Už žádné vymáhání výkupného. NO_MORE_RANSOM ransomware virus – nová hrozba pro osobní data
Na konci roku 2016 byl zaznamenán nový ransomware virus – NO_MORE_RANSOM. Dostal tak dlouhý název kvůli příponě, kterou přiděluje uživatelským souborům.
Hodně jsem převzal z jiných virů, například z da_vinci_cod. Od té doby, co se nedávno objevil na internetu, antivirové laboratoře zatím nedokázaly jeho kód rozluštit. A je nepravděpodobné, že by to v blízké budoucnosti mohli udělat - používá se vylepšený šifrovací algoritmus. Pojďme tedy zjistit, co dělat, pokud jsou vaše soubory zašifrovány pomocí přípony „no_more_ransom“.
Popis a princip činnosti
Na začátku roku 2017 byla mnohá fóra plná zpráv „no_more_ransom virus zašifroval soubory“, ve kterých uživatelé žádali o pomoc s odstraněním hrozby. Napadeny byly nejen soukromé počítače, ale i celé organizace (zejména ty, které používají databáze 1C). Situace pro všechny oběti je přibližně stejná: otevřely přílohu z e-mail, po nějaké době soubory obdržely příponu No_more_ransom. Virus ransomware obešel všechny populární antivirové programy.
Obecně platí, že na základě principu infekce je No_more_ransom k nerozeznání od svých předchůdců:
Jak vyléčit nebo odstranit virus No_more_ransom
Je důležité si uvědomit, že poté, co sami spustíte No_more_ransom, ztratíte možnost obnovit přístup k souborům pomocí hesla útočníků. Je možné obnovit soubor po No_more_ransom? K dnešnímu dni neexistuje žádný 100% funkční algoritmus pro dešifrování dat. Výjimkou jsou pouze utility od známých laboratoří, ale výběr hesla trvá velmi dlouho (měsíce, roky). Ale více o obnově níže. Nejprve pojďme zjistit, jak identifikovat trojského koně už žádné výkupné (překlad - „už žádné výkupné“) a porazit ho. 
Nainstalovaný antivirový software zpravidla umožňuje vstup ransomwaru do počítače - často se uvolňují nové verze, na které prostě není čas uvolnit databáze. Viry tohoto typu lze z počítače poměrně snadno odstranit, protože podvodníci nepotřebují, aby po dokončení svého úkolu (šifrování) zůstaly v systému. Chcete-li jej odstranit, můžete použít hotové nástroje, které jsou distribuovány zdarma:
Jejich použití je velmi jednoduché: spusťte, vyberte disky, klikněte na „Spustit skenování“. Nezbývá než čekat. Poté se objeví okno, ve kterém se zobrazí všechny hrozby. Klikněte na „Odstranit“.
S největší pravděpodobností jeden z těchto nástrojů virus ransomware odstraní. Pokud se tak nestane, je nutné ruční odstranění:
Pokud si rychle všimnete viru a podaří se vám ho odstranit, pak existuje šance, že některá data nebudou zašifrována. Soubory, které nebyly napadeny, je lepší ukládat na samostatný disk.
Dešifrovací nástroje pro dešifrování souborů „No_more_ransom“.
Je prostě nemožné najít kód sami, pokud nejste pokročilý hacker. Pro dešifrování budete potřebovat speciální pomůcky. Hned řeknu, že ne každý bude schopen dešifrovat zašifrovaný soubor jako „No_more_ransom“. Virus je nový, takže uhodnutí hesla je velmi obtížný úkol.
Nejprve se tedy snažíme obnovit data ze stínových kopií. Výchozí operační systém, počínaje Windows 7, pravidelně ukládá kopie vašich dokumentů. V některých případech není virus schopen odstranit kopie. Proto stahujeme volný program ShadowExplorer. Nemusíte nic instalovat – stačí jej rozbalit.
Pokud virus neodstranil kopie, pak existuje šance na obnovení asi 80-90% zašifrovaných informací.
Známé antivirové laboratoře nabízejí i dešifrovací programy pro obnovu souborů po viru No_more_ransom. Neměli byste však očekávat, že tyto nástroje budou schopny obnovit vaše data. Šifrovače se neustále vylepšují a specialisté prostě nemají čas vydávat aktualizace pro jednotlivé verze. Odešlete vzorky na technickou podporu antivirové laboratoře na pomoc vývojářům.
