Công cụ giải mã ransomware Kolz và phục hồi file .kolz

Công cụ giải mã ransomware Kolz và phục hồi file .kolz

Phần mở rộng tệp Kolz là gì

.Kolz là phần mở rộng tệp được sử dụng bởi phiên bản thứ 252 của STOP ransomware để đánh dấu các tệp đã được mã hóa. Điều này có nghĩa là tất cả các tệp có phần mở rộng tệp này đều được mã hóa bởi ransomware, có tên là ‘Kolz ransomware’. Giống như các ransomware khác, nó được tạo ra để mã hóa các tệp của nạn nhân, sau đó yêu cầu một khoản tiền chuộc để giải mã chúng.

May mắn thay, cách đây một thời gian, các nhà nghiên cứu bảo mật đã tạo ra một chương trình giúp giải mã các tệp được mã hóa bởi STOP ransomware và vì Kolz là một trong những biến thể của ransomware này, bạn có thể sử dụng chương trình này làm Công cụ giải mã tệp Kolz. Ngoài trình giải mã này, có một số phương pháp khác, mỗi phương pháp có thể giúp khôi phục nội dung của các tệp được mã hóa. Đọc thêm về điều này, cũng như cách gỡ bỏ Kolz ransomware và bảo vệ máy tính của bạn khỏi những ransomware như vậy bên dưới.

Virus Kolz / ransomware là gì

Kolz ransomware là một phần mềm độc hại mới thuộc họ ransomware STOP (Djvu). Theo các nhà nghiên cứu bảo mật, phần mềm độc hại này không khác nhiều so với các biến thể trước đó của STOP ransomware, chẳng hạn như Npph và Ogdo đã được phát hiện trước đó. Giống như các biến thể khác của ransomware STOP, ransomware Kolz được phân phối bởi các trang web cung cấp tải xuống torrent, trò chơi đã bẻ khóa, phần mềm miễn phí, trình tạo khóa, trình kích hoạt, v.v.

Khi thực thi, Kolz tạo một thư mục trong thư mục hệ thống Windows, nơi nó đặt một bản sao của chính nó và thay đổi một số cài đặt Windows để nó khởi động mỗi khi máy tính được khởi động lại hoặc bật. Virus thu thập thông tin về máy tính của nạn nhân và sau đó cố gắng thiết lập kết nối với máy chủ lệnh (C&C) của nó. Nếu kết nối đã được thiết lập, thì nó sẽ gửi thông tin về máy tính bị nhiễm đến máy chủ và để phản hồi lại, nó sẽ nhận được khóa mã hóa (cái gọi là ‘khóa trực tuyến’) và các lệnh bổ sung và phần mềm độc hại phải được thực thi trên máy tính của nạn nhân. Nếu vi rút không thể thiết lập kết nối với máy chủ lệnh của nó, thì nó sẽ sử dụng một khóa cố định (cái gọi là ‘khóa ngoại tuyến’).

Virus Kolz mã hóa các tệp bằng thuật toán mã hóa mạnh và khóa dài (‘khóa ngoại tuyến’ hoặc ‘khóa trực tuyến’, như mô tả ở trên). Virus cố gắng mã hóa càng nhiều tệp càng tốt, vì điều này, nó chỉ mã hóa 154kb nội dung đầu tiên của mỗi tệp và do đó tăng tốc đáng kể quá trình mã hóa. Kolz có khả năng mã hóa các tập tin trên tất cả các ổ đĩa kết nối với máy tính: ổ cứng gắn trong, đĩa USB flash, bộ lưu trữ mạng, v.v. Nó bỏ qua mà không cần mã hóa: các tệp nằm trong thư mục hệ thống Windows, tệp có phần mở rộng .dll, .lnk, .ini, .bat, .sys và tệp có tên ‘_readme.txt’. Các tệp còn lại nằm trên máy tính của nạn nhân có thể được mã hóa. Ví dụ: các loại tệp sau đây có thể là mục tiêu của cuộc tấn công ransomware:

