Gần đây rất nhiều máy tính bị nhiễm virus mã hóa đuôi file thành .shgv. Vậy làm sao để khôi phục lại dữ liệu bị mã hóa file .shgv?
Virus .Shgv là gì?
Virus Shgv là một ransomware mới thuộc họ ransomware có tên là STOP (Djvu). Ransomware là một dạng phần mềm độc hại mã hóa các tệp của nạn nhân và đòi tiền chuộc để giải mã chúng. Virus Shgv mã hóa các file, đổi tên chúng bằng cách thêm phần mở rộng .shgv và tạo các file có tên “_readme.txt” chứa thông báo đòi tiền chuộc.
Ví dụ: file có tên “image.jpg” sẽ được đổi tên thành “image.jpg.shgv”, file “document.docx” thành “document.docx.shgv”, “bill.pdf” thành “bill.pdf.shgv ”, v.v.
Ảnh chụp màn hình các file được mã hóa bởi vi rút Shgv (phần mở rộng file .shgv)
Shgv ransomware là một phần mềm độc hại mới là một biến thể của STOP ransomware. Giống như các biến thể khác, nó mã hóa tất cả các file trên máy tính và sau đó yêu cầu một khoản tiền chuộc để giải mã. Virus này mã hóa các tệp bằng phương pháp mã hóa mạnh, giúp loại bỏ khả năng tìm thấy khóa theo bất kỳ cách nào. Đối với mỗi nạn nhân, Shgv sử dụng một khóa duy nhất với một ngoại lệ nhỏ. Nếu vi-rút không thể thiết lập kết nối với máy chủ điều khiển và chỉ huy (C&C) trước khi bắt đầu quá trình mã hóa, thì vi-rút sẽ sử dụng khóa ngoại tuyến. Khóa này giống nhau đối với bất kỳ nạn nhân nào, giúp giải mã các tệp đã được mã hóa trong cuộc tấn công ransomware trong một số trường hợp.
Khóa ngoại tuyến là khóa mật mã được sử dụng bởi ransomware khi không có kết nối với C&C. Khóa có thể được sử dụng để giải mã các file bất kể chúng được mã hóa trên máy tính nào.
Shgv có khả năng mã hóa các tệp thuộc bất kỳ loại nào, bất kể những gì có trong chúng. Nhưng nó bỏ qua các file có phần mở rộng: .ini, .dll, .lnk, .bat, .sys và các file có tên ‘_readme.txt’. Do đó, các loại tệp phổ biến sau đây có thể được mã hóa dễ dàng:
.bc7, .3ds, .wp7, .wmf, .xx, .bsa, .slm, .arch00, .fsh, .ltx, .bay, .xar, .bar, .xlsm, .mpqge, .p12, .dng, .map, .pst, .vpp_pc, .mef, .m4a, .z3d, .ysp, .mp4, .wps, .vdf, .xml, .x, .re4, .kdb, .mcmeta, .pptm, .xlk, .1st, .xyw, .blob, .xmmap, .mov, .dbf, .wbc, .css, .hkdb, .iwd, .xbdoc, .wp4, .vtf, .gdb, .srf, .dba, .zdb, .wmd, .indd, .crt, .rw2, .raf, .ff, .zdc, .wp5, .pdd, .wav, .flv, .ppt, .wotreplay, .wot, .orf, .hkx, .ztmp, .kf, .sql, .desc, .xpm, .png, .lvl, .psk, .wpw, .x3f, .lbf, .wsd, .wbz, .wsh, .jpe, .ybk, .xbplate, .mdf, .odm, .sr2, .rar, .t13, .big, .wma, .t12, .wire, .xlsm, .wn, .ncf, .sis, .mrwref, .bc6, .zw, .js, .db0, .menu, .eps, .xmind, .3fr, .wpa, .bik, .itdb, wallet, .pfx, .pak, .syncdb, .layout, .ai, .odc, .pkpass, .m3u, .itm, .zip, .wps, .0, .xdb, .wgz, .xf, .hplg, .kdc, .wm, .fpk, .wpt, .arw, .sidn, .wri, .vpk, .crw, .bkf, .wbk, .cfr, .sav, .icxs, .ibank, .1, .sidd, .bkp, .wpd, .zi, .wbmp, .xlsb, .itl, .accdb, .lrf, .3dm, .w3x, .rwl, .odt, .zif, .avi, .wpe, .ods, .forge, .odb, .rb, .vfs0, .txt, .sb, .pdf, .asset, .wbm, .xyp, .xlgc, .wpl, .qdf, .dcr, .pem, .qic, .cer, .pptx, .xld, .raw, .esm, .dwg, .py, .r3d, .7z, .docm, .cdr, .wmo, .wb2, .ntl, .rtf
Mỗi file đã được mã hóa sẽ được đổi tên. Điều này có nghĩa là sau đây. Nếu tệp được gọi là ‘document.docx’, thì sau khi mã hóa, nó sẽ được đặt tên là ‘document.docx.shgv’. Virus Shgv có thể mã hóa các tập tin nằm trên tất cả các ổ đĩa kết nối với máy tính. Do đó, các file nằm trong bộ nhớ gắn trong mạng và các thiết bị bên ngoài cũng có thể được mã hóa. Nó mã hóa từng tệp, khi tất cả các filetrong thư mục được mã hóa, nó sẽ đưa ra một tệp mới trong thư mục, file này được gọi là ‘_readme.txt’. Dưới đây là nội dung của tập tin này.
Ảnh chụp màn hình nội dung của file ‘_readme.txt’ (ghi chú tiền chuộc Shgv)
File này có trong tất cả các thư mục có tệp được mã hóa. Nhưng nội dung của tập tin này giống nhau ở mọi nơi. Tệp này chứa một thông điệp từ những người tạo Shgv. Trong thông báo này, bọn tội phạm báo cáo rằng tất cả các file đã được mã hóa và cách duy nhất để giải mã chúng là mua một bộ giải mã và khóa. Những kẻ tấn công yêu cầu số tiền chuộc là 490$ ~ 10.000.000 VNĐ, nếu nạn nhân không trả tiền chuộc trong vòng 72 giờ, thì số tiền chuộc sẽ tăng gấp đôi thành 980$ ~ 20.000.000 VNĐ. Các tác giả Shgv đã để lại hai địa chỉ email mà nạn nhân phải sử dụng để liên lạc với họ. Để xác nhận khả năng giải mã, bọn tội phạm đề nghị giải mã miễn phí một tệp không chứa thông tin quan trọng. Nhưng rõ ràng là không có gì đảm bảo rằng ngay cả khi trả tiền chuộc, nạn nhân vẫn có thể giải mã tất cả các tệp đã được mã hóa.
Văn bản được trình bày trong ghi chú đòi tiền chuộc của virus Shgv:
ATTENTION!
