RA Ransomware 🔐 (.RAWLD File) — Removal Guide

Published by TUNGTEK Tùng 🌥️, December 9th, 2023

Sưu tầm bởi TUNGTEK và dịch từ Google.

Clip source: RA Ransomware (.RAWLD File) — Removal Guide

Virus NBWR (Tệp .NBWR) Hướng dẫn giải mã và loại bỏ

7 giây trước

Virus Nbwr , còn được gọi là lây nhiễm ransomware, thuộc họ STOP/DJVU. Phần mềm độc hại này nổi tiếng với các hoạt động mã hóa tệp ác tính. Sau khi vi-rút Nbwr lây nhiễm vào máy tính, nó sẽ quét hệ thống để tìm các tệp như tài liệu, video, ảnh, v.v. Nó thay đổi cấu trúc tệp và thêm phần mở rộng ".nbwr" vào mỗi tệp được mã hóa, khiến chúng không thể sử dụng được nếu không có khóa giải mã.

Bài viết này có chứa:

Làm cách nào để giải mã tập tin .nbwr?

Làm cách nào để khôi phục tệp .nbwr?

Các câu hỏi thường gặp

Tổng quan về virus Nbwr

Nbwr

Phần mềm độc hại Nbwr thuộc loại ransomware thuộc họ DJVU/STOP. Mục đích chính của nó là mã hóa các tập tin của bạn. Sau đó, ransomware này yêu cầu một khoản phí chuộc – ($490 – $980) bằng Bitcoin.

Virus Nbwr là một loại phần mềm độc hại mã hóa các tệp của bạn và khiến bạn phải trả tiền cho việc giải mã chúng. Phần mềm ransomware này mã hóa các loại tệp khác nhau. các tập tin được mã hóa có thể được xác định bằng phần mở rộng " .nbwr " riêng biệt. Các tập tin bị ảnh hưởng trở nên không thể truy cập được và không sử dụng được.

Sau đó, ransomware yêu cầu nạn nhân thanh toán giải mã tệp bằng Bitcoin, dao động từ 490 USD đến 980 USD , tùy thuộc vào thời gian trôi qua sau cuộc tấn công. Thông thường, tệp văn bản đòi tiền chuộc có tên là " _readme.txt ".

Ransomware Nbwr hoạt động với thuật toán mã hóa Salsa20 để mã hóa các tệp được nhắm mục tiêu. Vì virus Nbwr áp dụng phương pháp mã hóa mạnh như vậy nên việc chọn khóa giải mã mà không hợp tác với những kẻ tấn công trở nên thực sự khó khăn, nếu có thể.

Sau khi các tệp được mã hóa, virus Nbwr sẽ hiển thị thông báo đòi tiền chuộc cho nạn nhân, yêu cầu thanh toán tiền chuộc cho khóa giải mã. Thông báo đòi tiền chuộc cung cấp hướng dẫn về cách thực hiện thanh toán và cũng thường bao gồm các mối đe dọa mất dữ liệu vĩnh viễn hoặc số tiền chuộc tăng lên nếu tiền chuộc không được trả trong một khung thời gian cụ thể.

Tôi đã tạo một danh sách đầy đủ các giải pháp, lời khuyên và phương pháp tiềm năng để vô hiệu hóa phần mềm tống tiền Nbwr và khôi phục các tệp của bạn . Trong một số trường hợp, có thể khôi phục được các tệp của bạn, trong khi đôi khi, điều đó có thể là không thể.

Brendan Smith

Chuyên gia bảo mật CNTT

Đầu tiên, hãy thực hiện quét PC bằng công cụ chống vi-rút!

Tôi sẽ hỗ trợ bạn loại bỏ vi-rút Nbwr và hướng dẫn bạn quy trình giải mã hoặc khôi phục các tệp bị mã hóa. Dưới đây, bạn sẽ tìm thấy một số phương pháp có thể áp dụng phổ biến để khôi phục các tệp .nbwr được mã hóa . Điều quan trọng là phải đọc kỹ và hiểu toàn bộ bộ hướng dẫn. Đừng bỏ qua bất kỳ bước nào. Mỗi bước đều vô cùng quan trọng và bạn phải hoàn thành.

TẢI NGAY

Gridinsoft Anti-Malware có bản dùng thử 6 ngày. EULA | Chính sách bảo mật | Gridinsoft

Đăng ký kênh Telegram của chúng tôi để trở thành người đầu tiên biết về tin tức và tài liệu độc quyền của chúng tôi về bảo mật thông tin.

Nhắc nhở quan trọng!