Pro boj s No_more_ransom je zde Kaspersky Decryptor. Nástroj je prezentován ve dvou verzích s předponami a Rakhni (na našem webu jsou o nich samostatné články). Chcete-li bojovat s virem a dešifrovat soubory, stačí spustit program a vybrat umístění skenování.
Kromě toho musíte zadat jeden z blokovaných dokumentů, aby nástroj mohl začít hádat heslo.
Můžete si také zdarma stáhnout nejlepší decryptor No_more_ransom od Dr. Web. Nástroj se nazývá matsnu1decrypt. Funguje to podle podobného scénáře s programy od společnosti Kaspersky. Jediné, co musíte udělat, je spustit skenování a počkat na jeho dokončení.
Nyní není pro nikoho tajemstvím, že všechny typy existujících zločinů byly přeneseny na internet. Patří mezi ně kybernetická špionáž, kyberterorismus, kybernetické podvody, kybernetické krádeže a podle tématu tohoto blogu kybernetické vydírání a kybernetické vydírání.
Dlouho chtěli dát rovnítko mezi kybernetické zločiny v Rusku a krádeže, zvyšování trestů, ale toto téma bylo nastoleno na popud bankovních struktur, kterým prý hackeři nedovolují žít. Možná to tak je. Kdo o čem mluví a banky mluví o hackerech...
Chystaný návrh zákona také zmiňuje stahování nelicencovaných programů a audio-video „majstrštyků“ moderního „mistrovského“ průmyslu, které se na nás už valí jako vana špinavé vody. Opět je tu hon na čarodějnice, a ne na skutečné kyberzločince, kteří se jako mor rozšířili po World Wide Web a zasáhli každou rodinu v každé zemi na světě, která má přístup k internetu.
Ano, mluvím o vyděračském moru: krypto-ransomware, šifrovače, blokátory a všechny druhy padělků, tzn. programy, které se vydávají za šifrovače, blokátory, programy, které nabízejí „úklid“ za poplatek, ale to jim nebrání být vyděrači. Jejich tvůrci otevřeně zveřejňují své „výtvory“ na internetu, aniž by se museli bát strážců zákona, kriminální mafie, místní policie, Europolu a Interpolu. Inzerují, jsou inzerovány a propagovány ve výsledcích vyhledávání automatizované systémy Google a Yandex.
Proti tomu by měly bojovat zákony o kybernetické kriminalitě, toho by měla policie chytit jako prvního, Europol, Interpol a ředitelství „K“ by měly přijít na to! Rád bych věřil, že se v tomto směru pracuje ve dne v noci, ale fakt je jasný: vydírání a kryptovydírání se stalo metlou a morem internetu jako parní válec drtící klasické virové epidemie.
Mimochodem, podle mých informací se vyrábí z Ukrajiny, Moldavska a Rumunska největší počet Ransomware, pokud neberete v úvahu východní a jižní oblasti Asie, kde je to úplně jiné, více vysoké procento a úroveň vydírání a hackerské útoky. Některé vyděračské útoky z Ukrajiny, Moldavska a Rumunska jsou zaměřeny na Rusko, rusky mluvící podniky a uživatele, zatímco jiné jsou zaměřeny na Spojené státy, Evropu a anglicky mluvící uživatele.
V posledních několika letech se uživatelé počítačů mnohem častěji setkávají s ransomwarem, falešným ransomwarem, blokátory ransomwaru a dalšími požadujícími výkupné za navrácení přístupu k souborům, které zašifrovali a učinili nečitelnými, zablokovali a znepřístupnili, přesunuli, skryli, odstraněno ... Jak je to možné?
Dávno pryč jsou doby, kdy se šířilo malware provedl jeden zločinec nebo začínající programátor.V dnešní době kyberzločinci nejčastěji pracují jako tým, protože... taková společná práce přináší větší zisk. Například s rozvojem obchodního modelu vydírání (RaaS) založeného na platbě výkupného v bitcoinech může jedna skupina poskytovat technickou podporu, psát doporučení a prostřednictvím chatu nebo e-mailu sdělovat novým obětem, jak a kde mohou nakupovat, směňovat, převádět bitcoiny za následnou platbu výkupného. Další skupina vyvíjí, aktualizuje a ladí ransomware. Třetí skupina poskytuje krytí a ubytování. Čtvrtá skupina pracuje s C&C a administruje práce z velitelského centra. Pátá se zabývá finančními otázkami a spolupracuje s partnery. Šestý kompromituje a infikuje weby... S rozvojem RaaS platí, že čím komplexnější a rozšířenější je ransomware, tím více týmů je zapojeno a procesů, které provádějí.