Don’t worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-NONb1QT9nD
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.To get this software you need write on our e-mail:
manager@mailtemp.chReserve e-mail address to contact us:
helprestoremanager@airmail.ccYour personal ID:
0361xxxxxxxx
Tóm tắt về mối đe dọa của virus Shgv
| Tên | Shgv ransomware, file virus Shgv |
| Loại | Ransomware, Crypto malware, File locker, Filecoder, Crypto virus |
| Đuôi file | .shgv |
| Lưu ý tiền chuộc | _readme.txt |
| Liên hệ | manager@mailtemp.ch, helprestoremanager@airmail.cc |
| Số tiền chuộc | $490, $980 in Bitcoins |
| Tên phát hiện | Trojan/Win.MalPE.R457508, Gen:Variant.Midie.105542, W32/Kryptik.FWV.gen!Eldorado, Trojan.Siggen16.3401, Win32.Trojan.BSE.R017XV, Trojan-Ransom.StopCrypt, HEUR:Exploit.Win32.Shellcode.gen, BehavesLike.Win32.MultiPlug.bc, Trojan.Win32.Save.a, ML/PE-A + Troj/Krypt-BO, BScope.TrojanDropper.Convagent |
| Triệu chứng | Ảnh, tài liệu và nhạc của bạn không mở được. Tất cả ảnh, tài liệu và nhạc của bạn đều có phần mở rộng tệp khác được thêm vào tên tệp. Các tệp được gọi là “_readme.txt”, “READ-ME”, “_open me”, “_DECRYPT YOUR FILES” hoặc “_Your files have been encrypted” trong mọi thư mục có tệp được mã hóa. Ghi chú tiền chuộc hiển thị trên màn hình của bạn. |
| Phương thức phân phối | Email không được yêu cầu được sử dụng để gửi phần mềm độc hại. Nội dung tải xuống độc hại xảy ra mà người dùng không hề hay biết khi họ truy cập một trang web bị xâm phạm. Phương tiện truyền thông xã hội, chẳng hạn như các chương trình nhắn tin tức thời dựa trên web. Trang web đáng ngờ. |
| Gỡ bỏ | Hướng dẫn xóa virus Shgv |
| Giải mã | Shgv File Decrypt Tool |
Các tác giả của Shgv khiến nạn nhân sợ hãi khi nói rằng không thể giải mã các tệp được mã hóa nếu không trả tiền chuộc. Và không may là điều này đúng, không thể đọc nội dung của các file trong khi các tệp được mã hóa, và cần có khóa và bộ giải mã để giải mã chúng.
May mắn thay, có một trình giải mã miễn phí (Shgv File Decrypt Tool) có thể giải mã các file được mã hóa trong một số trường hợp. Nó có thể giúp từng nạn nhân giải mã các file .shgv miễn phí.
Nhưng ngoài bộ giải mã, chìa khóa vẫn rất cần thiết. Như chúng tôi đã báo cáo ở trên, ransomware có thể sử dụng hai loại khóa. Chỉ các tệp được mã hóa bằng khóa ngoại tuyến mới có thể được giải mã và chỉ sau khi các nhà nghiên cứu bảo mật đã lấy được khóa ngoại tuyến. Các file đã được mã hóa bằng cái gọi là ‘khóa trực tuyến’ vẫn chưa thể được giải mã. Trong mọi trường hợp, có một số phương pháp phổ biến hơn để khôi phục các tệp được mã hóa, sẽ được trình bày bên dưới. Điều rất quan trọng là phải đọc kỹ toàn bộ hướng dẫn sử dụng và đảm bảo hiểu hết. Chúng tôi khuyên bạn không được bỏ qua bất kỳ bước nào, mỗi bước đều rất quan trọng và bạn phải hoàn thành.
Để không bị nhầm lẫn và không bỏ lỡ một điểm quan trọng trong hướng dẫn, chúng tôi khuyên bạn nên in bài viết này hoặc mở nó trên điện thoại thông minh của bạn.
Làm thế nào để xóa virus Shgv (ransomware)?
Trước khi bắt đầu giải mã hoặc khôi phục các file .shgv, bạn cần xóa Shgv ransomware và các mục tự khởi động của nó. Điều này phải được thực hiện vì nếu không, ransomware có thể mã hóa lại các tệp đã khôi phục. Bạn có thể ngăn ransomware hoạt động vì nó không khó thực hiện. Một tùy chọn khác là thực hiện quét toàn bộ hệ thống bằng cách sử dụng các công cụ loại bỏ phần mềm độc hại miễn phí có khả năng phát hiện và loại bỏ sự lây nhiễm ransomware.
Việc quét phần mềm độc hại trên máy tính là rất quan trọng vì các nhà nghiên cứu bảo mật đã phát hiện ra rằng phần mềm gián điệp có thể được cài đặt trên máy tính bị nhiễm cùng với phần mềm tống tiền Shgv. Phần mềm gián điệp là một mối đe dọa bảo mật rất nguy hiểm vì nó được thiết kế để lấy cắp thông tin cá nhân của người dùng như mật khẩu, thông tin đăng nhập, chi tiết liên hệ, v.v.