Điều quan trọng cần lưu ý là việc trả hết tiền chuộc không đảm bảo cho việc khôi phục tệp thành công. Những cá nhân đằng sau virus Nbwr được biết đến là người không đáng tin cậy. Có những trường hợp người ta đã trả tiền chuộc nhưng bị tội phạm mạng từ chối cung cấp khóa giải mã.

Nbwr sử dụng một khóa duy nhất cho mỗi nạn nhân, với một ngoại lệ:

Nếu Nbwr không kết nối được máy chủ chỉ huy và điều khiển (C&C) trước khi bắt đầu quá trình mã hóa , nó sẽ sử dụng các khóa ngoại tuyến làm tùy chọn dự phòng. Khóa ngoại tuyến giống nhau đối với tất cả người dùng, cho phép giải mã các tệp bị mã hóa bởi phần mềm tống tiền.

Virus Nbwr rất giống với các mẫu ransomware DJVU khác như Nbzi , Jazi , Jawr và Gyza . Loại vi-rút này mã hóa nhiều loại tệp phổ biến và gắn phần mở rộng ".nbwr" riêng biệt của nó vào tất cả các tệp. Ví dụ: một tệp có tên " 1.jpg " sẽ được thay đổi thành " 1.jpg.nbwr " và " 2.png " thành " 2.png.nbwr ".

Sau khi mã hóa thành công, virus tạo ra một tệp văn bản đặc biệt có tên " _readme.txt " và đặt nó vào mọi thư mục chứa các tệp được mã hóa. Nó cũng thêm tệp này vào màn hình nền, vì vậy nạn nhân sẽ không bỏ lỡ sự xuất hiện của nó ngay cả khi không mở thư mục.

Hình ảnh bên dưới cung cấp hình ảnh trực quan của các tệp có phần mở rộng "nbwr":

Tệp được mã hóa bởi STOP/DJVU Ransomware

Tên	Virus Nbwr
Nhóm phần mềm tống tiền¹	DJVU/DỪNG² phần mềm tống tiền
Sự mở rộng	.nbwr
Ghi chú về phần mềm tống tiền	_readme.txt
tiền chuộc	Từ $490 đến $980 (bằng Bitcoin)
Liên hệ	support@fishmail.top , datarestorehelp@airmail.cc
Phát hiện	Loại bỏ vi-rút Win32/Filecoding.Avaddon.H , TrojanDropper:Win32/BcryptInject.A!MTB Loại bỏ vi-rút , Loại bỏ vi-rút BScope.TrojanRansom.Reveton
Triệu chứng	Cài đặt Trojan đánh cắp mật khẩu trên hệ thống, như Vidar Stealer hoặc RedLine Stealer ; Thêm danh sách tên miền vào tệp HOSTS để chặn quyền truy cập vào một số trang liên quan đến bảo mật; Mã hóa hầu hết các tệp của bạn (ảnh, video, tài liệu) và thêm phần mở rộng ".nbwr" cụ thể; Quản lý cài đặt cửa sau SmokeLoader ; Có thể xóa các bản sao Volume Shadow để khiến nỗ lực khôi phục dữ liệu của nạn nhân không thể thực hiện được;
Công cụ sửa lỗi	Để loại bỏ khả năng lây nhiễm phần mềm độc hại, hãy quét PC của bạn: Gridinsoft Chống phần mềm độc hại Có 6 ngày dùng thử miễn phí.

Thông báo yêu cầu thanh toán này dành cho việc khôi phục tập tin thông qua khóa giải mã:

_readme.txt (STOP/DJVU Ransomware) – Thông báo đáng sợ yêu cầu người dùng trả tiền chuộc để giải mã dữ liệu bị mã hóa chứa những lời khuyên khó chịu này.

Phần mềm tống tiền Nbwr xuất hiện dưới dạng một tập hợp các hành động nhằm thực thi một số tác vụ nhất định trên máy tính của nạn nhân. Một trong những chương trình chính đang được tung ra là winupdate.exe, một quy trình lừa đảo hiển thị cảnh báo cập nhật Windows giả trong cuộc tấn công. Điều đó là cần thiết để thuyết phục nạn nhân rằng PC của họ trở nên chậm do cập nhật Windows.