Když oběti čelí útoku krypto-ransomwaru, stojí před obtížnou otázkou: Měli by zaplatit výkupné? nebo Rozloučit se se soubory? K zajištění své anonymity využívají kyberzločinci síť Tor a požadují výkupné v kryptoměně Bitcoin. Od června 2016 peněžní ekvivalent 1 BTC již přesahuje 60 tisíc rublů a nebude nižší. Oběti bohužel po rozhodnutí zaplatit nevědomky financují další vyděračské aktivity kyberzločinců, jejichž apetit roste mílovými kroky a s každou další platbou se přesvědčují o své beztrestnosti.
Podívejte se na" Top 100 nejbohatších bitcoinových adres a distribuce bitcoinů„Většina tamních milionářů bohatých na kryptoměny se takovými stala nezákonnými a dokonce kriminálními metodami.
Jak to může být? Dnes neexistuje žádný univerzální nástroj pro dešifrování dat, existují pouze samostatné nástroje vytvořené a vhodné pro konkrétní šifrátory. Proto se jako hlavní ochrana doporučují opatření zabraňující infekci ransomwarem, z nichž hlavní jeAktuální antivirová ochrana. Velmi důležité je také zvyšování povědomí uživatelů o těchto opatřeních a hrozbách, které ransomware a ransomware představují.Náš blog byl vytvořen za tímto účelem.Zde se shromažďují informace o každém ransomwaru, falešném kryptografu nebo blokátoru, který se vydává za ransomware.
V mém druhém blogu" Dešifrovače souborů"Od května 2016 jsou shrnuty informace o decryptorech, které jsou vytvořeny pro bezplatné dešifrování souborů šifrovaných Crypto-Ransomware. Všechny popisy a návody jsou poprvé zveřejněny v ruštině. Pravidelně kontrolujte.
Za účelem odborné pomoci zorganizovaly v létě 2016 Kaspersky Lab, Intel Security, Europol a nizozemská policie společný projekt „ Žádné další výkupné", zaměřené na boj proti ransomwaru. Účastníci projektu vytvořili webové stránkyoMoreRansom.org obsahující obecné informace o ransomwaru (v angličtině) a také bezplatných nástrojích pro obnovu zašifrovaných dat. Nejprve existovaly pouze 4 takové nástroje od LC a McAfee.V den psaní tohoto článku jich bylo již 7a funkčnost byla dále rozšířena.
Je pozoruhodné, že tento projekt byl teprve v prosinci doplněno skupina dešifrovačů, kteří jsou již dlouho popsáni v mých blozích „Ransomware Encryptors“ a „File Decryptors“.
Žádné další výkupné!
Aktualizace 15. prosince 2016:
Do projektu se zapojily další společnosti, které již dříve vydaly jiné dešifrovače. Nyní existuje již 20 utilit (některé dokonce dvě):
WildFire Decryptor – od Kaspersky Lab a Intel Security
Chimera Decryptor – od společnosti Kaspersky Lab
Teslacrypt Decryptor – od Kaspersky Lab a Intel Security
Shade Decryptor – od Kaspersky Lab a Intel Security
CoinVault Decryptor – od společnosti Kaspersky Lab
Rannoh Decryptor – od společnosti Kaspersky Lab
Rakhni Decryptor – od společnosti Kaspersky Lab
Jigsaw Decryptor - od Check Point
Trend Micro Ransomware File Decryptor – od Trend Micro
Nmoreira Decryptor - od Emsisoftu
Ozozalocker Decryptor – od Emsisoftu
Globe Decryptor – od Emsisoftu
Globe2 Decryptor – od Emsisoftu
FenixLocker Decryptor – od Emsisoftu
Philadelphia Decryptor - od Emsisoft
Stampado Decryptor - od Emsisoftu
Xorist Decryptor – od Emsisoftu
Nemucod Decryptor – od Emsisoftu
Gomasom Decryptor – od Emsisoftu
Linux.Encoder Decryptor - od BitDefenderu
Nyní se „No More Ransom“ skládá ze zástupců z 22 zemí.
Hodně štěstí s dešifrováním!!!
Neplaťte výkupné! Připravte se! Chraňte svá data! Dělejte zálohy! V tomto okamžiku vám připomínám: Vydírání je zločin, ne hra! Nehrajte tyto hry.
