Mặc dù đúng là việc bảo vệ thông tin liên lạc là rất quan trọng, nhưng trong thời đại kỹ thuật số mà chúng ta tự nhận thấy, điều quan trọng hơn là phải biết cách giải mã các tập tin. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách làm điều đó một cách chính xác.
Giải mã tệp
Giải mã tệp có nghĩa là tiết lộ nội dung của thư có dữ liệu bị ẩn. Về phần mình, thủ tục sửa đổi dữ liệu hoặc văn bản của một tin nhắn, đến mức ẩn nó, được gọi là mã hóa.
Mã hóa hoặc mã hóa một tệp yêu cầu sử dụng các thuật toán toán học. Bằng cách này, chỉ cần biết thuật toán giải mã mới có thể khôi phục được nội dung của tệp đã nói. Theo cách tương tự, cần phải thừa nhận rằng hầu hết tất cả các tin nhắn được gửi qua internet đều được mã hóa, điều này nhằm mục đích làm cho giao tiếp an toàn hơn.
Về vấn đề này, điều quan trọng cần làm rõ là đôi khi thuật toán mã hóa sử dụng cùng một khóa để vừa mã hóa vừa giải mã. Trong khi vào những dịp khác, cả hai đều khác nhau. Điều này dẫn đến một số cách để giải mã tệp, bao gồm cả khả năng cần giải mã các tập tin bằng vi rút.
Về cơ bản, để giải mã lôgarit của khóa đối xứng, nghĩa là một khóa khớp với cả hai quy trình (mã hóa và giải mã), điều bạn phải làm là thử khóa này đến khóa khác cho đến khi bạn tìm thấy khóa chính xác. Trong trường hợp thuật toán khóa bất đối xứng, được tạo thành từ khóa công khai và khóa riêng tư, điều bắt buộc là phải có được thông tin bí mật được chia sẻ giữa hai bên.
Nói cách khác, lấy được khóa để truy cập thông tin được mã hóa bằng thuật toán khóa bất đối xứng có nghĩa là khóa riêng có thể được lấy từ khóa đã được xuất bản. Điều này đòi hỏi phải sử dụng các phép tính toán học phức tạp.
Dù bằng cách nào, việc phá vỡ một thuật toán mã hóa bằng cách tìm kiếm khóa theo cách thủ công được gọi là một cuộc tấn công vũ phu.
Cuối cùng, phải nói rằng thời gian đầu tư cho việc giải mã một tệp tin thay đổi tùy thuộc vào độ khó của khóa, nghĩa là độ dài của các thừa số nguyên tố được sử dụng trong quá trình mã hóa. Ngoài ra, khả năng xử lý của máy tính đang sử dụng cũng có ảnh hưởng.
Bằng cách này, có thể trong một số trường hợp, chúng tôi có thể giải mã một tệp trong vài phút, và trong những trường hợp khác, quá trình này mất vài giờ và thậm chí vài ngày hoặc vài tháng. Trong trường hợp xấu nhất, sẽ không thể giải mã các tệp theo bất kỳ cách nào.
Làm thế nào để giải mã các tập tin bằng virus?
Hiện tại, có nhiều ứng dụng độc hại có khả năng chặn các tài liệu của chúng tôi bằng cách mã hóa các thư có trong chúng. Đặc điểm chính của loại virus này, được gọi là ransonware, là tin tặc hoặc tội phạm mạng yêu cầu thanh toán một số tiền, như một khoản tiền chuộc để đổi lấy việc khôi phục nội dung bị tấn công.
Mặt khác, cần phải đề cập rằng kiểu tấn công máy tính này là một trong những loại nguy hiểm nhất. Bởi vì, để đạt được sứ mệnh của mình, vi-rút thực hiện mã hóa rất phức tạp, đối với cả tệp hệ thống và tệp của người dùng. Do loại mã hóa được sử dụng khác nhau đối với từng loại ransonware, nên có nhiều biến thể lây nhiễm, khiến quá trình khôi phục tệp trở nên khó khăn.
Nếu bạn muốn biết thêm về ransomware là gì, tôi mời bạn đọc bài viết của chúng tôi về các loại vi rút máy tính có thể làm hỏng thiết bị của bạn.