Đồng thời, ransomware chạy một quy trình khác (tên thường bao gồm 4 ký tự ngẫu nhiên), bắt đầu quét hệ thống để tìm các tệp mục tiêu và mã hóa chúng. Sau đó, ransomware xóa Volume Shadow Copies khỏi đĩa bằng lệnh CMD sau:

vssadmin.exe Xóa bóng /Tất cả /Quiet

Sau khi xóa, hầu như không thể khôi phục trạng thái máy tính trước đó bằng Điểm khôi phục hệ thống . Vấn đề là, những kẻ khai thác ransomware đang loại bỏ mọi phương pháp tích hợp sẵn trong Windows có thể hỗ trợ nạn nhân khôi phục tệp miễn phí. Ngoài ra, những kẻ bất lương còn sửa đổi tệp Windows HOSTS bằng cách thêm danh sách các miền vào đó và chuyển hướng chúng đến IP localhost. Kết quả là nạn nhân sẽ gặp lỗi DNS_PROBE_FINISHED_NXDOMAIN khi cố gắng truy cập một trong các trang web nằm trong danh sách đen.

Chúng tôi nhận thấy rằng ransomware cố gắng hạn chế các trang web đăng nhiều hướng dẫn cách thực hiện khác nhau cho người dùng máy tính. Rõ ràng là bằng cách hạn chế các tên miền cụ thể, kẻ lừa đảo đang cố gắng cản trở nạn nhân tiếp cận trực tuyến thông tin liên quan và hữu ích liên quan đến cuộc tấn công bằng ransomware. Phần mềm độc hại này cũng lưu hai tệp .txt trên máy tính của nạn nhân để cung cấp thông tin chi tiết liên quan đến cuộc tấn công – khóa mã hóa công khai và ID cá nhân của nạn nhân. Hai file này có tên là bowsakkdestx.txt và PersonalID.txt .

Sau tất cả những thay đổi này, phần mềm độc hại không dừng lại. Các biến thể của STOP/DJVU có xu hướng triển khai Trojan đánh cắp mật khẩu Vidar trên các hệ thống bị xâm nhập. Mối đe dọa này mang theo một danh sách lớn các khả năng, bao gồm:

Xâm nhập vào máy tính của nạn nhân bằng phần mềm độc hại và thực thi nó để có được quyền truy cập trái phép.
Lấy quyền truy cập trái phép vào thông tin đăng nhập của Steam, Telegram và Skype.
Thao tác và xem các tập tin trên máy tính của nạn nhân mà họ không hề hay biết.
Đánh cắp ví tiền điện tử từ hệ thống của nạn nhân.
Cấp cho tin tặc quyền kiểm soát từ xa máy tính của nạn nhân để thực hiện nhiều hoạt động độc hại khác nhau.
Trích xuất thông tin nhạy cảm như cookie trình duyệt, mật khẩu đã lưu và lịch sử duyệt web.

Thuật toán mã hóa được virus DJVU/STOP sử dụng là AES-256. Vì vậy, nếu dữ liệu của bạn được mã hóa bằng khóa giải mã trực tuyến thì khả năng lấy lại các tệp của bạn là khá thấp. Vấn đề là, chìa khóa này là duy nhất cho mỗi nạn nhân và việc lấy nó sẽ mất rất nhiều thời gian.

Lấy key trực tuyến bằng cách khác cũng gần như không thể. Nó được lưu giữ trên một máy chủ từ xa do tin tặc điều khiển, những kẻ đã phát tán phần mềm độc hại Nbwr. Để nhận được khóa giải mã, khoản thanh toán phải là $980. Để có được thông tin thanh toán chi tiết, nạn nhân nên liên hệ với tin tặc qua email ( support@fishmail.top ).

Thông báo của ransomware nêu thông tin sau:

CHÚ Ý!

Đừng lo lắng, bạn có thể trả lại tất cả các tập tin của mình!

Tất cả các tệp của bạn như ảnh, cơ sở dữ liệu, tài liệu và các tệp quan trọng khác đều được mã hóa bằng mã hóa mạnh nhất và khóa duy nhất.
Phương pháp khôi phục tập tin duy nhất là mua công cụ giải mã và khóa duy nhất cho bạn.
Phần mềm này sẽ giải mã tất cả các tập tin được mã hóa của bạn.

Bạn có những gì đảm bảo?

Bạn có thể gửi một trong các tệp được mã hóa từ PC của mình và chúng tôi giải mã nó miễn phí.
Nhưng chúng tôi chỉ có thể giải mã miễn phí 1 tệp. Tệp không được chứa thông tin có giá trị.

Bạn có thể tải và xem công cụ giải mã tổng quan video:

https://we.tl/t-WJa63R98Ku

Giá của khóa riêng và phần mềm giải mã là 980 USD.
Giảm giá 50% nếu bạn liên hệ với chúng tôi trong 72 giờ đầu tiên, giá đó dành cho bạn là $490.