Nếu bạn gặp bất kỳ khó khăn nào trong việc xóa bỏ virus Shgv, hãy cho chúng tôi biết trong phần bình luận, chúng tôi sẽ cố gắng giúp bạn.
Để xóa bỏ virus Shgv ransomware, bạn hãy làm theo các bước dưới đây:
Diệt vi rút Shgv
Nhấn tổ hợp phím CTRL + ALT + DEL cùng lúc
Nhấp vào Task Manager. Chọn tab “Processes”, tìm thứ gì đó đáng ngờ là Shgv ransomware, sau đó nhấp chuột phải vào nó và chọn tùy chọn “End Task” hoặc “End Process”. Nếu Task Manager của bạn không mở hoặc Windows báo cáo “Task manager has been disabled by your administrator”, hãy làm theo hướng dẫn sau để mở: https://www.youtube.com/watch?v=IItmuPhY0WA
Không khó để phát hiện ra một tiến trình liên quan đến Shgv ransomware. Khi tìm kiếm một quy trình độc hại, hãy chú ý đến biểu tượng quy trình và tên của nó. Thông thường, ransomware này có tên tiến trình ở định dạng sau: 4-ký tự.tmp.exe hoặc 4-ký tự.exe.
Ví dụ: 7533.tmp.exe, A4b1.exe, CD15.tmp.exe, 19b2.exe.
Tên tiến trình cũng có thể chứa “(32 bit)”. Nếu bạn không tìm thấy một quy trình có tên tương tự trong danh sách các quy trình, thì rất có thể phần mềm ransomware Shgv đã hoạt động xong. Nhưng hãy nhớ rằng, nếu bạn không xóa các mục tự khởi động ransomware, như được minh họa bên dưới và không xóa tệp của nó, thì sau một thời gian, nó có thể bắt đầu lại và nếu tìm thấy các tệp không được mã hóa, hãy mã hóa chúng ngay lập tức.
Tắt khởi động Shgv
Chọn tab “Start-Up”, tìm thứ gì đó tương tự như tab được hiển thị trong ví dụ bên dưới, nhấp chuột phải vào tab đó và chọn Disable.
Xóa tác vụ Shgv
Gõ “Task Scheduler” vào thanh tìm kiếm. Nhấp vào ứng dụng Task Scheduler trong kết quả tìm kiếm. Nhấp vào “Task Scheduler Library” trong bảng điều khiển bên trái. Trên bảng bên phải, nhấp chuột phải vào “Time Trigger Task” và chọn Delete.
Xóa virus Shgv
Chạy Task Manager và chọn tab “Start-Up”. Nhấp chuột phải vào mục Start-Up Shgv ransomware và chọn Open File Location như hình dưới đây:
Một thư mục chứa một tập tin sẽ mở ra trước mặt bạn, tập tin này là virus Shgv. Nó cần được loại bỏ.
Nếu bạn cố gắng xóa nó ngay lập tức, thì bạn sẽ không thành công, vì tệp này được bảo vệ khỏi việc xóa.
Để xóa file này, bạn cần thực hiện như sau.
Nhấp chuột phải vào file -> chọn Properties. Trong cửa sổ mở ra, chọn tab Security. Tiếp theo, nhấp vào nút Advanced bên dưới. Một cửa sổ sẽ mở ra như trong ví dụ sau:
Nhấp vào Disable inheritance. Trong hộp thoại Block inheritance mở ra, hãy chọn mục đầu tiên (Convert inherited permissions…) như được hiển thị bên dưới:
Trong danh sách mục nhập Permission, chọn “Deny Everyone”, nhấp vào nút Remove và sau đó nhấp vào OK. Đóng cửa sổ thuộc tính tệp.
Bây giờ bạn có thể xóa vi-rút Shgv. Nhấp chuột phải vào file và chọn Delete.
