删除 KOOL 勒索软件病毒 (+解密 .kool 文件)

库尔病毒 – 它是什么?

Kool 勒索软件可以正确地描述为 STOP/Djvu 恶意软件家族. 该类型的病毒针对单个用户. This specification supposes that Kool does not bring any sort of additional malware, 这通常会帮助其他家族的恶意软件控制您的计算机. 因为大多数人的电脑上没有任何有价值的东西, there is no reason to infiltrate other viruses that increase the risk of failure of the whole ransomware operation.

The typical signs of this ransomware activity is the emersion of .kool files in your folders, 而不是你曾经拥有的文件. 该 照片.jpg 变成 photo.jpg.kool, 报告.xlsx – 进入 report.xlsx.kool 等等. 您无法停止此过程, 并且无法打开这些文档 – 它们是用相当强大的算法加密的.

您还可以看到勒索软件活动的其他不同迹象. Microsoft Defender 突然停止，无法查看知名反恶意软件论坛或网页, where the removal and file decryption guides are posted. 您将在下面的段落中看到它是如何工作的. 删除和解密指南也可用 – check below how to remove the Kool virus and get the .kool files back.

How did Kool ransomware encrypt my files?

恶意软件注入后, the Kool virus starts a connection with its command and control server. 该服务器由恶意软件维护者控制 – 管理此恶意软件传播的骗子. 这些骗子所做的另一项活动是回复患者的电子邮件, 谁打算解密他们的文件.

这些文件是用最强的加密算法之一加密的 – AES-256. 该算法名称中的数字表示 2 的幂 – 2^256 对于这种情况. 78-可能的解密密钥变体的位数 – 暴力破解是不可能的. 正如分析师所说, 这将需要比地球估计存在的更多时间, 即使您使用最强大的计算机. 在包含加密文档的每个文件夹中, Kool virus leaves the _readme.txt file with the following contents:

注意力!

别担心, 您可以返回所有文件!
All your files like pictures, 数据库, 文件和其他重要文件使用最强加密和唯一密钥进行加密.
恢复文件的唯一方法是为您购买解密工具和唯一密钥.
该软件将解密您所有的加密文件.
你有什么保证?
您可以从您的 PC 发送您的加密文件之一，我们免费解密.
但我们只能解密 1 免费文件. 文件不得包含有价值的信息.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.
您可以获取并查看视频概览解密工具:
https://wetransfer.com/downloads/a832401adcd58098c699f768ffea4f1720240305114308/7e601a
Price of private key and decrypt software is $999.
折扣 50% 如果您先联系我们，则可用 72 小时, 你的价格是 $499.
请注意，您永远不会在未付款的情况下恢复您的数据.
查看你的邮件 "垃圾邮件" 要么 "垃圾" 文件夹，如果你没有得到更多的答案 6 小时.


要获得此软件，您需要写在我们的电子邮件中:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

尽管如此, 你仍然可以运行你的一些文件. The Kool ransomware encrypts only the first 150 每个文件的 KB, 但是这个文件的另一部分可以打开. 主要是, 它最适合音频/视频文件, 肯定大于 150 千字节. 并非每个媒体播放器都能打开这些文件 – WinAmp 是最好的选择, 因为它是免费且经过良好测试的. 每个文件的前几秒都会丢失 – 这部分是加密的 – 但文档的其余部分将可以像什么也没发生一样访问.

Is Kool ransomware dangerous for my PC?

正如前面几段所描述的, 勒索软件不仅仅是加密文件. Kool malware makes the changes in your operating system in order to prevent looking for the virus removal and file decryption guides. 恶意软件不会建立软件屏障 – 它只是改变系统设置, 主要是 – 网络和安全配置.

通过网络配置, 变化最大的项目是 HOSTS 文件. 此文本文件保留 DNS 地址配置, Web 浏览器在向服务器请求时使用它们. 如果您为某个网站添加了特定的 DNS 地址, 您的网络浏览器下次将通过该 DNS 连接该网站. 勒索软件更改此文件, 添加不存在的 DNS, 因此任何网络浏览器都会向您显示“无法解析 DNS 地址”错误.

勒索软件所做的其他更改旨在防止对其自身进行操作发现, 并禁用大多数安全工具的安装. Kool virus implements several modifications in Group Policies – 系统配置应用程序，让您有权更改每个程序的功能. 以这样的方式, ransomware disables the Microsoft Defender and various other anti-malware apps, 并禁用防病毒安装文件的启动.

我是怎么感染的?

在整个学期中，STOP/Djvu 家族都处于活跃状态, Gcyi 勒索软件只加密第一个. Under the term of questionable programs I mean software that are already not supported by the maintainer and distributed through the file sharing websites. 这些应用程序可能被黑客入侵, 使它们无需购买任何许可证即可使用. 这种程序类型的另一个例子是不同的黑客工具 – 作弊引擎, 密钥生成器, Windows 激活工具等.

此类程序可能以不同方式分发 – 通过提供下载链接的网站, 或通过对等网络 – 海盗易趣, 电骡等. 所有这些资源都被称为最流行的电脑盗版资源. 人们使用这些网站免费获得各种应用程序或游戏, 即使必须购买这些程序. 没有人可以阻止破解这些应用程序的用户将某种类型的病毒添加到被黑应用程序的文件中. 黑客工具, 同时, 是为违法行为而创建的, 因此他们的创建者可以很容易地以某些程序元素的名义嵌入勒索软件.

