ được chuyển đến màn hình bruteforcer. Tại đây, chương trình sẽ yêu cầu bạn chọn một tệp đã bị mã hóa và cùng một tệp tương tự ở dạng không mã hóa, như hình minh họa dưới đây.
Chọn cặp tệp mẫu để chuẩn bị quá trình lấy key giải mã
Nếu bạn không chọn được cặp tệp đã bị mã hóa/không mã hóa như trên, tốt nhất nên sử dụng một vài hình ảnh mẫu được lưu trữ trong thư mục C:\Users\Public\Pictures\Sample Pictures folder. Những hình ảnh này thường bị ransomware mã hóa khi nó lây lan trên hệ thống, tuy nhiên phiên bản không bị mã hóa cũng có thể dễ dàng “mượn tạm” được từ một máy tính khác, bởi gần như thiết bị windows nào cũng có chứa những hình ảnh này.
Trọng trường hợp bạn không thể “mượn” được những hình ảnh trên, có thể download kho lưu trữ các hình ảnh mẫu của Windows 7 tại đây: https://doad.bleepingcomputer.com/public-sample-pictures/sample-pics.zip.
Sau khi đã chọn xong các tệp theo yêu cầu, bạn nhấp vào nút Start để bắt đầu quá trình lấy key giải mã. Quá trình này có thể mất một chút thời gian, hãy kiên nhẫn chờ đợi.
Quá trình lấy key giải mã LooCipher ransomware
Khi một key giải mã đã được tìm thấy, chương trình sẽ hiển thị key giải mã này trong một cảnh báo nhỏ như hình minh họa bên dưới.
Thông báo đã tìm thấy key giải mã
Bạn nhấp vào nút OK và bộ giải mã sẽ khởi động lại cùng với key giải mã đã được load sẵn.
Màn hình giải mã chính
Sau khi khởi động lại, bộ giải mã đã sẵn sàng để bắt tay vào nhiệm vụ chính. Hãy nhấp vào nút Decrypt để bắt đầu quá trình giải mã cục bộ trên hệ thống. Bộ giải mã sẽ tự động tìm kiếm các tệp đã bị ransomware mã hóa đang được lưu trữ trên hệ thống (sở hữu phần đuôi mở rộng .lcphr) và ngay lập tức giải mã chúng.
Danh sách giải mã tập tin
Sau khi quá trình giải mã hoàn tất, tab Results sẽ chuyển sang trạng thái Finished, và tất cả các tệp của bạn sẽ giờ đã được giải mã thành công.
Trên đây là toàn bộ quá trình giải mã ransomware LooCipher, chúc các bạn thành công!