Quét máy tính để tìm phần mềm độc hại
Zemana Anti-Malware (ZAM) là một công cụ loại bỏ phần mềm độc hại thực hiện quét máy tính và hiển thị nếu có phần mềm tống tiền, phần mềm quảng cáo, phần mềm gián điệp, trojan, sâu và phần mềm độc hại khác đang cư trú trên máy tính của bạn. Nếu phần mềm độc hại được tìm thấy, Zemana có thể tự động xóa phần mềm đó. Zemana Anti Malware không xung đột với các chương trình chống phần mềm độc hại và phần mềm độc hại khác được cài đặt trên PC của bạn.
Truy cập trang sau để tải xuống trình cài đặt Zemana trên PC của bạn. Lưu nó vào máy tính của bạn.
Trong khi cài đặt, bạn có thể thay đổi một số cài đặt nhất định, nhưng chúng tôi khuyên bạn không nên thực hiện bất kỳ thay đổi nào đối với cài đặt mặc định.
Khi cài đặt xong, công cụ loại bỏ phần mềm độc hại này sẽ tự động khởi động và tự cập nhật. Bạn sẽ thấy cửa sổ chính của nó như được hiển thị trong hình bên dưới.
Bây giờ nhấn nút “Scan” để thực hiện quét hệ thống để tìm ransomware Shgv, các loại mối đe dọa tiềm ẩn khác như phần mềm gián điệp và trojan. Quá trình quét có thể mất từ 10 đến 30 phút, tùy thuộc vào số lượng tệp trên máy tính cá nhân và tốc độ máy tính của bạn. Trong khi chương trình Zemana đang quét, bạn có thể thấy số lượng các đối tượng mà nó đã xác định là mối đe dọa.
Khi quá trình quét kết thúc, Zemana Anti-Malware sẽ mở ra một danh sách các mối đe dọa bảo mật mà quá trình quét tìm thấy. Đảm bảo rằng tất cả các mối đe dọa đều có “‘checkmark” và nhấp vào nút “Next“.
Zemana Anti Malware sẽ bắt đầu loại bỏ Shgv ransomware, phần mềm độc hại khác, virus và trojan. Sau khi hoàn tất, bạn có thể được nhắc khởi động lại thiết bị của mình để thay đổi có hiệu lực.
Để chắc chắn 100% rằng máy tính không còn virus Shgv, chúng tôi khuyên bạn nên sử dụng công cụ diệt virus Kaspersky (KVRT). Nó là miễn phí và dễ sử dụng. Nó có thể quét và loại bỏ phần mềm tống tiền, phần mềm gián điệp, các ứng dụng không mong muốn tiềm ẩn, sâu, trojan, phần mềm quảng cáo và phần mềm độc hại khác. KVRT đủ mạnh để tìm và gỡ cài đặt các tệp và mục đăng ký độc hại bị ẩn trên máy.
Tải xuống công cụ diệt vi rút Kaspersky từ liên kết sau. Lưu nó vào máy tính của bạn.
Nhấp vào Change Parameters và đặt dấu kiểm gần tất cả các ổ đĩa của bạn. Nhấn OK để đóng cửa sổ Parameters. Tiếp theo bấm vào nút Start scan. Công cụ KVRT sẽ bắt đầu quét toàn bộ PC để phát hiện ransomware Shgv. Quy trình này có thể mất một chút thời gian, vì vậy hãy kiên nhẫn.
Khi công cụ diệt virus Kaspersky hoàn tất quá trình quét, nó sẽ mở Kết quả quét như bên dưới.
Xem lại kết quả sau khi tiện ích hoàn tất quá trình quét hệ thống. Nếu bạn cho rằng một mục nhập không nên bị cách ly, thì hãy bỏ chọn mục đó. Nếu không, chỉ cần nhấp vào Continue để bắt đầu quá trình làm sạch.
Cách giải mã file .shgv
Tất cả các file đuôi ‘.shgv’ đều được mã hóa. Không thể mở khóa nội dung của chúng chỉ bằng cách xóa phần đuôi mở rộng này hoặc thay đổi hoàn toàn tên file.