Chắc chắn, ở đó bạn sẽ tìm thấy thông tin hữu ích để bảo vệ bạn khỏi bất kỳ loại nhiễm vi rút nào. Tương tự, để bổ sung, bạn có thể đọc bài viết trên tiêu chuẩn bảo mật máy tính.
Chính vì sự khó khăn này, một số người đã đồng ý nộp tiền chuộc. Tuy nhiên, nó không được khuyến khích. Đặc biệt là vì không có gì đảm bảo rằng ngay cả khi thanh toán số tiền được yêu cầu, tội phạm mạng sẽ khôi phục thông tin. Ngoài ra, việc trả tiền sẽ hỗ trợ và củng cố loại tội phạm này.
Bây giờ, sau khi đã nói ở trên, đã đến lúc trình bày một số công cụ được sử dụng để giải mã các tập tin bằng vi rút.
Giải mã các tệp bị Locky khóa
Locky là một loại virus rất quan trọng và phổ biến. Nó được truyền qua các e-mail chứa các tệp kiểu .doc và .xls, được thực thi bởi người nhận mà không có bất kỳ hình thức đề phòng nào.
Bước đầu tiên là tải xuống và cài đặt chương trình Emsisoft Decrypter AutoLocky, một công cụ dễ sử dụng dành riêng cho việc giải mã các tài liệu bị Locky khóa. Có nghĩa là, với chương trình này, có thể giải mã bất kỳ tài liệu nào có phần mở rộng này, đưa nó về trạng thái ban đầu.
Vì vậy, ưu điểm chính của phần mềm này là sau khi khôi phục tài liệu, chúng có thể được mở từ chương trình tương ứng mà không bị mất thông tin.
Sau khi ứng dụng được tải xuống và đã chấp nhận các điều khoản của nó, bước tiếp theo là chạy nó. Để làm điều này, cần phải nhấp vào tên của tệp decrypt_autolocky.exe.
Khi bắt đầu cài đặt, chúng ta phải cho phép thực thi nó, nhấp vào tùy chọn Yes.
Chương trình sẽ tự động cố gắng lấy khóa giải mã. Khi việc này được thực hiện xong, một thông báo sẽ xuất hiện trên màn hình thông báo cho chúng tôi về phát hiện và đề xuất rằng chúng tôi chỉ bắt đầu giải mã một nhóm nhỏ các tệp. Điều này là do có khả năng khóa được tìm thấy không phải là khóa chính xác.
Sau đó, chúng tôi phải đọc và chấp nhận các điều khoản cấp phép. Trên màn hình tiếp theo, bạn có thể bắt đầu giải mã các tệp bị khóa. Theo mặc định, chương trình bắt đầu tìm kiếm các tập tin trên ổ C. Để thêm các vị trí cần xem lại, bạn chỉ cần nhấp vào tùy chọn Add Folder.
Cuối cùng, chúng ta chọn tùy chọn Decrypter để bắt đầu giải mã các tập tin trong danh sách xuất hiện trên màn hình.
Giải mã tệp bằng chương trình chống vi-rút
Như chúng tôi đã đề cập, có nhiều loại ransomware khác nhau, việc mở rộng chúng đã trở nên phổ biến trong những năm gần đây. May mắn thay, các nhà sản xuất phần mềm chống vi-rút luôn đi đầu, liên tục tìm kiếm các giải pháp thay thế để chống lại tác động của các chương trình độc hại này.
Như một giá trị gia tăng, các chương trình chống vi-rút như Avast và AVG có khả năng giải mã các tệp được mã hóa bởi nhiều loại ransomware khác nhau. Về điểm này, điều quan trọng cần lưu ý là cả hai chương trình đều miễn phí và không có giới hạn đối với việc dọn dẹp hoàn toàn các tệp .
Đối với Avast, nó có khả năng giải mã các tập tin được mã hóa bởi ransomware như: Badblock, Cryp888, SZFLocker, Apocalipsys, Bart, Alcatraz Locker, CriSys, Legion, TeslaCrypt, ...