Xin lưu ý rằng bạn sẽ không bao giờ khôi phục dữ liệu của mình nếu không thanh toán.

Kiểm tra thư mục "Thư rác" hoặc "Thư rác" nếu bạn không nhận được câu trả lời sau hơn 6 giờ.

Để có được phần mềm này, bạn cần viết vào e-mail của chúng tôi:

support@fishmail.top

Đặt trước địa chỉ email để liên hệ với chúng tôi:

datarestorehelp@airmail.cc

ID cá nhân của bạn:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Làm thế nào để loại bỏ phần mềm tống tiền STOP/Djvu?

Loại bỏ Virus Nbwr bằng Gridinsoft Anti-Malware

Chúng tôi cũng đã sử dụng phần mềm này trên hệ thống của mình kể từ đó và nó luôn thành công trong việc phát hiện vi-rút. Nó đã chặn Ransomware phổ biến nhất như được hiển thị trong các thử nghiệm của chúng tôi với phần mềm và chúng tôi đảm bảo với bạn rằng nó có thể loại bỏ Virus Nbwr cũng như phần mềm độc hại khác ẩn trên máy tính của bạn.

Để sử dụng Gridinsoft để loại bỏ các mối đe dọa độc hại, hãy làm theo các bước dưới đây:

1.Bắt đầu bằng cách tải xuống Gridinsoft Anti-Malware, có thể truy cập qua nút màu xanh bên dưới hoặc trực tiếp từ trang web chính thức Gridinsoft.com .

Gridinsoft Chống phần mềm độc hại

2.Khi tệp thiết lập Gridinsoft ( setup-gridinsoft-fix.exe ) được tải xuống, hãy thực thi nó bằng cách nhấp vào tệp.

3.Thực hiện theo các hướng dẫn của trình hướng dẫn thiết lập cài đặt một cách chăm chỉ.

4.Truy cập " Tab scan " trên màn hình, bắt đầu ứng dụng và khởi chạy " Quét toàn bộ thiết bị " để kiểm tra toàn bộ máy tính của bạn. Quá trình quét toàn diện này bao gồm bộ nhớ , mục khởi động , đăng ký , dịch vụ , trình điều khiển và tất cả các tệp, đảm bảo rằng phát hiện phần mềm độc hại ẩn ở tất cả các vị trí có các.

Hãy cung cấp thông tin vì thời gian quét phụ thuộc vào số lượng tệp và khả năng phần cứng của máy tính của bạn. Vui lòng sử dụng thời gian này để thư giãn hoặc thực hiện các công việc khác.

5.Sau khi hoàn tất, Anti-Malware sẽ hiển thị một báo cáo chi tiết chứa tất cả các mục độc hại và mối đe dọa được phát hiện trên PC của bạn.

6. Chọn tất cả các mục được xác định từ báo cáo và tự động nhấp vào nút " Clean Now ". Hành động này sẽ xóa các chất độc hại khỏi máy tính của bạn một cách an toàn, chuyển chúng đến vùng cách ly an toàn của chương trình chống phần mềm độc hại để ngăn chặn mọi hành động có hại khác.

số 8.Nếu được nhắc, hãy khởi động lại máy tính của bạn để hoàn tất quá trình quét toàn bộ hệ thống. Bước này rất quan trọng để đảm bảo loại bỏ hoàn toàn để mọi mối đe dọa còn lại. Sau khi khởi động lại, Gridinsoft Anti-Malware sẽ mở và hiển thị thông báo xác thực đã hoàn tất trong quá trình quét .

Hãy nhớ Gridinsoft cung cấp bản dùng thử miễn phí 6 ngày . Điều này có nghĩa là bạn có thể tận dụng thời gian dùng thử miễn phí để trải nghiệm toàn bộ lợi ích của phần mềm và ngăn chặn bất kỳ sự lây lan phần mềm độc hại nào trong tương lai trên hệ thống của bạn. Hãy sử dụng cơ hội này để củng cố cố định bảo mật cho máy tính của bạn mà không cần bất kỳ tài khoản chính cam nào.

Trojan Killer để loại bỏ "Nbwr Virus" trên PC bị khóa

Trong trường hợp không thể tải trực tiếp các ứng dụng chống vi-rút xuống máy tính nhiễm độc do phần mềm độc hại chặn quyền truy cập vào các trang web, một giải pháp thay thế là sử dụng ứng dụng Trojan Killer.