Để giải mã các file .shgv, bạn cần một trình giải mã. May mắn thay, có một Công cụ giải mã tệp Shgv miễn phí (Shgv File Decrypt Tool) có thể giải mã tệp .shgv. Dưới đây, chúng tôi cung cấp hướng dẫn về nơi tải xuống và cách sử dụng Shgv File Decrypt Tool.
Shgv File Decrypt Tool (STOP Djvu decryptor)
Để giải mã tệp .shgv, hãy sử dụng Shgv File Decrypt Tool
- Tải về Shgv File Decrypt Tool: STOP Djvu decryptor
- Chạy file decrypt_STOPDjvu.exe để cài đặt, read the license terms and instructions.
- Tại tab Decryptor chọn ‘Add a folder’, thêm thư mục hoặc đĩa nơi chứa các tệp được mã hóa.
- Sau đó click ‘Decrypt’
Shgv File Decrypt Tool là một công cụ miễn phí cho phép mọi người giải mã các tệp .shgv miễn phí. Hiện tại, trình giải mã chỉ có thể giải mã các tệp đã được mã hóa bằng khóa ngoại tuyến. Thật không may, nếu các tệp được mã hóa bằng khóa trực tuyến, thì trình giải mã miễn phí hoàn toàn vô dụng. Trong trường hợp này, có cơ hội khôi phục các tệp được mã hóa bằng các phương pháp thay thế được mô tả bên dưới.
Cách tìm ra khóa nào đã được sử dụng để mã hóa file
Vì Shgv File Decrypt Tool chỉ giải mã các file được mã hóa bằng khóa ngoại tuyến, nên mỗi nạn nhân của Shgv cần tìm ra khóa nào đã được sử dụng để mã hóa file. Việc xác định loại khóa sử dụng không khó. Dưới đây chúng tôi đưa ra hai cách. Sử dụng bất kỳ trong số chúng. Chúng tôi khuyên bạn nên sử dụng phương pháp thứ hai, vì nó chính xác hơn.
Cách 1: Tìm hiểu loại khóa bằng file ‘_readme.txt’
- Mở thông báo yêu cầu tiền chuộc (file ‘_readme.txt’).
- Cuộn xuống cuối file.
- Ở đó bạn sẽ thấy một dòng với văn bản dưới ‘Your personal ID’.
- Dưới đây là một dòng ký tự bắt đầu bằng ‘0361’ – đây là id cá nhân của bạn.
Cách 2: Tìm loại khóa bằng file ‘PersonalID.txt’
- Mở ổ đĩa C.
- Mở thư mục ‘SystemID’.
- Mở file ‘PersonalID.txt’. Tệp này liệt kê Personal ID phù hợp với các khóa mà vi-rút sử dụng để mã hóa tệp.
‘Personal ID’ không phải là khóa, nó là mã định danh liên quan đến khóa được sử dụng để mã hóa file.
- Nếu ID kết thúc bằng ‘t1’, thì các tệp được mã hóa bằng khóa ngoại tuyến.
- Nếu ID không kết thúc bằng ‘t1’, vi rút Shgv đã sử dụng khóa trực tuyến.
Shgv File Decrypt Tool: “No key for New Variant online ID”
Nếu, khi bạn cố gắng giải mã file .shgv, Shgv File Decrypt Tool sẽ báo cáo:
No key for New Variant online ID: *
Notice: this ID appears to be an online ID, decryption is impossible
Điều đó có nghĩa là các file của bạn được mã hóa bằng ‘khóa trực tuyến‘ và việc giải mã chúng là không thể, vì chỉ các tác giả biến thể mới có khóa cần thiết để giải mã. Trong trường hợp này, bạn cần sử dụng các phương pháp thay thế được liệt kê bên dưới để khôi phục nội dung của các tệp được mã hóa.