.zdc, .dmp, .t12, .wpd, .qic, .iwi, .x3f, .mlx, .rofl, .txt, .cas, .raw, .webp, .wma, .xlsm, .pef, .mcmeta , .gdb, .p7b, .tor, .odb, .wdp, .ppt, .kdc, .fsh, .layout, .wps, .mdf, .snx, .desc, .xlsb, .bc7, .yml ,. ltx, .bc6, .ff, .blob, .hplg, .wpw, .epk, .wmv, .xdl, .x3d, .mdbackup, .wotreplay, .wsh, .xdb, .odm, .erf, .crt, .ntl, .orf, .wbmp, .hvpl, .x3f, .wsc, .ybk, .gho, .wm, .xld, .itm, .bkp, .hkx, .xlk, .rgss3a, .t13, .wbm , .wmo, .das, .wmv, .xy3, .bkf, .webdoc, .xpm, .sum, .jpeg, .wpd, .xwp, .sb, .wma, .xml, .dbf, .sie ,. ws, .xbplate, .docm, .xlsm, .bar, .srw, .apk, .xmind, .w3x, .y, .cdr, .wpt, .re4, .pkpass, .qdf, .sidd, .dcr, .accdb, .pptx, .upk, .rtf, .dazip, .psk, .zif, .m4a, .1, .eps, .der, .iwd, .wb2, wallet, .yal, .wbd, .hkdb, .zdb, .wpl, .xll, .dxg, .7z, .odt, .ysp, .mrwref, .wsd, .z, .map, .icxs, .pfx, .fos, .xlsx, .wps, .sav , .dng,.odp, .psd, .ods, .3dm, .mp4, .litemod, .bsa, .xbdoc, .ncf, .srf, .cr2, .esm, .xmmap, .vcf, .xxx, .wmf, .odc, .wbk, .wn, .d3dbsp, .pdd, .sr2, .cfr, .vpk, .forge, .bik, .wgz, .flv, .asset, .arch00, .rb, .mpqge, .xlgc, .wp4 , .ibank, .zw, .wmd, .big, .ztmp, .x, .slm, .tax, .bay, .1st, .wpb, .zabw, .wp7, .menu, .lbf, .wav ,. r3d, .wcf, .m3u, .zip, .3fr, .wbc, .wbz, .sid, .zi, .raf, .fpk, .wpe, .xls, .indd, .db0, .mdb, .xar, .doc, .py, .0, .pst, .vdf, .jpg, .sql, .xxindd, .db0, .mdb, .xar, .doc, .py, .0, .pst, .vdf, .jpg, .sql, .xxindd, .db0, .mdb, .xar, .doc, .py, .0, .pst, .vdf, .jpg, .sql, .xx

Kolz mã hóa từng tệp. Mỗi tệp đã được mã hóa sẽ được đổi tên, phần mở rộng .kolz sẽ được thêm vào cuối tên của nó. Điều này có nghĩa là sau đây. Nếu tệp có tên ‘mydocument.docx’, thì sau khi virus mã hóa nó, tệp này sẽ có tên ‘mydocument.docx.kolz’. Trong mỗi thư mục có ít nhất một tệp được mã hóa, vi-rút sẽ đặt tệp có tên ‘_readme.txt’. Tệp chứa một tin nhắn từ các tác giả Kolz. Dưới đây là một ví dụ về nội dung của tệp này.

Thông báo này nói rằng tất cả các tệp trên máy tính đều được mã hóa và cách duy nhất để giải mã chúng là mua khóa và bộ giải mã từ các tác giả của virus Kolz. Đó là, bọn tội phạm yêu cầu một khoản tiền chuộc cho việc mở khóa các tập tin của nạn nhân. Kích thước của khoản tiền chuộc là 980 đô la, nhưng nếu nạn nhân sẵn sàng trả tiền chuộc trong vòng 72 giờ, thì kích thước của nó sẽ giảm một nửa xuống còn 490 đô la. Những kẻ tấn công đề nghị nạn nhân xác minh rằng các tệp được mã hóa có thể được giải mã. Để làm điều này, nạn nhân phải gửi cho họ một tệp nhỏ tới một trong các địa chỉ email được chỉ định trong tệp ‘_readme.txt’. Tất nhiên, rõ ràng là một tệp tin được giải mã đơn lẻ không thể đảm bảo rằng sau khi trả tiền chuộc, bọn tội phạm sẽ cung cấp cho nạn nhân một khóa hoạt động và bộ giải mã.

Nội dung được trình bày trong ghi chú tiền chuộc Kolz:

CHÚ Ý!