Có rất ít công cụ bảo mật có thể được thiết lập trên ổ USB và các phần mềm chống vi-rút có thể làm như vậy trong hầu hết các trường hợp đều yêu cầu phải có giấy phép khá tiền. Trong trường hợp này, tôi có thể khuyên bạn nên sử dụng một giải pháp khác của GridinSoft - Trojan Killer Portable . Nó có chế độ thử miễn phí, cung cấp tính năng an toàn cho phiên bản trả phí trong 14 ngày. Thuật ngữ này chắc chắn sẽ đủ 100% để quét sạch phần mềm độc hại.

Trojan Killer là một công cụ có giá trị trong kho vũ khí an ninh mạng của bạn, giúp bạn loại bỏ phần mềm độc hại khỏi máy tính bị nhiễm độc một cách hiệu quả . Bây giờ, chúng tôi sẽ hướng dẫn bạn quy trình sử dụng Trojan Killer từ ổ flash USB để quét và xóa phần mềm độc hại trên PC bị nhiễm virus. Hãy nhớ rằng, luôn xin phép quét và xóa các phần mềm độc hại khỏi máy tính mà bạn không sở hữu.

Bước 1 : Tải xuống và cài đặt Trojan Killer trên máy tính sạch sẽ:

1. Vui lòng vào trang web chính thức của GridinSoft ( Gridinsoft.com ) và tải Trojan Killer về máy tính không bị nhiễm virus .

2. Tăng cường flash USB vào máy tính này.

3.Cài đặt Trojan Killer vào " drive disk di động " theo hướng dẫn trên màn hình.

4.Sau khi quá trình cài đặt hoàn tất, hãy khởi chạy Trojan Killer .

Bước 2 : Cập nhật chữ ký cơ sở dữ liệu:

5.Sau khi khởi chạy Trojan Killer, hãy đảm bảo rằng máy tính của bạn đã được kết nối với Internet.

6. Nhấn vào biểu tượng "Cập nhật" để tải xuống cơ sở chữ ký mới nhất, điều này sẽ đảm bảo công cụ có thể phát hiện các mối mọt gần đây nhất.

Bước 3 : Quét PC bị nhiễm virus:

7. Rút ổ flash USB ra khỏi máy tính một cách an toàn .

số 8.Khởi động máy tính bị nhiễm virus sang Chế độ an toàn .

9.Lắp ổ flash USB.

10. Chạy tk.exe

11.Khi chương trình được mở, hãy nhấp vào " Quét toàn bộ " để bắt đầu quá trình quét phần mềm độc hại.

Bước 4 : Loại bỏ các mối liên kết đã được tìm thấy:

12.Sau khi quá trình quét hoàn tất , Trojan Killer sẽ hiển thị danh sách các mối đe dọa được phát hiện.

13.Nhấp vào " Cure PC! " để xóa phần mềm độc hại xác định khỏi PC bị nhiễm độc.

14.Thực hiện theo mọi lời nhắc bổ sung trên màn hình để hoàn tất quá trình xóa.

Bước 5 : Khởi động lại máy tính của bạn:

15.Khi các mối đe dọa được loại bỏ, hãy nhấp vào " Khởi động lại PC " để khởi động lại máy tính của bạn.

16.Ổ đĩa flash USB thoát khỏi máy tính bị nhiễm virus.

Chúc mừng bạn đã loại bỏ hiệu quả Virus Nbwr và các mối đe dọa tiềm ẩn khỏi máy tính của mình! Bây giờ bạn có thể yên tâm vì biết rằng họ sẽ không xuất hiện trở lại nữa. Với khả năng và kết nối của Gridinsoft đối với mạng ninh, hệ thống của bạn hiện đã được bảo vệ.

Hướng dẫn bằng video

Làm cách nào để giải mã tệp .nbwr?

Làm cách nào để khôi phục các tệp lớn?

Hãy thử xóa phần mở rộng .nbwr trên một số tệp lớn và mở chúng. Phần mềm độc hại này có vấn đề về việc mã hóa các tệp lớn. Hoặc vi-rút đã quét và không có mã hóa tệp hoặc vi-rút đã bị lỗi và không thêm dấu ấn tệp. Nếu bạn có các tệp rất lớn (2GB +), thì rất có thể tệp sau. Xin vui lòng nhắn tin cho tôi trong phần bình luận xem điều này có ích cho bạn hay không.

Tiện ích mở rộng tiện ích mới nhất được phát hành vào khoảng cuối tháng 8 năm 2019 sau khi bọn tội phạm thực hiện các thay đổi. Điều này bao gồm Nbzi , Jazi , Jawr , vv

Do những sửa đổi do bọn tội phạm thực hiện, STOPDecrypter không còn được hỗ trợ nữa. Nó đã được thay thế bằng Emsisoft Decryptor cho STOP Djvu Ransomware do Emsisoft phát triển.