Video hướng dẫn từng bước Cách xóa virus Shgv, Giải mã/Khôi phục file .shgv
https://youtu.be/Pn0xN7lP4pU
Cách khôi phục file .shgv
Như chúng tôi đã nói, Shgv File Decrypt Tool chỉ có thể giải mã các tệp được mã hóa bằng cách sử dụng cái gọi là ‘khóa ngoại tuyến’. Phải làm gì khi tệp được mã hóa bằng khóa trực tuyến? Ngay cả trong trường hợp này, mọi người đều có cơ hội khôi phục nội dung của các tệp được mã hóa. Điều này có thể xảy ra do sự tồn tại của một số cách thay thế để khôi phục tệp. Mỗi phương pháp này không yêu cầu trình giải mã và một khóa duy nhất nằm trong tay của bọn tội phạm. Điều duy nhất chúng tôi thực sự khuyên bạn nên thực hiện (nếu bạn chưa làm như vậy) là thực hiện quét toàn bộ máy tính. Bạn phải chắc chắn 100% rằng Shgv ransomware đã được gỡ bỏ. Để tìm và loại bỏ ransomware, hãy sử dụng các công cụ loại bỏ phần mềm độc hại miễn phí.
Khôi phục file .shgv với ShadowExplorer
Hệ điều hành Windows (10, 8, 7, Vista) có một tính năng rất hữu ích, nó tạo bản sao của tất cả các tệp đã được sửa đổi hoặc xóa. Việc này được thực hiện để người dùng có thể khôi phục phiên bản trước đó của các tệp bị xóa hoặc bị hỏng vô tình, nếu cần. Các bản sao của tệp này được gọi là “Shadow copies“. Một công cụ có thể giúp bạn khôi phục các tệp từ các bản sao Shadow là ShadowExplorer. Nó là một công cụ rất nhỏ và dễ sử dụng. Thật không may, ransomware thường xóa các bản sao Shadow, do đó chặn phương pháp khôi phục các tệp được mã hóa này. Tuy nhiên, hãy chắc chắn để thử phương pháp này.
Truy cập trang sau để tải xuống phiên bản ShadowExplorer mới nhất dành cho Windows.
After the downloading process is done, open a directory in which you saved it. Right click to ShadowExplorer-0.9-portable and select Extract all. Follow the prompts. Next please open the ShadowExplorerPortable folder as shown on the screen below.
Sau khi quá trình tải xuống hoàn tất, hãy mở một thư mục mà bạn đã lưu nó. Nhấp chuột phải vào ShadowExplorer-0.9-portable và chọn Extract all. Tiếp theo, hãy mở thư mục ShadowExplorerPortable như hiển thị trên màn hình bên dưới.
Khởi động tiện ích ShadowExplorer, sau đó chọn đĩa (1) và ngày (2) mà bạn muốn khôi phục bản sao shadow của (các) file được mã hóa bởi virus Shgv như hiển thị trên hình ảnh bên dưới.
Bây giờ điều hướng đến tệp hoặc thư mục mà bạn muốn khôi phục. Khi đã sẵn sàng, hãy nhấp chuột phải vào nó và nhấp vào nút ‘Export’ như bên dưới.
Video hướng dẫn từng bước Cách khôi phục các tệp đã mã hóa bằng Shadow Explorer.
Sử dụng PhotoRec để khôi phục file .shgv
Một cách thay thế khác để khôi phục các tệp được mã hóa là sử dụng các công cụ khôi phục dữ liệu. Chúng tôi khuyên bạn nên sử dụng một chương trình có tên là PhotoRec. Công cụ này miễn phí và không cần cài đặt. Dưới đây chúng tôi sẽ hướng dẫn chi tiết cách sử dụng nó để khôi phục các tập tin đã mã hóa.
Tải xuống PhotoRec trên Windows Desktop của bạn bằng cách nhấp vào liên kết sau.
Khi quá trình tải xuống hoàn tất, hãy mở một thư mục mà bạn đã lưu nó. Nhấp chuột phải vào testdisk-7.0.win và chọn Extract all. Tiếp theo, hãy mở thư mục testdisk-7.0 như trong ví dụ sau.
Nhấp đúp vào qphotorec_win để chạy PhotoRec for MS Windows. Nó sẽ mở ra một màn hình như được hiển thị trong hình bên dưới.
Chọn một ổ đĩa để khôi phục như hiển thị trên màn hình bên dưới.
