Công cụ giải mã Ransomware GoGoogle

Kiến Thức

Chúng tôi vui mừng thông báo về sự ra đời của bộ giải mã mới cho ransomware GoGoogle (còn gọi là BossiTossi). Họ ransomware này được viết bằng Go và tạo các tệp được mã hóa với phần mở rộng .google.

Được phát hiện vào tháng 4 năm 2020, GoGoogle ransomware có một số đặc thù riêng.

Trước hết, nó được viết bằng Golang, một ngôn ngữ lập trình đã trở nên phổ biến trong số những kẻ xấu tạo ra ransomware. Thứ hai, hai phiên bản của GoGoogle sử dụng hai phương thức mã hóa riêng biệt, tùy thuộc vào kích thước của các tệp được mã hóa. Mặc dù một phiên bản chỉ sử dụng mã hóa dựa trên XOR, phiên bản còn lại sử dụng XOR cho các tệp lớn hơn 1MB và RSA 1024 cho các tệp nhỏ hơn.

Hiện bộ giải mã này đã giải quyết được sự lây nhiễm của các tệp .google được mã hóa bằng phương thức XOR. Một bộ giải mã khác đang được cập nhật để có thể khả dụng trong tương lai cũng sẽ xử lý cho bản RSA 1024.

Cách sử dụng công cụ này

Bước 1: Tải xuống công cụ giải mã bên dưới và lưu nó vào máy tính của bạn.

>> Liên hệ VinSEP để nhận được bộ công cụ giải mã này nhé!

Bước 2: Nhấp đúp vào tệp (trước đây được lưu với tên BDGoGoogleDecryptor.exe) và cho phép nó chạy.

Công cụ giải mã Ransomware GoGoogle

Bước 3: Chọn “I agree” trong màn hình Thỏa thuận cấp phép

Công cụ giải mã Ransomware GoGoogle

Bước 4: Chọn “Scan Entire System” nếu bạn muốn tìm kiếm tất cả các tệp được mã hóa hoặc chỉ cần thêm đường dẫn đến các tệp được mã hóa của bạn. Chúng tôi thực sự khuyên bạn cũng nên chọn các tập tin sao lưu trong bộ phận sao lưu trước khi bắt đầu quá trình giải mã. Sau đó nhấn vào “Scan”.

Công cụ giải mã Ransomware GoGoogle

Thư mục kiểm tra trên máy tính cá nhân phải có hai cặp tệp gốc / tệp mã hóa sẽ được sử dụng để xác định loại giải mã. Điều cần thiết là thư mục này chỉ chứa hai cặp:

– 1 cặp tệp được mã hóa / gốc, cả hai đều nhỏ hơn 1 MB.

– 1 cặp tệp được mã hóa / gốc, cả hai đều lớn hơn 2 MB.

LƯU Ý: Một số phiên bản của GoGoogle được cho là có thể thay đổi các tệp dưới 2MB.

Người dùng cũng có thể chọn “Overwrite existing clean files” ở tùy chọn Nâng cao trong “Advanced options”. Lúc này, công cụ sẽ ghi đè lên các tệp sạch có thể tương đương với các tệp được giải mã.

Công cụ giải mã Ransomware GoGoogle

Công cụ này cũng có thể chạy ngầm, thông qua một dòng lệnh. Nếu bạn cần tự động hóa việc triển khai công cụ trong một mạng lớn, bạn có thể muốn sử dụng tính năng này.

• -help – cung cấp thông tin về cách chạy công cụ một cách im lặng (thông tin này sẽ được ghi trong tệp nhật ký, không phải trên bảng điều khiển)

• start – đối số này cho phép công cụ chạy âm thầm (không có GUI)

• -path – đối số này chỉ định đường dẫn để quét

• -test – thông số này chỉ định đường dẫn thử nghiệm phải là một cặp tệp gốc / được mã hóa

• o0:1 – cho phép Quét toàn bộ tùy chọn hệ thống (bỏ qua đối số -path)

• o1:1 – cho phép tùy chọn Sao lưu tệp

• o2:1 – cho phép ghi đè tệp hiện có

Ví dụ:

BDGoGoogleDecryptor.exe start -path:”C:\” -> công cụ sẽ chạy mà không có GUI và quét C:\

BDGoGoogleDecryptor.exe start o0:1 -> công cụ sẽ chạy mà không có GUI và quét toàn bộ hệ thống

BDGoGoogleDecryptor.exe start o0:1 o1:1 o2:1 -> công cụ quét toàn bộ hệ thống, sao lưu các tệp được mã hóa và ghi đè lên các tệp sạch.

Thông tin thêm:

Phần mềm này được phát triển bởi Dự án OpenSSL, sử dụng trong Bộ công cụ OpenSSL (http://www.openssl.org/)

guest
0 Comments
Inline Feedbacks
View all comments

Bài viết liên quan

Power BI là gì?

Power BI là gì?

Power BI là một dịch vụ phân tích kinh doanh của Microsoft nhằm mục đích cung cấp trực quan dữ...

Pin It on Pinterest

Share This