Bạn có thể tải xuống công cụ giải mã miễn phí tại đây: Decryptor for STOP Djvu .

Tải xuống và chạy công cụ giải mã.
Bắt đầu tải xuống công cụ giải mã .

Đảm bảo khởi chạy giải mã tiện ích cho người quản trị. Bạn cần phải đồng ý với các điều khoản được phép sẽ được đưa ra. Với mục tiêu này, hãy nhấp vào nút " Có ":

Ngay sau khi bạn chấp nhận các điều khoản được phép, bộ giải mã chính giao diện người dùng sẽ xuất hiện:
Chọn thư mục để giải mã.
Dựa trên mặc định cấu hình, bộ giải mã sẽ tự động chọn các thư mục có sẵn để giải mã các ổ đĩa hiện có thể truy cập (những ổ đĩa được kết nối), bao gồm cả mạng ổ đĩa. Bạn có thể chọn thêm địa điểm bằng nút "Thêm".

Bộ giải mã thường xuyên đưa ra một số tùy chọn xem xét họ phần mềm độc hại có thể. Các tùy chọn hiện có thể được hiển thị trong tab Tùy chọn và có thể được bật hoặc tắt ở đó. Bạn có thể tìm thấy danh sách chi tiết các tùy chọn hiện đang hoạt động bên dưới.
Nhấn vào nút "Giải mã".
Ngay sau khi bạn thêm tất cả các vị trí mong muốn để giải mã vào danh sách, hãy nhấp vào nút "Giải mã" để bắt đầu quá trình giải mã.

Lưu ý rằng màn hình chính có thể chuyển bạn sang chế độ xem trạng thái, cho bạn biết về quy trình đang hoạt động và số liệu thống kê giải mã dữ liệu của bạn:

Bộ giải mã sẽ thông báo cho bạn ngay khi quá trình giải mã hoàn tất. Nếu bạn cần báo cáo cho giấy tờ cá nhân của mình, bạn có thể lưu nó bằng cách chọn nút "Lưu nhật ký". Lưu ý rằng bạn cũng có thể sao chép trực tiếp vào khay nhớ tạm thời và dán vào email hoặc tin nhắn tại đây nếu cần.

Bộ giải mã Emsisoft có thể hiển thị các thông báo khác nhau sau khi việc khôi phục tệp của bạn không thành công:

✓ Lỗi: Không thể giải mã được file có ID: [your ID]

Emsisoft không tìm thấy giải mã khóa tương ứng trong cơ sở dữ liệu của họ.

✓ Không có khóa cho Biến trực tuyến ID có thể mới: [ID của bạn]

Lưu ý: ID này có vẻ là ID trực tuyến, không thể giải mã được

Phần mềm độc hại đã sử dụng khóa trực tuyến để mã hóa hóa chất của bạn. Không có ai giải mã chia sẻ khóa với bạn. Khôi phục tập tin mà không trả được tiền cống hiến.

✓ Kết quả: Không có khóa cho ID ngoại tuyến có thể mới: [ID ví dụ]

ID này có vẻ là ID ngoại tuyến. Việc giải mã có thể được thực hiện trong tương lai.

Khóa ngoại tuyến đã được sử dụng nhưng không thể khôi phục tệp (khóa giải mã ngoại tuyến chưa được sử dụng). Tuy nhiên, nhận được thông báo này là tin tốt cho bạn vì bạn có thể khôi phục các tệp của mình trong tương lai.

Có thể mất vài tuần hoặc vài tháng khi tìm thấy khóa giải mã và tải lên bộ giải mã. Vui lòng theo dõi bản cập nhật thông tin về các phiên bản DJVU có thể giải mã tại đây .

✓ Couldn't dex quyết định tên từ xa

Đó là dấu hiệu cho thấy DNS đang cố gắng trên PC của bạn. Hãy thử thiết lập lại HOSTS tệp của bạn về mặc định.

Làm cách nào để khôi phục tệp .nbwr?

Trong một số trường hợp, ransomware không phải là cái chết cho các tập tin của bạn…

Tiếp theo là cơ chế mã hóa hóa ransomware Nbwr: nó mã hóa từng byte tệp, sau đó lưu một bản sao tệp, xóa ( không ghi đè !) tệp cấm đầu. Do đó, tài liệu định vị trên ổ đĩa bị mất nhưng bản gốc tệp không bị xóa khỏi ổ đĩa. Ô hoặc khu vực nơi lưu trữ tệp này vẫn có thể chứa tệp tệp này, nhưng nó không thể được liệt kê hệ thống tệp và có thể bị ghi đè bởi dữ liệu đã được tải vào đĩa này sau khi xóa. Do đó, bạn có thể khôi phục các tập tin của mình bằng phần mềm đặc biệt.

