ถอดรหัส/กู้ข้อมูล Ransomware ได้ไหม?

(อัพเดทล่าสุด July 2022)

ถอดรหัส/กู้ข้อมูล ransomware ได้ไหม? ไฟล์ถูกเข้ารหัสไปหมด ข้อมูลที่ back up ไว้ก็เหมือนจะโดนไปด้วย มีวิธีการไหนที่จะช่วยกู้ข้อมูลหรือป้องกันไม่ให้เกิดเหตุการณ์ซ้ำอีก

สำหรับบทความนี้เราจะมาให้ข้อมูลประเด็น ถอดรหัส/กู้ข้อมูล ransomware และการป้องกันไม่ให้ถูกโจมตีตั้งแต่ทีแรก

Ransomware หรือไวรัสเรียกค่าไถ่ นับเป็นภัยคุกคามทางไซเบอร์ที่ชื่อกระฉ่อนและรุนแรงที่สุด ณ ปัจจุบัน หลักการคือเข้ารหัสไฟล์ (file encryption) ข้อมูลต่าง ๆ บนเครื่องให้เจ้าของข้อมูลไม่สามารถเข้าถึงได้จนกว่าจะยอมจ่ายเงินค่าไถ่เพื่อแลกกับ key ในการถอดรหัส (decryption key) ซึ่งโดยส่วนมากจะเรียกค่าไถ่เป็น cryptocurrency ถ้าระบบ network ของเราโดน ransomware โจมตีอยู่ ลองศึกษาขั้นตอนต่อไปนี้ซึ่งอาจจะช่วยให้เรา ถอดรหัส/กู้ข้อมูล ransomware และได้ข้อมูลคืนมาได้

ขั้นตอนการกู้ข้อมูลกลับคืนมา

1. สิ่งสำคัญคือ ไม่ควรจ่ายค่าไถ่ เพราะไม่มีสิ่งใดมารับรองได้ว่าผู้สร้าง ransomware จะปล่อย key ถอดรหัสมาให้ และยังเป็นเหมือนการสนับสนุบให้มิจฉาชีพหาเงินด้วยวิธีนี้ต่อไป
2. มีการทำ back up ข้อมูลไว้หรือไม่? ไฟล์ที่มียังปลอดภัยดีหรือเปล่า? ทางที่ดีควรจะมีระบบ back up แยกข้อมูลออกจาก site เดียวกัน หรือใช้ระบบ cloud backup เข้ามาช่วย
3. ถ้าไม่ได้ back up ไว้เลย ท่านสามารถลองกู้ไฟล์คืนด้วยเครื่องมือถอดรหัส (decryption tools) ที่แนะนำในบทความนี้… แน่นอนว่าเครื่องมือไม่สามารถถอดรหัส ransomware ได้ทุกสายพันธุ์ ทางที่ดีควรเผื่อใจไว้ก่อน

เราจะรู้ได้อย่างไรว่าเผชิญกับ ransomware ตัวไหนอยู่?

โดยปกติแล้วผู้สร้าง ransomware จะมีการแปะ note ไว้ซึ่งจะบอกข้อมูลเกี่ยวกับชนิดของ ransomware ตัวนั้น ๆ แต่บางครั้งก็ไม่มีข้อมูลระบุไว้ การดูจาก extension ต่อท้ายไฟล์ที่ถูกเข้ารหัสก็ไม่สามารถระบุได้ซะทีเดียว บ่อยครั้งจะเจอกับ extension ที่บ่งชี้ถึง ransomware สายพันธุ์ใหม่ ซึ่งยังไม่มี decryption tools รองรับ

หมายเหตุ: การสแกนไฟล์ที่ถูกเข้ารหัสไปแล้วจะไม่สามารถช่วยอะไรได้มากนัก เพราะ ransomware ส่วนมากจะทำการลบตัวเองทิ้งหลังจากเข้ารหัสข้อมูลเรียบร้อยแล้ว ไฟล์ที่เหลืออยู่คือเป็นไฟล์เดิมที่ถูกเข้ารหัสเพื่อปิดการเข้าถึงไว้ ไม่ใช่ตัว malware