© Amigo-A (Andrew Ivanov): Všechny články na blogu
, VIDEO, HUDBA a další osobní soubory na .NO_MORE_RANSOM a změní původní název na náhodnou kombinaci písmen a číslic. Většina souborů však má nejdůležitější formáty .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP neotvírejte. Účetnictví 1C nefunguje. Takhle to vypadá:
Technická podpora od Kaspersky Lab, Dr.Web a dalších známých společností vyvíjejících antivirový software v reakci na požadavky uživatelů na dešifrování dat uvádí, že to není možné provést v přijatelném čase.
Ale nespěchejte do zoufalství!
Faktem je, že po proniknutí do vašeho počítače škodlivý program používá jako nástroj zcela legální šifrovací software GPG a populární šifrovací algoritmus - RSA-1024. Protože se tento nástroj používá na mnoha místech a sám o sobě není virem, antivirové programy umožňují jeho průchod a neblokují jeho činnost. K šifrování souborů je generován veřejný a soukromý klíč. Soukromý klíč je odeslán na server útočníků, zatímco veřejný klíč zůstává v počítači uživatele. Oba klíče jsou nutné k dešifrování souborů! Útočníci pečlivě přepíší soukromý klíč na postiženém počítači. Ale to se nestává vždy. Za více než tříletou historii bezvadné práce specialisté Dr.SHIFRO Prostudovali jsme tisíce variací v činnosti malwaru a možná i ve zdánlivě bezvýchodné situaci budeme schopni nabídnout řešení, které vám umožní získat vaše data zpět.
V tomto videu se můžete podívat skutečnou práci decryptor na počítači jednoho z našich klientů:
Pro analýzu možnosti dešifrování zašlete 2 vzorky zašifrovaných souborů: jeden text (doc, docx, odt, txt nebo velikost rtf do 100 KB), druhá grafika (jpg, png, bmp, tif nebo pdf do velikosti 3 MB). Potřebujete také soubor s poznámkami od útočníků. Po prozkoumání souborů vám sdělíme odhad nákladů. Soubory lze posílat e-mailem [e-mail chráněný] nebo použijte formulář pro odeslání souboru na webu (oranžové tlačítko).
KOMENTÁŘE (2)
Chytili jsme virus CRYPTED000007. Po hledání způsobu dešifrování na internetu jsme našli tuto stránku. Specialista rychle a důkladně popsal, co je potřeba udělat. Pro zaručení bylo dešifrováno 5 testovacích souborů. Oznámili cenu a po zaplacení bylo vše rozluštěno během několika hodin. Šifrován byl sice nejen počítač, ale i síťový disk. Děkuji mnohokrát za vaši pomoc!
Dobrý den! Nedávno jsem měl podobnou situaci s virem CRYPTED000007, který nestihl zašifrovat všechny disky, protože... po nějaké době jsem otevřel složku s fotografií a uviděl prázdnou obálku a název souboru z jiné sady písmen a číslic a okamžitě stáhl a spustil bezplatný nástroj k odstranění trojských koní. Virus dorazil poštou a byl tam přesvědčivý dopis, který jsem otevřel a spustil přílohu. Počítač má 4 velmi velké pevné disky (terabajty). Oslovil jsem různé firmy, kterých je na internetu dost a nabízejí své služby, ale i při úspěšném dešifrování budou všechny soubory v samostatné složce a všechny pomíchané. Nikdo nedává záruku 100% dešifrování. Kontaktoval jsem Kaspersky Lab a ani tam mi nepomohli..html#, tak jsem se rozhodl kontaktovat. Poslal jsem tři zkušební fotografie a po chvíli jsem dostal odpověď s jejich kompletním přepisem. V mailové korespondenci mi bylo nabídnuto buď na dálku, nebo doma. Rozhodl jsem se to udělat doma. Rozhodli jsme se o datu a čase příjezdu specialisty. Ihned v korespondenci byla dohodnuta částka za dekodér a po úspěšném dešifrování jsme podepsali dohodu o dílo a já provedl platbu dle dohody. Dešifrování souborů trvalo velmi dlouho, protože některá videa ano velká velikost. Po úplný přepis Ujistil jsem se, že se všechny moje soubory vrátí do původní podoby a se správnou příponou souboru. Kapacita pevných disků se změnila na stejnou jako před infekcí, protože během infekce byly disky téměř zcela plné. Ti, co píšou o podvodnících atd., s tím nesouhlasím. To píšou buď konkurenti ze vzteku, že se jim nedaří, nebo lidé, které něco pohoršuje. V mém případě vše dopadlo skvěle, moje obavy jsou minulostí. Znovu jsem viděl své staré rodinné fotografie, které jsem kdysi dávno pořídil, a rodinná videa, která jsem sám upravoval. Rád bych vyjádřil slova vděčnosti společnosti dr.Shifro a osobně Igoru Nikolaevičovi, který mi pomohl obnovit všechna moje data. Děkuji moc a hodně štěstí! Vše, co je napsáno, je můj osobní názor a vy sami se rozhodnete, na koho se obrátit.