Gần đây máy tính của tôi đã bị nhiễm virus này. Nó đã vượt qua được 2 phần mềm Antivirus và 2 phần mềm diệt phần mềm độc hại.

Dù sao thì sau khi nhận được đó là một thuật toán trực tuyến, tôi không thể lấy lại các tập tin đã được mã hóa của mình. Tôi cũng đã cắm ổ đĩa dự phòng của mình vào thời điểm có vi-rút và ổ đĩa này cũng đã bị nhiễm virus, hoặc tôi nghĩ vậy. Mọi thư mục trong ổ đĩa sao lưu của tôi đều bị nhiễm virus và bị mã hóa. Tuy nhiên, mặc dù bị mất một số tệp quan trọng nhưng tôi đã lấy lại được gần 80% dung lượng lưu trữ 2TB của mình.

Khi tôi bắt đầu xem các thư mục, tôi đã nhận được thông báo đòi tiền công readme.txt trong mỗi thư mục. Tôi mở một số thư mục và thấy rằng tất cả các tệp không nằm trong thư mục trong thư mục đó đã được mã hóa. Tuy nhiên, tôi đã tìm thấy một ổ lỗi và một tia hy vọng khi vào các thư mục ở các thư mục khác và phát hiện ra rằng những tệp này chưa được mã hóa. Tất cả các thư mục trong ổ đĩa c và d của tôi, kể cả các thư mục, đều đã được mã hóa, nhưng trường hợp này không xảy ra khi sao lưu ổ đĩa. Việc tạo các thư mục trong một thư mục đã được tiết kiệm 80% dữ liệu của tôi.

Như tôi đã nói, tôi tin rằng đây chỉ là một lỗi nhỏ trên ổ đĩa sao lưu. Kể từ đó, tôi đã tìm thấy thêm 10% dữ liệu của mình trên một ổ cứng khác trên một máy tính khác. Vì vậy, lời khuyên của tôi là nếu bạn sử dụng bản sao lưu ổ đĩa, hãy tạo các thư mục. Tôi mong đợi là tôi đã may mắn. Nhưng tôi cũng không thể bị virus tấn công khi chuyển một số tệp từ bản sao lưu của mình.

Hy vọng, điều này có thể giúp ích cho nhiều người khác trong hoàn cảnh của tôi.

Jamie Newland

Một số mẹo để sửa chữa khôi phục các tệp Nbwr (đúng với tất cả các biến STOP/DJVU):

Tôi đã tìm thấy các biến Stop/Djvu không được mã hóa các thư mục sâu hơn nên bạn có thể kiểm tra điều đó. Bạn có thể tìm thấy những thứ đó không được mã hóa.
Phần mềm ransomware này lưu dữ liệu được mã hóa thành một tệp mới, xóa bản gốc. Vì vậy, một phần tệp đã bị xóa có thể được khôi phục bằng phần mềm khôi phục tệp. Cấu hình thư mục khó có thể được khôi phục, vì vậy một công cụ miễn phí như PhotoRec có thể tốt như bất kỳ công cụ nào.
Loại ransomware này chỉ mã hóa một phần (đầu tiên khoảng 150 KB), tùy thuộc vào kích thước tệp và loại dữ liệu, phần không thể được mã hóa có thể được phục hồi.

Joep

Khôi phục tập tin của bạn bằng PhotoRec

PhotoRec là một chương trình miễn phí, cấm khởi tạo để khôi phục dữ liệu từ các đĩa bị hỏng hoặc để khôi phục tệp trong trường hợp chúng vô tình bị xóa. Tuy nhiên, theo dòng thời gian, chương trình này có khả năng xuất các tệp ở 400 định dạng khác nhau. Do đó, nó không thể được sử dụng để khôi phục tập tin sau cuộc tấn công Nbwr.

Đầu tiên, bạn phải tải xuống ứng dụng này . Nó miễn phí 100% nhưng nhà phát triển thông báo rằng không có gì đảm bảo rằng các tệp sẽ được khôi phục. PhotoRec được phân phối cùng với một tiện ích khác của nhà phát triển – TestDisk. Kho lưu trữ đã tải xuống sẽ có tên TestDisk nhưng đừng lo lắng. File PhotoRec ở ngay bên trong.