Bạn sẽ thấy danh sách các phân vùng có sẵn. Chọn một phân vùng chứa tài liệu, ảnh và nhạc được mã hóa như hiển thị trên màn hình bên dưới.
Nhấp vào nút File Formats và chọn loại tệp để khôi phục. Bạn có thể bật hoặc tắt khôi phục một số loại tệp nhất định. Khi điều này được thực hiện, nhấp vào OK.
Tiếp theo, nhấp vào nút Browse để chọn nơi ảnh, tài liệu và nhạc được khôi phục sẽ được viết, sau đó nhấp vào Search. Chúng tôi thực sự khuyên bạn nên lưu các tệp đã khôi phục vào ổ đĩa ngoài.
Số lượng tệp được phục hồi được cập nhật theo thời gian thực. Tất cả các tệp cá nhân được khôi phục được ghi trong một thư mục mà bạn đã chọn ở bước trước. Bạn có thể truy cập các tệp ngay cả khi quá trình khôi phục chưa kết thúc.
Khi quá trình khôi phục hoàn tất, hãy nhấp vào nút Quit. Tiếp theo, mở thư mục lưu trữ các tệp cá nhân đã khôi phục. Bạn sẽ thấy một nội dung như bên dưới.
Tất cả các tệp được khôi phục được viết trong các thư mục con recup_dir.1, recup_dir.2…. Nếu bạn đang tìm kiếm một tệp cụ thể, thì bạn có thể sắp xếp các tệp đã khôi phục của mình theo phần mở rộng và / hoặc ngày / giờ.
Video hướng dẫn từng bước Cách khôi phục các tệp đã mã hóa bằng PhotoRec.
Cách bảo vệ PC của bạn khỏi Shgv ransomware
Hầu hết các ứng dụng chống vi-rút đã được tích hợp sẵn hệ thống bảo vệ chống lại phần mềm tống tiền. Do đó, nếu máy tính cá nhân của bạn không có chương trình diệt virus, hãy đảm bảo rằng bạn đã cài đặt nó. Để bảo vệ thêm, hãy chạy HitmanPro.Alert. Tất cả trong một, HitmanPro.Alert là một công cụ tuyệt vời để bảo vệ máy tính của bạn khỏi bất kỳ phần mềm tống tiền nào. Nếu phát hiện ransomware, HitmanPro.Alert sẽ tự động vô hiệu hóa phần mềm độc hại và khôi phục các tệp được mã hóa. HitmanPro.Alert tương thích với tất cả các phiên bản của hệ điều hành MS Windows từ Windows XP đến Windows 10.
Cài đặt HitmanPro Alert rất đơn giản. Trước tiên, bạn cần tải xuống HitmanPro.Alert bằng cách nhấp vào liên kết bên dưới. Lưu nó trực tiếp vào Microsoft Windows Desktop của bạn.
Khi quá trình tải xuống hoàn tất, hãy mở vị trí tệp. Bạn sẽ thấy một biểu tượng như bên dưới.
Nhấp đúp vào biểu tượng màn hình HitmanPro Alert. Khi công cụ được khởi chạy, bạn sẽ được hiển thị một cửa sổ nơi bạn có thể chọn mức độ bảo vệ, như được hiển thị trên màn hình bên dưới.
Bây giờ nhấn nút Install để kích hoạt bảo vệ.
Tóm lại
Hướng dẫn này được tạo ra để giúp tất cả các nạn nhân của vi rút Shgv ransomware. Chúng tôi đã cố gắng đưa ra câu trả lời cho các câu hỏi sau: làm thế nào để xóa bỏ ransomware; cách giải mã file .shgv; cách khôi phục các file đã mã hóa; khóa trực tuyến là gì và khóa ngoại tuyến là gì. Chúng tôi hy vọng rằng thông tin được trình bày trong sổ tay hướng dẫn này đã giúp ích cho bạn.
Nếu bạn có câu hỏi hãy để lại bình luận bên dưới.
Nguồn: Myantispyware.com