Về phần mình, AVG có các công cụ giải mã ransomware như: Badblock, Apocalipsys, Cryp888, Legion, Bart, SZFLocker và TeslaCrypt.
Giải mã tệp bằng TeslaDecoder
TeslaDecoder là một công cụ cho phép giải mã các tập tin bằng vi rút, cụ thể là các tệp được mã hóa bởi TeslaCrypt, có phần cuối là: .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc và .vvv.
Một điểm đặc biệt của virus Teslacrypyt là lôgarit toán học mà nó sử dụng để mã hóa các tệp là mã hóa đối xứng. Ngoài ra, mỗi khi vi-rút khởi động lại, một khóa đối xứng mới được tạo ra, khóa này được lưu trữ trong các tệp được mã hóa cuối cùng. Điều này dẫn đến các khóa mã hóa không giống nhau cho tất cả các tệp.
Biết được điểm yếu này của virus, các nhà sản xuất đã chọn sử dụng một loại thuật toán mã hóa các khóa và đồng thời lưu chúng trong mỗi tệp được mã hóa. Vấn đề là mức độ mạnh mẽ của thuật toán được sử dụng dựa trên độ dài của các số nguyên tố có chức năng như một cơ số, và điều này không đủ dài.
Nói cách khác, do độ dài của khóa được lưu trữ, có thể sử dụng các chương trình chuyên dụng để lấy nó, chẳng hạn như TeslaDecoder.
Các bước cho phép bạn sử dụng chương trình giải mã các tập tin, như sau:
Đầu tiên chúng ta phải làm là tạo một thư mục làm việc, nơi chúng ta sẽ sao chép một tệp được mã hóa duy nhất. Nếu phần mở rộng tệp là .ecc hoặc .ezz, chúng tôi phải sao chép thêm tệp key.dat hoặc nếu không, tệp Recovery_ key.txt hoặc Recovery_file.text.
Sau đó, chúng ta cần tải phần mềm TeslaDecoder và cài đặt nó trong thư mục làm việc mới tạo. Khi chúng tôi có sẵn tệp TeslaViewer.exe, chúng tôi nhấp vào tùy chọn Trình duyệt.
Tiếp theo, chúng tôi chọn tệp được mã hóa mà chúng tôi đã sao chép ở các bước trước và chúng tôi có thể thấy ngay các khóa mã hóa được yêu cầu. Nếu là về tệp .ecc hoặc .ezz, thay vì chọn tệp được mã hóa, chúng tôi chọn tệp key.dat.
Tiếp theo, chúng ta nhấn vào tùy chọn Create work.txt để tạo một tập tin kiểu đó, tập tin này sẽ lưu trữ thông tin vừa lấy được.
Điều tiếp theo là mở khóa giải mã. Để thực hiện việc này, bạn phải sử dụng công cụ tìm kiếm FactorDB và chọn tùy chọn Factorize !. Tại thời điểm này, nó có thể xảy ra rằng con số được tính hoàn toàn hoặc chỉ là một phần của nó. Trong cả hai trường hợp, làm theo hướng dẫn trên màn hình, chúng tôi có thể hoàn tất quá trình bao thanh toán.
Có kết quả phân tích nhân tử, nó phải được sao chép vào tệp work.txt.
Bây giờ chúng ta phải vào thư mục làm việc và tìm tệp TeslaRefactor.exe. Khi chúng tôi tìm thấy nó, chúng tôi tiếp tục thực thi tệp đó. Chúng tôi sao chép các yếu tố được lưu trữ trong work.txt trong hộp xuất hiện trên màn hình, để đặt các yếu tố thập phân.
Trên cùng màn hình đó, nhưng ở hàng tiếp theo, chúng ta phải sao chép giá trị Public keyBC cũng có trong tệp work.txt.
Sau khi hoàn thành thông tin được yêu cầu trong mỗi trường, chúng tôi nhấp vào tùy chọn Tìm khóa cá nhân. TeslaRefactor sẽ tự động xây dựng lại giá trị khóa. Theo mặc định, nó sẽ xuất hiện trong trường được gọi là Khóa riêng (hex).