หากท่านต้องการความช่วยเหลือว่ากำลังเจอกับ ransomware สายพันธุ์ไหนอยู่ เพื่อที่จะเลือกใช้ decryption tools ได้ถูกต้อง สองลิ้งค์ต่อไปนี้อาจจะช่วยท่านได้

CRYPTO SHERIFF FROM NO MORE RANSOM

ID RANSOMWARE FROM MALWAREHUNTER TEAM

เครื่องมือสำหรับ ถอดรหัส/กู้ข้อมูล ransomware (decryption tools) – an ongoing list

คำชี้แจง

ท่านควรทราบไว้ก่อนว่าลิสต์ต่อไปนี้ไม่ใช่ลิสต์ที่ complete และมันจะไม่มีวัน complete ท่านสามารถนำไปใช้ได้ แต่ควรศึกษาข้อมูลเพิ่มด้วย การถอดรหัสได้อย่างปลอดภัยและสำเร็จเป็นกระบวนการที่ค่อนข้างตึงเครียด เพราะฉะนั้นกรุณาพิจารณาให้รอบคอบก่อนลงมือ

ทางเราจะพยายามอัพเดทลิสต์นี้ให้ล่าสุด และเรายินดีหากท่านมีคำแนะนำหรืออยากจะเสริมเพิ่มเติมข้อมูลให้ลิสต์สมบูรณ์ยิ่งขึ้น

เครื่องมือถอดรหัสไวรัสเรียกค่าไถ่ (ransomware decryption tools) บางตัวก็ใช้งานง่าย บางตัวก็ต้องเป็นผู้มีประสบการณ์ระดับหนึ่ง ถ้าท่านไม่มีความเชี่ยวชาญนัก ท่านสามารถขอความช่วยเหลือได้จาก malware removal forums ซึ่งเป็นกลุ่มที่ให้ความช่วยเหลือและมีข้อมูลจำนวนมาก

