เรามีความยินดีที่จะประกาศว่า Bitdefender มีเครื่องมือถอดรหัสใหม่สำหรับมัลแวร์อย่าง Paradise Ransomware

Paradise Ransomware ซึ่งคาดว่ามีจุดเริ่มต้นในปี 2017 ได้รับการแพร่กระจายอย่างจริงจัง เพื่อให้บริการแก่บริษัทในเครือที่สนใจ อาการหลังจากการติดมัลแวร์นี้ จะตรวจสอบว่าภาษาของแป้นพิมพ์ถูกตั้งค่าเป็นภาษารัสเซีย, คาซัคสถาน, เบลารุส หรือยูเครน และถ้ามีการตั้งค่าในภาษาดังกล่าว ก็จะออกโดยไม่โดนเข้ารหัส หากไม่ใช่กลุ่มภาษาดังกล่าว ก็จะถูกเข้ารหัสไฟล์ และลบ shadow copy เพื่อป้องกันผู้ใช้จากการเรียกคืนค่าดั้งเดิม

หลังจากการเข้ารหัส จะแสดงข้อความเรียกค่าไถ่ ดังต่อไปนี้:

เครื่องมือถอดรหัส Bitdefender ใหม่นี้ สามารถคืนค่าตามนามสกุลของไฟล์ ดังต่อไปนี้:

. FC, . 2ksys19, . p3rf0rm4, . Recognizer, . VACv2, . paradise, . CORP, .immortal, . exploit, . prt, . STUB, . sev, . sambo 

เราจะใช้งานเครื่องมือได้อย่างไร

ขั้นตอนที่ 1: ทำการดาวน์โหลดเครื่องมือถอดรหัสตาม URL ด้านล่าง และบันทึกไว้ในคอมพิวเตอร์ของคุณ

หมายเหตุ: เครื่องมือนี้ไม่ต้องการการเชื่อมต่ออินเทอร์เน็ตก็สามารถใช้งานได้ 

ขั้นตอนที่ 2: ดับเบิลคลิกที่แฟ้ม (ที่บันทึกไว้ก่อนหน้านี้เป็นไฟล์ BDParadiseDecryptor.exe) และอนุญาตให้เรียกใช้ โดยคลิก "Yes" ในหน้าต่าง UAC

ขั้นตอนที่ 3: ยอมรับข้อตกลงสิทธิ์การใช้งานสำหรับผู้ใช้ปลายทาง

เราขอแนะนำให้คุณเลือก “Backup files” ก่อนเริ่มกระบวนการถอดรหัสไฟล์ ในกรณีที่มีสิ่งที่ไม่คาดคิดเกิดขึ้นขณะทำการถอดรหัส จากนั้นกด “Scan”

“test folder” จะต้องมีไฟล์ต้นฉบับ / ที่ถูกเข้ารหัส ซึ่งจะถูกใช้เพื่อกำหนดคีย์ในการถอดรหัส จำเป็นอย่างยิ่งที่โฟลเดอร์นี้จะมีไฟล์ต้นฉบับ และไฟล์ที่ถูกเข้ารหัสคู่กันหนึ่งไฟล์เท่านั้น และไฟล์ทั้งสองควรมีขนาดอย่างน้อย 15 kb

ผู้ใช้งานยังสามารถตรวจสอบตัวเลือก “Overwrite existing clean files” ภายใต้ “Advanced Option” เพื่อให้เครื่องมือทำการเขียนทับไฟล์ที่ถูกทำความสะอาดแล้ว

ในตอนท้ายของขั้นตอนนี้ไฟล์ของคุณควรได้รับการถอดรหัส

หากคุณพบปัญหาใด ๆ โปรดติดต่อเราที่ support@bitdefender.co.th.

หากคุณเลือกตัวเลือกสำรองข้อมูล (Backup) คุณจะเห็นทั้งไฟล์ที่ถูกเข้ารหัสและถูกถอดรหัส นอกจากนี้คุณยังสามารถค้นหาบันทึก (Log) อธิบายกระบวนการถอดรหัสในโฟลเดอร์  %temp%\BDRemovalTool :   

ในการกำจัดไฟล์ที่ถูกเข้ารหัสของคุณ หลังจากการถอดรหัส เพียงค้นหาไฟล์ที่ตรงกับนามสกุลเดิม และลบออกเป็นกลุ่ม เราไม่สนับสนุนให้คุณทำเช่นนี้ เว้นเสียแต่ว่าคุณได้ตรวจสอบจนแน่ใจแล้วว่าไฟล์ของคุณสามารถเปิดได้อย่างปลอดภัย และไม่มีไฟล์ถอดรหัสที่เสียหายเกิดขึ้น

การทำ Silent execution (ผ่าน cmdline)  

เครื่องมือสามารถทำงานได้แบบ Silent execution ผ่าน Command line หากคุณต้องการปรับใช้เครื่องมือแบบอัตโนมัติภายในเครือข่ายขององค์กรที่มีขนาดใหญ่ คุณอาจต้องใช้คุณสมบัตินี้  

• -help – ให้ข้อมูลเกี่ยวกับวิธีการเรียกใช้เครื่องมือใน Silent mode (ข้อมูลนี้จะถูกเขียนใน Log ไฟล์ ไม่ใช่บนคอนโซล)

• start - อาร์กิวเมนต์นี้อนุญาตให้เครื่องมือรันแบบ Silent (ไม่มี GUI)   
• –path - อาร์กิวเมนต์นี้ระบุเส้นทางพาธที่จะสแกน
• –test - อาร์กิวเมนต์นี้ระบุพาธทดสอบไปยังคู่ของไฟล์ต้นฉบับ / ที่ถูกเข้ารหัส
• o0:1 -  เปิดใช้งานตัวเลือก Scan entire system (ไม่สนใจ -path อาร์กิวเมนต์)  
• o1:1 - เปิดใช้งานตัวเลือก Backup files  
• o2:1 - เปิดใช้งานตัวเลือก Overwrite existing files

ตัวอย่าง:   

BDParadiseDecryptor.exe start -path:”C:\” -> เครื่องมือจะทำการสแกนแบบไม่มี GUI และจะสแกนเฉพาะ C:\   

BDParadiseDecryptor.exe start o0:1 -> เครื่องมือจะทำการสแกนแบบไม่มี GUI และจะสแกนทั้งระบบ

BDParadiseDecryptor.exe start o0:1 o1:1 o2:1 -> เครื่องมือนี้จะสแกนทั้งระบบไฟล์ที่ถูกเข้ารหัสสำรอง และเขียนทับไฟล์ปัจจุบันที่ถูกแก้ไขแล้ว

ขอบคุณไปยัง:  

ผลิตภัณฑ์นี้รวมถึงซอฟต์แวร์ที่พัฒนาโดย OpenSSL Project สำหรับใช้ใน OpenSSL Toolkit (http://www.openssl.org/)