Trong phần này của quy trình, điều quan trọng là phải kiểm tra xem giá trị của Sản phẩm (dec) có bằng với giá trị thập phân được tìm thấy trong tệp work.txt hay không. Nói cách khác, chúng ta phải xác minh giá trị của khóa.
Trước khi tiếp tục, chúng ta phải sao chép giá trị của Private key (hex) vào tệp work.txt.
Bây giờ cần phải vào thư mục làm việc để chạy tệp Teslaecoder.exe với tư cách Quản trị viên. Sau khi chọn tùy chọn Run as Administrator, hãy nhấp vào tùy chọn Set key.
Trong cửa sổ tiếp theo, chúng tôi nhập giá trị của Private key (hex), trong khi chúng tôi phải chọn các phần mở rộng của tệp của mình. Để hoàn thành phần này, chúng ta nhấn vào tùy chọn Đặt phím.
Việc tiếp theo là thực hiện kiểm tra giải mã. Để làm điều này, chúng tôi tìm kiếm tệp mẫu mà chúng tôi đã sao chép ban đầu vào thư mục làm việc. Quá trình kiểm tra bắt đầu khi chúng tôi nhấp vào tùy chọn Giải mã Thư mục, với tệp được đề cập được chọn.
Nếu tệp được giải mã thành công, chúng tôi sẵn sàng giải mã phần còn lại của các tệp được mã hóa. Đối với điều này, cần phải chọn tùy chọn Giải mã Tất cả.
Cuối cùng, nếu một tệp không được giải mã, điều đó có nghĩa là nó có một khóa mã hóa khác. Theo cách mà nó sẽ cần thiết để sao chép tệp đã nói trong thư mục làm việc và lặp lại toàn bộ quá trình.
Một trường hợp cụ thể: Giải mã tệp PDF
Trong một số trường hợp, có thể xảy ra trường hợp chúng tôi nhận được một tệp PDF được mã hóa, trong đó chúng tôi có chìa khóa để tiến hành giải mã nó. Nếu đúng như vậy, quá trình này khá đơn giản.
Điều đầu tiên chúng ta cần làm là có sẵn trình điều khiển máy in PDF và trình đọc tài liệu không phải Adobe PDF. Foxit Reader hoạt động tốt cho mục đích của chúng tôi.
Trong cửa sổ tương ứng với bộ điều khiển, chúng tôi tải tệp trong Foxit Reader. Hệ thống sẽ yêu cầu chúng ta nhập mật khẩu dùng chung.
Sau khi kiểm tra xem tất cả các thông số kỹ thuật của cửa sổ đã được chỉ định chính xác chưa, chúng tôi thực hiện lệnh cần thiết như thể chúng tôi sẽ in tài liệu. Đó là, chúng tôi gửi nó đến máy in PDF.
Kết quả của hành động này là một bản sao của tài liệu gốc, nhưng không có mã hóa.
Cuối cùng, chúng tôi sẽ trả lời một câu hỏi mà nhiều người có thể tự hỏi mình.
Có thể giải mã các tập tin trực tuyến không?
Câu trả lời cho câu hỏi này khá hợp lý nếu chúng ta nói về các vấn đề bảo mật.
Như chúng ta đã thấy, để giải mã các tệp, chúng tôi cần phải tiết lộ một phần thông tin của mình theo một cách nào đó. Vì vậy, nếu chúng ta sử dụng các dịch vụ trực tuyến, chúng ta sẽ tăng cơ hội để người khác truy cập vào nó, có thể sử dụng nó một cách độc hại, sửa đổi nó hoặc thậm chí loại bỏ nó vĩnh viễn.
Vì vậy, không có ứng dụng nào cho phép chúng tôi giải mã thông qua các tệp internet được mã hóa bởi một số loại ransomware. Theo cách đó, cách duy nhất có thể để đạt được điều này là tải xuống và cài đặt trên máy tính của chúng tôi một trong nhiều công cụ có sẵn trong hệ thống mạng, như chúng tôi đã đề cập trong suốt bài viết này.
Khuyến nghị cuối cùng là đảm bảo rằng chúng tôi làm theo hướng dẫn của các nhà phát triển của các loại ứng dụng này cho bức thư.