Virus Kodg là gì ?
Virus Kodg là phiên bản mới nhất của STOP ransomware, được phát hiện bởi các nhà nghiên cứu bảo mật vài ngày trước. Đây đã là biến thể thứ 185 (v0185) của ransomware STOP. Giống như các biến thể khác, nó mã hóa tất cả các tệp trên máy tính và sau đó yêu cầu tiền chuộc để giải mã. Virus này mã hóa các tệp bằng phương pháp mã hóa mạnh, giúp loại bỏ khả năng tìm khóa theo bất kỳ cách nào. Đối với mỗi nạn nhân, Kodg sử dụng một khóa duy nhất với một ngoại lệ nhỏ. Nếu virus không thể thiết lập kết nối với máy chủ chỉ huy và kiểm soát (C & C) trước khi bắt đầu quá trình mã hóa, thì nó sẽ sử dụng khóa ngoại tuyến. Khóa này giống nhau đối với các nạn nhân khác nhau, trong một số trường hợp có thể giải mã các tệp được mã hóa trong cuộc tấn công ransomware.
Kodg có khả năng mã hóa các tập tin thuộc bất kỳ loại nào, bất kể những gì có trong đó. Nhưng nó bỏ qua các tệp có phần mở rộng: dll, .lnk, .ini, .bat, .sys và các tệp có tên '_readme.txt'. Do đó, các loại tệp phổ biến sau đây có thể được mã hóa dễ dàng:
.sum, .xwp, .kf, .m3u, .ppt, .bkf, .raf, .zi, .dbf, .p12, .x, .asset, .rar, .txt, .jpeg, .cfr, .orf , .xmmap, .mef, .fos, .fsh, .indd, .zdb, .wotreplay, .xbdoc, .odt, .xdl, .docm, .wmv, .7z, .cdr, .js, .cer ,. m2, .mrwref, .mp4, .xxx, .pem, .snx, .desc, .wps, .wpl, .wmo, .wma, .wbmp, .vpk, .mdbackup, .wpt, .wp4, .x .mdb, .zabw, .ws, .wbc, .pfx, .epk, .accdb, .hkdb, .z, .yal, .rofl, .0, .qic, .doc, .sql, .wpd, .fpk , .xy3, .gdb, .pptm, .esm, .xf, .xlgc, .qdf, .mdf, .wav, .apk, .srw, .pak, .svg, .kdb, .r3d, .ptx ,. dba, .ff, .xx, .bc6, .sr2, .ztmp, .raw, .bay, .wcf, .xdb, .wps, .xar, .xll, .sid, .docx, .wri, .vfs0, .x3f, .wp5, .d3dbsp, .odc, .xlsm, .ysp, .xyw, .bar, .rgss3a, .nrw, ví, .upk, .w3x, .jpe, .das, .ods, .bik ,. .py, .dng, .ai, .p7b, .wpg, .yml, .xbplate, .png, .sidd, .wpa, .wdp, .wp7, .big, .mpqge, .wpb, .wgz, .xld , .wpd, .ntl, .pdd ,.jpg, .mlx, .xlsm, .vcf, .sidn, .wire, .avi, .wbm, .sheet, .mddata, .pst, .dxg, .p7c, .t12, .mov, .arch00, .bc7, .lrf, .m4a, .tor, .arw, .gho, .ibank, .rw2, .slm, .layout, .tax, .lvl, .webdoc, .wmv, .xlsb, .wn, .psk ,. , .sie, .zip, .xmind, .odp, .pkpass, .ncf, .forge, .rwl, .wp6, .srf, .itdb, .2bp, .dwg, .wmd, .wsh, .rtf ,. bkp, .sav, .sis, .ybk, .dcr, .xls, .erf, .x3f, .vdf, .wb2, .crt, .1st, .vpp_pc, .xlsx
Mỗi tệp đã được mã hóa sẽ được đổi tên. Điều này có nghĩa như sau. Nếu tệp được gọi là 'image.jpg', thì sau khi mã hóa, nó sẽ được đặt tên là 'image.jpg.kodg'. Virus Kodg có thể mã hóa các tập tin nằm trên tất cả các ổ đĩa được kết nối với máy tính.
Do đó, các tệp nằm trong mạng lưu trữ gắn liền và các thiết bị bên ngoài cũng có thể được mã hóa. Nó mã hóa tệp theo tệp, khi tất cả các tệp trong thư mục được mã hóa, nó sẽ thả một tệp mới trong thư mục, được gọi là '_readme.txt'
Các tác giả Kodg tuyên bố rằng không thể giải mã các tập tin đã được mã hóa.
Cho đến gần đây, điều này là như vậy. Hiện tại, với sự ra đời của bộ giải mã STOP (Kodg), trong một số trường hợp, bạn có thể giải mã các tệp. Điều này có nghĩa là các tệp có thể được giải mã nếu chúng được mã hóa bằng khóa ngoại tuyến mà chúng ta đã nói trước đó. Trong tất cả các trường hợp còn lại, giải mã vẫn chưa thể. Nhưng có một số cách khác có thể cho phép mọi người khôi phục nội dung của các tệp được mã hóa.
Nếu các tệp của bạn được mã hóa bằng vi rút Kodg, chúng tôi khuyên bạn nên sử xóa phần mềm ransomware và giải mã (khôi phục) các tệp được mã hóa.