Để mở PhotoRec, hãy tìm và mở tệp "qphotorec_win.exe" . Không cần thiết lập – chương trình này có tất cả các tệp cần thiết trong kho lưu trữ, do đó, bạn có thể lưu nó vào ổ USB của mình và cố gắng giúp bạn bè/cha mẹ/bất kỳ ai đã bị tấn công công việc bởi ransomware Nbwr.

Khi bắt đầu, bạn sẽ chứng kiến màn hình kiến trúc cho bạn toàn bộ danh sách ổ đĩa của bạn. Tuy nhiên, dữ liệu này có thể vô ích vì menu bắt buộc được đặt ở mức cao hơn một chút. Nhấn vào menu này, sau đó chọn đĩa bị ransomware tấn công.

Sau khi chọn đĩa, bạn cần chọn đích thư mục cho các tệp đã xuất. Menu này nằm ở phần dưới của cửa sổ PhotoRec. Lựa chọn tốt nhất là chúng xuất hiện trên ổ USB hoặc bất kỳ loại ổ đĩa nào khác.

Sau đó, bạn cần chỉ định các tệp định dạng. Cài đặt này cũng ở phía dưới. Như đã đề cập, PhotoRec có thể lấy lại các tệp có khoảng 400 định dạng khác nhau.

Cuối cùng, bạn có thể bắt đầu khôi phục tập tin bằng cách nhấn nút "Tìm kiếm". Bạn sẽ quan sát màn hình hiển thị kết quả quét và khôi phục.

Hướng dẫn sử dụng video recovery Nbwr file.

Các câu hỏi thường gặp

Tôi có thể mở tệp ".nbwr" bằng cách nào?

Không đời nào. Những tập tin này đã được mã hóa bởi ransomware. Nội dung của các tệp được mã hóa không có sẵn khi chúng được giải mã.

Virus này đã chặn PC bị nhiễm virus: Tôi không lấy được kích hoạt mã hóa.

Trong vấn đề này, bạn cần chuẩn bị thẻ nhớ cài đặt sẵn Trojan Killer .

Bộ giải mã không thể giải mã tất cả các tệp của tôi hoặc tất cả chúng đều không được giải mã. Tôi nên làm gì?

Xin vui lòng hiển thị vòng tròn. Bạn đã nhiễm phiên bản mới của ransomware STOP/DJVU và giải mã khóa vẫn chưa được phát hiện. Theo dõi tin tức trên trang web của chúng tôi.

Chúng tôi sẽ thông báo cho bạn khi khóa mới hoặc chương trình giải mã mới xuất hiện.

Bây giờ tôi có thể làm gì?

Phần mềm ransomware Nbwr chỉ mã hóa 150KB tệp đầu tiên . Vì vậy, các tệp MP3 khá lớn, một số trình phát đa phương tiện (ví dụ Winamp) có thể phát các tệp này, nhưng – 3-5 giây đầu tiên (phần được mã hóa) sẽ bị thiếu.

Bạn có thể thử tìm bản gốc của tệp gốc đã được mã hóa:

Các tệp bạn tải xuống từ Internet đã được mã hóa và bạn có thể tải xuống để lấy bản gốc.
Những bức ảnh bạn đã chia sẻ với gia đình và bạn bè mà họ có thể gửi lại cho bạn.
Ảnh bạn đã tải lên mạng xã hội hoặc dịch vụ đám mây như Carbonite, OneDrive, iDrive, Google Drive, vv
Tệp đính kèm trong email bạn đã gửi hoặc nhận và lưu.
Các tệp trên máy tính cũ, ổ flash, ổ đĩa ngoài, thẻ nhớ máy ảnh hoặc iPhone mà bạn đã chuyển dữ liệu sang máy tính bị nhiễm virus.

Nếu hướng dẫn không giúp bạn loại bỏ lây nhiễm, vui lòng tải xuống GridinSoft Anti-Malware mà tôi đã xuất bản. Đừng quên chia sẻ kinh nghiệm của bạn trong quá trình giải quyết vấn đề. Hãy để lại bình luận tại đây! Điều này có thể giúp các nạn nhân khác hiểu rằng họ không độc lập. Và cùng nhau, chúng tôi sẽ tìm cách giải quyết vấn đề này.

Tôi cần sự giúp đỡ của bạn để chia sẻ bài viết này.

Hãy đến xem bạn giúp đỡ người khác. Tôi viết hướng dẫn này để giúp những người như bạn. Bạn có thể sử dụng các nút bên dưới để chia sẻ nội dung này trên mạng xã hội Facebook, Twitter hoặc Reddit mà bạn yêu thích.