1. .777 ransomware decrypting tool
2. 7even-HONE$T decrypting tool
3. .8lock8 ransomware decrypting tool+ explanations
4. 7ev3n decrypting tool
5. AES_NI Rakhni decryptor tool
6. Agent.iih decrypting tool (decrypted by the Rakhni Decryptor)
7. Alcatraz ransom decryptor tool
8. Alma ransomware decryption tool
9. Al-Namrood decrypting tool
10. Alpha decrypting tool
11. AlphaLocker decrypting tool
12. Amnesia ransom decryptor tool
13. Amnesia ransom 2 decryptor tool
14. Anabelle ransom decryptor tool
15. Apocalypse decrypting tool
16. ApocalypseVM decrypting tool+ alternative
17. AtomSilo ransom decryptor tool
18. Aura decrypting tool (decrypted by the Rakhni Decryptor)
19. Aurora ransom decryptor tool + alternative
20. AutoIt ransom decrypting tool (decrypted by the Rannoh Decryptor) + alternative 1 (decrypted by Rakhni Decryptor)
21. Autolocky decrypting tool
22. Avaddon ransom decryption tool
23. Avest ransom decryption tool
24. Babuk ransomware decryptor
25. Badblock decrypting tool+ alternative 1
26. BarRax Ransom decryption tool
27. Bart decrypting tool
28. BigBobRoss decrypting tool 
29. BitCryptor decrypting tool
30. Bitman ransomware versions 2 & 3 (decrypted by the Rakhni Decryptor)
31. BitStak decrypting tool
32. BTCWare ransom decryptor
33. Cerber V1 ransomware decryption tool + alternative
34. Chimera decrypting tool+ alternative 1+ alternative 2
35. CheckMail7 ransomware decryption tool
36. ChernoLocker ransom decryption tool
37. CoinVault ransom decrypting tool
38. Cry128 decrypting tool
39. Cry9 Ransom decrypting tool
40. Cryakl decrypting tool (decrypted by the Rannoh Decryptor)
41. Crybola decrypting tool (decrypted by the Rannoh Decryptor)
42. CrypBoss ransomware decrypting tool
43. CryCryptor ransomware decrypting tool
44. Crypren ransomware decrypting tool
45. Crypt32 ransom decryptor
46. Crypt38 ransomware decrypting tool
47. Crypt888 (see also Mircop) decrypting tool
48. CryptInfinite decrypting tool
49. CryptoDefense decrypting tool
50. CryptFile2 decrypting tool (decrypted by the CryptoMix Decryptor)
51. CryptoHost (a.k.a. Manamecrypt) decrypting tool
52. Cryptokluchen decrypting tool (decrypted by the Rakhni Decryptor)
53. Cryptolocker ransomware decryption tool
54. CryptoMix Ransom decrypting tool + offline alternative
55. CryptON decryption tool
56. CryptoTorLocker decrypting tool
57. CryptXXX Ransom decryptor (V1, V2, V3) (decrypted by Rannoh Decryptor) + alternative (V1, V2, V3, V4, V5)
58. CrySIS ransomware decryption tool (decrypted by the Rakhni Decryptor – additional details)
59. CTB-LockerWeb decrypting tool
60. CuteRansomware decrypting tool(decrypted by the my-Little-Ransomware Decryptor)
61. Cyborg ransomware decryption tool
62. Damage ransom decrypting tool
63. Darkside ransomware decryption tool
64. DemoTool decrypting tool
65. DeCrypt Protect decrypting tool
66. Democry decrypting tool (decrypted by the Rakhni Decryptor)
67. Derialock ransom decryptor tool
68. Dharma ransomware decrypt tool (decrypted by Rakhni Decryptor) (.wallet extension ransomware decrypt tool)
69. Diavol ransomware decryption tool + guide 
70. DMA Locker decrypting tool+ DMA2 Locker decoding tool
71. DragonCyber ransomware decryption tool
72. DXXD ransomware decryption tool
73. Egregor ransomware decryption tool
74. Encryptile decrypting tool
75. ElvisPresley ransomware decryption tool (decrypted by the Jigsaw Decryptor)
76. Everbe Ransomware decrypting tool
77. Fabiansomware decrypting tool
78. FenixLocker – decrypting tool
79. FilesLocker (V1 and V2) decrypting tool
80. FindZip decrypting tool
81. FortuneCrypt decrypting tool (decrypted by the Rakhni Decryptor)
82. Fonix ransomware decryption tool
83. Fury decrypting tool (decrypted by the Rannoh Decryptor)
84. GalactiCryper ransom decryptor
85. GandCrab ransomware decryption tool (V1, V4, V5) + gandcrab 5.2 ransomware decryption tool
86. Gerosan ransomware decrypt tool
87. GetCrypt decryption tool
88. GhostCrypt decrypting tool
89. Globe / Purge decrypting tool+ alternative
90. Globe2 decryption tool
91. Globe3 decryption tool
92. GlobeImpostor decryption tool
93. Gomasom decrypting tool
94. GoGoogle decryption tool
95. Hacked decrypting tool
96. Hakbit decryptor
97. Harasom decrypting tool
98. HydraCrypt decrypting tool
99. HiddenTear decrypting tool
100. HildraCrypt decryptor
101. HKCrypt ransom decryptor
102. Iams00rry decryptor
103. InsaneCrypt ransomware decryptor
104. Iwanttits ransomware decryptor