Na konci roku 2016 byl svět napaden velmi netriviálním trojským virem, který šifruje uživatelské dokumenty a multimediální obsah, nazvaný NO_MORE_RANSOM. Jak dešifrovat soubory po vystavení této hrozbě, bude diskutováno dále. Nicméně stojí za to okamžitě varovat všechny uživatele, kteří byli napadeni, že neexistuje jednotná technika. Je to dáno použitím jednoho z nejpokročilejších a stupněm průniku viru do počítačového systému nebo dokonce do místní síť(ačkoli zpočátku nebyl navržen pro síťový dopad).
Co je virus NO_MORE_RANSOM a jak funguje?
Obecně je samotný virus obvykle klasifikován jako třída trojských koní, jako je I Love You, které pronikají do počítačového systému a šifrují uživatelské soubory (obvykle multimediální). Je pravda, že pokud se progenitor lišil pouze v šifrování, pak si tento virus hodně vypůjčil od kdysi senzační hrozby zvané DA_VINCI_COD, která kombinuje funkce ransomwaru.
Po infekci je většině souborů se zvukem, videem, grafikou nebo kancelářskými dokumenty přiřazen dlouhý název s příponou NO_MORE_RANSOM obsahující složité heslo.
Když se je pokusíte otevřít, na obrazovce se objeví zpráva, že soubory jsou zašifrované a pro jejich dešifrování je třeba zaplatit určitou částku.
Jak se hrozba dostane do systému?
Ponechme nyní na pokoji otázku, jak dešifrovat soubory kteréhokoli z výše uvedených typů po vystavení NO_MORE_RANSOM, a pojďme se věnovat technologii, jak virus proniká do počítačového systému. Bohužel, ať to zní jakkoli, používá se k tomu stará osvědčená metoda: na adresu e-mail Přijde email s přílohou a když jej uživatel otevře, spustí se škodlivý kód.
Jak vidíme, tato technika není originální. Zpráva však může být maskována jako nesmyslný text. Nebo naopak například, pokud se bavíme o velkých společnostech, změnit podmínky nějaké smlouvy. Je jasné, že obyčejný úředník otevře investici a pak dostane katastrofální výsledek. Jedním z nejjasnějších ohnisek bylo šifrování databází oblíbeného balíčku 1C. A to už je vážná věc.
NO_MORE_RANSOM: jak dešifrovat dokumenty?
Ale stále stojí za to řešit hlavní problém. Určitě každého zajímá, jak dešifrovat soubory. Virus NO_MORE_RANSOM má svou vlastní sekvenci akcí. Pokud se uživatel pokusí dešifrovat ihned po infekci, stále existuje způsob, jak to udělat. Pokud se hrozba pevně usadila v systému, bohužel se to neobejde bez pomoci specialistů. Často se ale ukáže, že jsou bezmocní.
Pokud byla hrozba detekována včas, existuje pouze jeden způsob - kontaktovat podpůrné služby antivirových společností (ne všechny dokumenty ještě nebyly zašifrovány), odeslat několik nepřístupných souborů a na základě analýzy originálů uložené na vyměnitelném médiu, pokuste se obnovit již infikované dokumenty poté, co zkopírujte na stejný flash disk vše, co je ještě k dispozici pro otevření (ačkoli také neexistuje úplná záruka, že virus do takových dokumentů nepronikl). Poté je pro jistotu nutné média alespoň zkontrolovat antivirový skener(nikdy nevíš).
Algoritmus
Za zmínku také stojí, že virus používá k šifrování algoritmus RSA-3072, který je na rozdíl od dříve používané technologie RSA-2048 natolik složitý, že výběr správného hesla, i když se na něm podílí celý kontingent antivirových laboratoří to může trvat měsíce i roky. Otázka, jak dešifrovat NO_MORE_RANSOM, tedy bude vyžadovat poměrně hodně času. Ale co když potřebujete okamžitě obnovit informace? Nejprve odstraňte samotný virus.