Đọc toàn bộ hướng dẫn này, sau đó mở nó trên điện thoại thông minh của bạn hoặc in nó. Vì vậy, sẽ thuận tiện hơn cho bạn để thực hiện tất cả các hành động cần thiết.
Giải mã tập tin ".kodg"
Tất cả các tệp có phần mở rộng '.kodg' đều được mã hóa. Nội dung của chúng không thể được mở khóa đơn giản bằng cách xóa phần mở rộng này hoặc thay đổi hoàn toàn tên tệp. Để giải mã các tập tin .kodg, bạn cần một bộ giải mã. May mắn thay, Emsisoft đã tạo ra một bộ giải mã miễn phí có tên là STOP Djvu decryptor.
Để giải mã các tệp .kodg, hãy sử dụng bộ giải mã STOP (Kodg) miễn phí
- Tải xuống bộ giải mã STOP (Djvu) từ liên kết sau =>> Giải mã Djvu
- Cuộn xuống phần 'Djvu ransomware mới'.
- Nhấp vào liên kết tải xuống và lưu tệp 'decrypt_STOPDjvu.exe' vào máy tính để bàn của bạn.
- Chạy decrypt_STOPDjvu.exe, đọc các điều khoản và hướng dẫn cấp phép.
- Trên tab 'Bộ giải mã', sử dụng nút 'Thêm thư mục', thêm thư mục hoặc đĩa nơi chứa các tệp được mã hóa.
- Nhấp vào nút 'Giải mã'.
Bộ giải mã STOP (Kodg) là một công cụ miễn phí cho phép mọi người giải mã các tệp .kodg miễn phí. Hiện tại, bộ giải mã chỉ có thể giải mã các tệp đã được mã hóa bằng khóa ngoại tuyến. Thật không may, nếu các tệp được mã hóa bằng khóa trực tuyến, thì bộ giải mã miễn phí hoàn toàn vô dụng.
Làm thế nào để tìm ra khóa nào được sử dụng để mã hóa tập tin
Do bộ giải mã STOP (Kodg) chỉ giải mã các tệp được mã hóa bằng khóa ngoại tuyến, mỗi nạn nhân của Kodg cần tìm ra khóa nào được sử dụng để mã hóa các tệp. Xác định loại khóa được sử dụng không khó. Dưới đây chúng tôi đưa ra hai cách. Sử dụng bất kỳ trong số họ.
Trước hết, bạn có thể xem ID cá nhân được cung cấp trong tệp '_readme.txt' (ghi chú tiền chuộc).
Một cách khác, hãy tìm trên đĩa 'C' cho tệp 'SystemID \ PersonalID.txt'. Đây là một tệp trong đó Kodg ransomware lưu trữ ID cá nhân được sử dụng để mã hóa.
'Perosnal ID' không phải là một khóa, nó là một tập hợp các ký tự mà mọi người có thể tìm ra khóa nào được sử dụng để mã hóa các tệp. Nếu ID kết thúc bằng 't1', thì các tệp được mã hóa bằng khóa ngoại tuyến.
*Nếu ID không kết thúc bằng 't1', thì Kodg đã sử dụng khóa trực tuyến. Nếu bạn không thể hiểu khóa nào được sử dụng để mã hóa các tệp, thì chúng tôi có thể giúp bạn. Chỉ cần viết một yêu cầu trong các ý kiến dưới đây.
=> có nghĩa là rất khó để giải mã, vì KEY giải mã không nằm trong máy tính
Phải làm gì nếu bộ giải mã STOP (Kodg) nói Lỗi Lỗi: Không thể giải mã tập tin bằng ID mật
Nếu trong quá trình giải mã các tệp .kodg, bộ giải mã báo cáo 'Lỗi: Không thể giải mã tệp bằng ID', bỏ qua các tệp mà không giải mã chúng, thì có thể xảy ra hai trường hợp:
- các tệp được mã hóa bằng 'khóa trực tuyến', trong trường hợp này, bạn cần sử dụng các phương pháp thay thế để khôi phục nội dung của các tệp được mã hóa;
- các tệp được mã hóa bằng 'khóa ngoại tuyến', nhưng chính các nhà nghiên cứu bảo mật chưa tìm thấy khóa này, trong trường hợp này, bạn cần kiên nhẫn và chờ một lúc, ngoài ra, bạn cũng có thể sử dụng các cách khác để khôi phục dữ liệu được mã hóa ;
Cách khôi phục tập tin .kodg
Như chúng ta đã nói, bộ giải mã STOP (Kodg) chỉ có thể giải mã các tệp được mã hóa bằng cái gọi là 'khóa ngoại tuyến'. Phải làm gì khi các tập tin được mã hóa bằng khóa trực tuyến? Ngay cả trong trường hợp này, mọi người đều có cơ hội khôi phục nội dung của các tệp được mã hóa. Điều này có thể là do sự tồn tại của một số cách khác để khôi phục tệp.
Mỗi phương thức này không yêu cầu một bộ giải mã và một khóa duy nhất, nằm trong tay bọn tội phạm. Điều duy nhất chúng tôi khuyên bạn nên thực hiện (nếu bạn chưa làm như vậy) là thực hiện quét toàn bộ máy tính. Bạn phải chắc chắn 100% rằng virus Kodg đã bị xóa. Để tìm và xóa ransomware, hãy sử dụng các công cụ loại bỏ phần mềm độc hại miễn phí .