105. Jaff decrypter tool
106. JavaLocker decryptor
107. Jigsaw decrypting tool+ alternative 1 + alternative 2 + alternative 3
108. JS WORM 2.0 decryptor
109. JS WORM 4.0 decryptor
110. Judge ransomware decryptor
111. KeRanger decrypting tool
112. KeyBTC decrypting tool
113. KimcilWare decrypting tool
114. KokoKrypt decryptor
115. Lamer decrypting tool (decrypted by the Rakhni Decryptor)
116. LambdaLocker decryption tool
117. LeChiffre decrypting tool+ alternative
118. Legion decrypting tool
119. Linux.Encoder decrypting tool
120. Linux.Encoder.3 ransom decryption tool
121. Lobzik decrypting tool(decrypted by the Rakhni Decryptor)
122. LockFile ransomware decryptor tool
123. Lock Screen ransomware decrypting tool
124. Locker decrypting tool
125. Loocipher decryptor
126. Lorenz ransomware decryptor
127. Lortok decrypting tool (decrypted by the Rakhni Decryptor)
128. MacRansom decrypting tool
129. Magniber decryptor
130. MaMoCrypt ransomware decryption tool
131. Mapo ransomware decryptor
132. Marlboro ransom decryption tool
133. MarsJoke decryption tool
134. Manamecrypt decrypting tool (a.k.a. CryptoHost)
135. Maze ransomware decryption tool
136. MegaLocker ransomware decrypting tool
137. Merry Christmas / MRCR decryptor + alternative
138. Mira ransom decryptor 
139. Mircop decrypting tool+ alternative
140. Mole decryptor tool
141. MoneroPay ransomware decrypting tool
142. muhstik ransomware decryptor
143. my-Little-Ransomware decrypting tool 
144. Nanolocker decrypting tool
145. Nemty ransomware decryptor
146. Nemucod decrypting tool + alternative
147. NemucodAES ransom decryption tool
148. NMoreira ransomware decryption tool
149. Noobcrypt decryption tool
150. ODCODC decrypting tool
151. OpenToYou decryption tools
152. Operation Global III Ransomware decrypting tool
153. Ouroboros ransomware decryptor
154. Ozozalocker ransomware decryptor
155. Paradise ransomware decryptor
156. PClock decrypting tool
157. Petya ransomware decryption tool+ alternative
158. PewCrypt ransom decryptor
159. Philadelphia decrypting tool
160. PizzaCrypts decrypting tool
161. Planetary ransomware decrypting tool
162. Pletor decrypting tool (decrypted by the Rakhni Decryptor)
163. Polyglot decrypting tool (decrypted by the Rannoh Decryptor)
164. Pompous decrypting tool
165. PowerWare / PoshCoder decrypting tool
166. Popcorn ransom decrypting tool
167. Professeur ransomware decryptor (decrypted by the Jigsaw Decryptor)
168. Puma ransomware decryption tool
169. PyLocky ransomware decrypting tool + alternative
170. Radamant decrypting tool
171. RAGNAROK decrypting tool
172. Rakhni decrypting tool
173. Rannoh decrypting tool
174. Ransomwared decryptor 
175. Rector decrypting tool
176. RedRum ransomware decryptor 
177. REvil/Sodinokibi ransomware decrypt tool
178. Rotor decrypting tool (decrypted by the Rakhni Decryptor)
179. Scraper decrypting tool
180. Sekhmet ransomware decryption tool
181. SimpleLocker ransomware decryptor
182. Simplocker ransomware decryptor
183. Shade / Troldesh ransomware decryption tool + alternative + alternative 2
184. SNSLocker decrypting tool
185. SpartCrypt decryptor
186. Stampadodecrypting tool + alternative
187. STOP Djvu ransomware decrypt tool
188. SynAck ransom decryptor
189. Syrk ransomware decryptor 
190. SZFlocker decrypting tool
191. Teamxrat / Xpan decryption tool
192. TeleCrypt decrypting tool (additional details)
193. TeslaCrypt decrypting tool+ alternative 1 + alternative 2
194. TeslaCrypt V2 ransom decryption tool + alternative
195. TeslaCrypt V3 ransom decryption tool + alternative 1 + alternative 2 + alternative 3
196. TeslaCrypt V4 ransom decryption tool + alternative 1 + alternative 2 + alternative 3
197. Thanatos decryption tool
198. ThunderX decryptor
199. Trustezeb.A decryptor
200. TurkStatic decryptor
201. TorrentLocker decrypting tool
202. Umbrecrypt decrypting tool
203. VCRYPTOR decryptor
204. WannaCry ransomware decryption tool+ Guide
205. WannaCryFake Ransom decryption tool
206. WannaRen decryption tool
207. Wildfire decrypting tool + alternative 1 + alternative 2
208. XData Ransom decryption tool (decrypted by Rakhni Decryptor)
209. XORBAT decrypting tool
210. XORIST decrypting tool+ alternative
211. Yatron decrypting tool (decrypted by the Rakhni Decryptor)
212. ZeroFucks decryptor
213. Zeta decrypting tool (decrypted by the CryptoMix Decryptor)
214. Ziggy ransomware decryptor
215. Zorab ransomware decryptor
216. ZQ ransomware decryptor