Đừng lo lắng, bạn có thể trả lại tất cả các tệp của mình!
Tất cả các tệp của bạn như ảnh, cơ sở dữ liệu, tài liệu và các tệp quan trọng khác đều được mã hóa bằng mã hóa mạnh nhất và khóa duy nhất.
Phương pháp duy nhất để khôi phục tệp là mua công cụ giải mã và khóa duy nhất cho bạn.
Phần mềm này sẽ giải mã tất cả các tệp được mã hóa của bạn.
Điều gì đảm bảo bạn có?
Bạn có thể gửi một trong các tệp được mã hóa từ PC của mình và chúng tôi giải mã miễn phí.
Nhưng chúng tôi chỉ có thể giải mã 1 tập tin miễn phí. Tệp không được chứa thông tin có giá trị.
Bạn có thể xem và xem video tổng quan về công cụ giải mã:
https://we.tl/t-18R6r7GGG8
Giá của khóa riêng và phần mềm giải mã là $ 980.
Giảm giá 50% nếu bạn liên hệ với chúng tôi trong 72 giờ đầu tiên, đó là giá cho bạn là $ 490.
Xin lưu ý rằng bạn sẽ không bao giờ khôi phục dữ liệu của mình mà không cần thanh toán.
Kiểm tra thư mục “Spam” hoặc “Junk” trong e-mail của bạn nếu bạn không nhận được câu trả lời trong hơn 6 giờ.

Để có được phần mềm này, bạn cần viết trên e-mail của chúng tôi:
[email protected]

Đặt trước địa chỉ e-mail để liên hệ với chúng tôi:
[email protected]

ID cá nhân của bạn:
0252IjrfghZcC4PEfaqDNIXxy0ProMPOAk3JS3K1JoUqoq0t1

Tóm tắt về mối đe dọa

Tên	Virus Kolz, Kolz ransomware
Kiểu	Phần mềm độc hại tiền điện tử, Ransomware, Trình khóa tệp, Vi rút tiền điện tử, Filecoder
Phần mở rộng tệp được mã hóa	.kolz
Lưu ý tiền chuộc	_readme.txt
Tiếp xúc	[email protected], [email protected]
Số tiền chuộc	$ 490, $ 980 bằng Bitcoin
Tên phát hiện	Trojan / Win32.RL_Wacatac.R351560, Trojan: Win32 / Kryptik.4a9b279a, Win32: MalwareX-gen [Trj], Trojan.TR/AD.InstaBot.BO, Win32.Trojan-Ransom.STOP.KXAY9Y, Ransom: Win32 / STOP .BS! MTB, Trojan.Win32.Generic! BT, HEUR: Exploit.Win32.Shellcode.gen
Các triệu chứng	Không thể mở tệp được lưu trữ trên máy tính. Ảnh, tài liệu và nhạc của bạn có tên, hậu tố hoặc phần mở rộng sai hoặc trông không đúng khi bạn mở chúng. Các thư mục tệp của bạn chứa tệp ‘ghi chú đòi tiền chuộc’ thường là tệp .html, .jpg hoặc .txt. Nền màn hình được thay đổi thành ghi chú tiền chuộc.
Phương thức phân phối	Tệp đính kèm email độc hại. Tải xuống bằng cách lái xe (khi người dùng vô tình truy cập trang web bị nhiễm và sau đó phần mềm độc hại được cài đặt mà người dùng không biết). Phương tiện truyền thông xã hội, như các chương trình nhắn tin tức thời dựa trên web. Các trang web Torrent.

Cách loại bỏ vi rút Kolz, Khôi phục, Giải mã các tệp .kolz

Các nhà nghiên cứu bảo mật xác nhận lời của các tác giả của virus Kolz. Tất cả các tệp có phần mở rộng ‘.Kolz’ đều được mã hóa và do đó không thể đọc và sử dụng. Cách duy nhất để giải mã chúng là sử dụng khóa và bộ giải mã. May mắn thay, có một số tin tốt. Như chúng tôi đã báo cáo ở trên, virus Kolz thuộc họ STOP ransomware, có nghĩa là bạn có thể sử dụng trình giải mã miễn phí do Emsisoft tạo ra để giải mã các tệp được mã hóa. Ngay cả khi trình giải mã không giúp được gì, vẫn có một số cách thay thế có thể giúp khôi phục nội dung của các tệp được mã hóa. Để tìm hiểu thêm về giải mã tệp, chỉ cần cuộn xuống phần ‘Cách giải mã tệp .kolz’. Đọc kỹ toàn bộ hướng dẫn sử dụng. Để giúp bạn làm theo hướng dẫn dễ dàng hơn, chúng tôi khuyên bạn nên in hoặc mở trên điện thoại thông minh của mình.

Tải về công cụ giải mã và video hướng dẫn giải mã Kolz ransomware

Tải file công cụ và video hướng dẫn chi tiết bên trong file tải về.

• Link Google Drive : http://download.baominh.tech/0zKv
• Link Uploading.vn : http://download.baominh.tech/WT6keFv3

Pass giải nén là baominh.tech

Lưu ý phải thực hiện từng bước theo video hướng dẫn trong file tải về