Je možné odstranit virus a jak to udělat?
Ve skutečnosti to není těžké. Soudě podle drzosti tvůrců viru, hrozba v počítačovém systému není maskovaná. Naopak je pro ni dokonce výhodné se po dokončení provedených akcí „odstranit“.
Nejprve by však měl být po vzoru viru stále neutralizován. Prvním krokem je použití přenosných bezpečnostních nástrojů jako KVRT, Malwarebytes, Dr. Web CureIt! a podobně. Poznámka: Programy použité pro testování musí být přenosné (bez instalace na pevný disk se spuštěním v optimální varianta z vyměnitelných médií). Pokud je objevena hrozba, měla by být okamžitě odstraněna.
Pokud takové akce nejsou k dispozici, musíte nejprve přejít do „Správce úloh“ a ukončit všechny procesy spojené s virem v něm a seřadit služby podle názvu (obvykle se jedná o proces Runtime Broker).
Po zrušení úkolu je třeba zavolat editorovi systémový registr(regedit v nabídce Spustit) a hledejte podle názvu " Klientský server Runtime System“ (bez uvozovek) a poté pomocí nabídky pro pohyb ve výsledcích „Najít další...“ odstraňte všechny nalezené prvky. Dále musíte restartovat počítač a zkontrolovat ve „Správci úloh“, zda tam je proces, který hledáte.
V zásadě lze pomocí této metody vyřešit otázku, jak dešifrovat virus NO_MORE_RANSOM ve fázi infekce. Pravděpodobnost jeho neutralizace je samozřejmě malá, ale šance tu je.
Jak dešifrovat soubory zašifrované pomocí NO_MORE_RANSOM: zálohy
Existuje ale ještě jedna technika, o které málokdo ví nebo ji dokonce tuší. Faktem je, že samotný operační systém neustále vytváří svůj vlastní stín zálohy(například v případě obnovy), nebo uživatel takové obrázky záměrně vytváří. Jak ukazuje praxe, virus neovlivňuje právě tyto kopie (to prostě není stanoveno v jeho struktuře, i když to není vyloučeno).
Takže problém, jak rozluštit NO_MORE_RANSOM, spočívá v jejich použití. Použijte však standardní Nástroje Windows nedoporučuje (a mnoho uživatelů skrytá kopie vůbec nezíská přístup). Proto je potřeba použít utilitu ShadowExplorer (je přenosná).
Chcete-li obnovit, stačí spustit spustitelný soubor, seřadit informace podle dat nebo sekcí, vybrat požadovanou kopii (souboru, složky nebo celého systému) a použít exportní řádek přes nabídku RMB. Dále jednoduše vyberete adresář, do kterého bude aktuální kopie uložena, a poté použijete standardní proces obnovy.
Nástroje třetích stran
Samozřejmě, že na problém, jak dešifrovat NO_MORE_RANSOM, nabízí mnoho laboratoří svá vlastní řešení. Společnost Kaspersky Lab například doporučuje používat vlastní softwarový produkt Kaspersky Decryptor, prezentovaný ve dvou modifikacích - Rakhini a Rector.
Podobný vývoj jako dekodér NO_MORE_RANSOM od Dr. vypadá neméně zajímavě. Web. Zde však stojí za to okamžitě vzít v úvahu, že použití takových programů je oprávněné pouze v případě, že je rychle zjištěna hrozba, než budou infikovány všechny soubory. Pokud je virus v systému pevně usazen (když šifrované soubory prostě nelze srovnávat s jejich nezašifrovanými originály), mohou být takové aplikace také k ničemu.
V důsledku toho
Vlastně se nabízí pouze jeden závěr: s tímto virem je nutné bojovat výhradně ve fázi infekce, kdy jsou šifrovány pouze první soubory. Obecně platí, že v e-mailových zprávách přijatých z pochybných zdrojů je nejlepší neotevírat přílohy (to platí výhradně pro klienty nainstalované přímo v počítači – Outlook, Oulook Express atd.). Pokud má navíc zaměstnanec firmy k dispozici seznam adres klientů a partnerů, stává se otevírání „nevhodných“ zpráv zcela nepraktické, protože většina lidí při ucházení se o zaměstnání podepisuje smlouvy o mlčenlivosti o obchodním tajemství a kybernetické bezpečnosti.