และท่านสามารถหาตัวถอดรหัสอื่น ๆ เพิ่มเติมได้จากเว็บไซต์ nomoreransom

สายพันธุ์ของ ransomware VS เครื่องมือ ถอดรหัส/กู้ข้อมูล ransomware

ท่านอาจจะทราบแล้วว่า เครื่องมือบางตัวทำงานได้กับ ransomware หลายสายพันธุ์ บางตัวก็ใช้ได้หลากหลายวิธี (แต่ก็ส่วนน้อย)

ในแง่ของการปฏิบัติแล้ว เครื่องมือถอดรหัสบางตัวก็ใช้งานง่าย บางตัวก็ต้องเป็นผู้มีประสบการณ์เท่านั้น ถึงแม้เราอยากจะทำให้ขั้นตอนเหล่านี้มันง่ายแค่ไหน แต่มันก็ไม่ใช่สิ่งที่เป็นไปได้เสมอไป

ไม่ว่าที่ผ่านมานักวิจัยและผู้ถอดรหัสต่าง ๆ จะทุ่มเทกันมามากแค่ไหน แต่ความจริงก็คือเราไม่สามารถมี solution เดียวที่ถอดรหัสข้อมูลทุกชนิดได้ เราจะต้องมีผู้เชี่ยวชาญด้านนี้ทำงานกันเป็นกองทัพอย่างไม่หยุดหย่อน วันนั้นถึงจะเกิดขึ้นได้

เราจะเลี่ยงและป้องกัน ransomware ในอนาคตได้อย่างไร

วิธีการหนึ่งที่มีประสิทธิภาพที่สุดเพื่อไม่ให้ ransomware เข้ามาป่วนและสร้างความเสียหายข้อมูลแก่ของเรา คือ มีระบบการป้องกันเชิง proactive หรือ advanced protection เท่านั้น และหมั่นอัพเดทข้อมูลให้ตัวเราเองเสมอ เราแนะนำให้ท่านใช้เครื่องมือในการป้องกันการเข้ารหัสของ ransomware โดยเฉพาะ หรือนำ ระบบการป้องกันขั้นสูง ที่ออกแบบมาเพื่อป้องกันภัยคุกคามตัวใหม่ ๆ อย่างครอบคลุม

อีกสิ่งสำคัญและควรต้องทำทันทีคือการ back up เราไม่ควรเลื่อนแผนหรือขั้นตอนการ back up ออกไป และต้องตรวจสอบให้มั่นใจได้ว่าข้อมูลของท่านปลอดภัยจากระบบที่ทำโดยอัตโนัมติแล้ว ไม่ต้องรอพรุ่งนี้ หรือสัปดาห์นี้ เริ่มต้นทำการ back up ได้ทันที

การมี awareness ที่ดีจะช่วยลดความเสี่ยงได้อย่างมาก หากผู้ใช้งานสามารถระวังตัวเองเบื้องต้นได้ องค์กรจะลดโอกาสในการตกเป็นเหยื่อของมิจฉาชีพที่พยายามจะหลอกลวงด้วยวิธีการสารพัดไม่ว่าจะจาก ransomware ตรง ๆ, การเข้ามาด้วยช่องทาง RDP, หรือการใช้ social engineering หลอกเอาข้อมูลไปแบบแนบเนียน

ransomware นั้นสามารถถูกสร้างขึ้นใหม่ได้ตลอดเวลา รวมถึง pattern การโจมตีที่นับวันก็ยิ่งจะล้ำมากขึ้น การใช้เครื่องมือถอดรหัสจึงเหมือนกับแมวไล่จับหนู การจ่ายเงินก็ไม่ใช่ทางออก (ยกเว้นว่าจะไม่มีทางเลือกอื่นแล้ว) หนำซ้ำข้อมูลที่โดนเข้ารหัสไปแล้ว ก็อาจจะถูกดูดไปก่อนหน้าแล้วนำไปขายต่อบน Dark Web ก็เป็นได้

เพราะฉะนั้นการ ถอดรหัส/กู้ข้อมูล Ransomware นี้คือวิธีการสำหรับการแก้ที่ปลายเหตุ หลังจากเกิดเหตุร้ายไปแล้ว การป้องกันก่อนเหตุจะเกิด คือวิธีที่ดีและได้ผลที่สุด

Quick Checklist สำหรับการป้องกัน ransomware

คำแนะนำต่อไปนี้จะช่วยให้ผู้ใช้งาน internet และองค์กร ลดความเสี่ยงจากการโดน ransomware เข้าโจมตีและสร้างความเสียหายมหาศาลได้