这些被黑的程序, 不管他们的来源, 是各种病毒最常见的来源之一, and definitely the most popular one for Kool malware. 最好停止使用它, 不仅因为病毒传播风险. 避免购买许可证是违法行为, 黑客和使用被黑程序的人都被指控为盗版.

How do I remove Kool ransomware?

The Kool ransomware is pretty hard to wipe out manually. 真的, 在可疑程序的术语下，我指的是已经不受创建者控制并通过第三方网站分发的软件, 几乎不可能找到并修复它们. 最好的选择是使用反恶意软件程序. 但是选择哪一个?

您可能会看到使用 Microsoft Defender 的建议, 已经在你的系统中. 尽管如此, 正如之前提到的, 大多数 STOP/Djvu 病毒示例甚至在加密过程之前禁用它. 使用第三方应用程序是唯一可能的选择 – 我可以建议您使用 GridinSoft Anti-Malware 作为这种情况的解决方案. 具有完善的检测能力, so the Kool ransomware will not be missed. 它还能够进行系统恢复, which is heavily needed after the Kool virus attack.

To remove Kool malware infections, 使用合法的防病毒软件扫描您的计算机.

勒索软件移除后, 你可以去文件解密. 需要移除勒索软件以防止重复加密您的文件: while Kool ransomware is active, 它不会错过任何未加密的文件.

How to decrypt the .kool files?

There are two ways to decrypt your files after a Kool ransomware attack. 第一个也是最流行的是文件解密. 它是用特殊工具进行的, 由 Emsisoft 设计, 并为 STOP/Djvu 命名 Emsisoft Decryptor. 这个程序是完全免费的. 分析师尽可能频繁地更新其解密密钥数据库, 所以你肯定会找回你的文件, 迟早.

恢复文件的另一种方法是尝试从磁盘驱动器中恢复它们. Since Kool virus deletes them and substitutes with a ciphered copy, 残留的文件仍然保留在磁盘驱动器上. 拆除后, 从文件系统中删除有关它们的信息, 但不是来自磁盘驱动器. 特殊应用, 像 PhotoRec, 能够恢复这些文件. 这是免费的, 太, 也可用于文件恢复，以防您无意中删除了某些内容.

Decrypting the .kool files with Emsisoft Decrypter for STOP/Djvu

下载并安装 Emsisoft 解密工具. 同意其 EULA 并继续进入界面.

这个程序的界面非常简单. 您所要做的就是选择存储加密文件的文件夹, 等待. 如果程序具有与您的勒索软件案例相对应的解密密钥 – 它会解密它.

在使用 Emsisoft Decrypter for STOP/Djvu, 您可能会观察到各种错误消息. 别担心, 这并不意味着你做错了什么或程序不能正常工作. 这些错误中的每一个都涉及特定情况. 这是解释:

错误: 无法解密带有 ID 的文件: [你的身份证]

该程序没有与您的案例对应的密钥. 您需要等待一段时间，直到密钥数据库更新.

没有新变体在线 ID 的密钥: [你的身份证]

注意: 此 ID 似乎是在线 ID, 解密是不可能的.

此错误表示您的文件已使用在线密钥加密. 在这种情况下, 解密密钥是唯一的并存储在远程服务器上, 被骗子控制. 不幸, 解密是不可能的.

结果: 没有新变体离线 ID 的键: [示例 ID]

此 ID 似乎是离线 ID. 未来可能解密.

勒索软件使用离线密钥来加密您的文件. 这个键不是唯一的, 所以你可能和另一个受害者有共同点. 由于必须收集离线密钥, 太, 重要的是要保持冷静并等待分析师团队找到适合您的案例.

无法解析远程名称

此错误表示该程序在您的计算机上存在 DNS 问题. 这是您的 HOSTS 文件中恶意更改的明显迹象. 使用重置它 微软官方指南.

Recovering the .kool files with PhotoRec tool

PhotoRec 是一个开源工具, 它旨在从磁盘恢复已删除或丢失的文件. 它检查每个磁盘扇区是否有已删除文件的残留物, 然后尝试恢复它们. 该应用程序能够恢复超过 400 不同的扩展. 由于勒索软件加密机制的描述特征, 可以使用此工具获取原始, 未加密的文件回来.

下载 PhotoRec 来自官方网站. 完全免费, 然而, 它的开发者警告说他不保证这个程序会 100% 对文件恢复有效. 此外, 即使付费应用程序也几乎不能给你这样的保证, 因为一连串的随机因素会使文件恢复变得更加困难.

将下载的存档解压到你喜欢的文件夹. 不要因为它的名字而担心 – 测试盘 – 这是同一家公司开发的实用程序的名称. 他们决定一起传播，因为 PhotoRec 和 TestDisk 经常一起使用. 在解压文件中, 搜索 qphotorec_win.exe 文件. 运行这个可执行文件.

在开始恢复过程之前, 你需要指定几个设置. 在下拉列表中, 选择加密前存储文件的逻辑盘.

然后, 您需要指定需要恢复的文件格式. 可能很难滚动所有 400+ 格式, 幸运的是, 它们按字母顺序排序.

最后, 命名要用作恢复文件容器的文件夹. 该程序可能会挖掘出很多无用的文件, 被故意删除的, 所以桌面是一个糟糕的解决方案. 最好的选择是使用USB驱动器.

经过这些简单的操作, 您只需按“搜索”按钮 (如果您指定了所有必需的参数，它将变为活动状态). 恢复过程可能需要几个小时, 所以保持耐心. 建议在此期间不要使用电脑, 因为您可能会覆盖一些您打算恢复的文件.

经常问的问题