Այլևս փրկագնի վերականգնում չկա: NO_MORE_RANSOM ransomware վիրուս – նոր սպառնալիք անձնական տվյալների համար
2016-ի վերջին նկատվեց նոր փրկագին վիրուս՝ NO_MORE_RANSOM: Այն այդքան երկար անուն ստացավ ընդլայնման պատճառով, որը վերագրում է օգտվողի ֆայլերին:
Ես շատ բան եմ ընդունել այլ վիրուսներից, օրինակ՝ da_vinci_cod-ից։ Քանի որ այն վերջերս հայտնվել է համացանցում, հակավիրուսային լաբորատորիաները դեռ չեն կարողացել վերծանել դրա կոդը։ Եվ մոտ ապագայում նրանք դժվար թե կարողանան դա անել՝ օգտագործվում է կոդավորման բարելավված ալգորիթմ: Այսպիսով, եկեք պարզենք, թե ինչ անել, եթե ձեր ֆայլերը գաղտնագրված են «no_more_ransom» ընդլայնմամբ:
Գործողության նկարագրությունը և սկզբունքը
2017 թվականի սկզբին շատ ֆորումներ լցված էին «no_more_ransom virus has encrypted files» հաղորդագրություններով, որոնցում օգտատերերը օգնություն էին խնդրում սպառնալիքը հեռացնելու համար: Հարձակման են ենթարկվել ոչ միայն մասնավոր համակարգիչները, այլև ամբողջ կազմակերպությունները (հատկապես նրանք, ովքեր օգտագործում են 1C տվյալների բազաները): Բոլոր տուժածների համար իրավիճակը մոտավորապես նույնն է. նրանք բացել են հավելվածը էլ, որոշ ժամանակ անց ֆայլերը ստացել են No_more_ransom ընդլայնումը։ Փրկագին վիրուսը շրջանցել է բոլոր հայտնիներին հակավիրուսային ծրագրեր.
Ընդհանուր առմամբ, վարակման սկզբունքի հիման վրա No_more_ransom-ը չի տարբերվում իր նախորդներից.
Ինչպես բուժել կամ հեռացնել No_more_ransom վիրուսը
Կարևոր է հասկանալ, որ այն բանից հետո, երբ դուք ինքներդ սկսեք No_more_ransom-ը, դուք կկորցնեք հնարավորությունը վերականգնել մուտքը դեպի ֆայլեր՝ օգտագործելով հարձակվողների գաղտնաբառը: Հնարավո՞ր է վերականգնել ֆայլը No_more_ransom-ից հետո: Մինչ օրս տվյալների վերծանման 100% գործող ալգորիթմ չկա: Միակ բացառությունը հայտնի լաբորատորիաների կոմունալ ծառայություններն են, սակայն գաղտնաբառի ընտրությունը շատ երկար ժամանակ է պահանջում (ամիսներ, տարիներ): Սակայն վերականգնման մասին ավելին ստորև: Նախ, եկեք պարզենք, թե ինչպես կարելի է ճանաչել այլևս ոչ փրկագին տրոյան (թարգմանությունը՝ «այլևս փրկագին չկա») և հաղթել այն: 
Որպես կանոն, տեղադրված հակավիրուսային ծրագիրը թույլ է տալիս փրկագին մուտք գործել համակարգիչ՝ հաճախ թողարկվում են նոր տարբերակներ, որոնց համար տվյալների բազաները թողարկելու ժամանակ պարզապես չկա: Այս տեսակի վիրուսները բավականին հեշտությամբ հեռացվում են համակարգչից, քանի որ խաբեբաներին անհրաժեշտ չէ, որ դրանք մնան համակարգում իրենց առաջադրանքը (գաղտնագրումը) կատարելուց հետո: Այն հեռացնելու համար կարող եք օգտագործել պատրաստի կոմունալ ծառայություններ, որոնք բաժանվում են անվճար.
Նրանց օգտագործումը շատ պարզ է. գործարկել, ընտրել սկավառակներ, սեղմել «Սկսել սկանավորումը»: Մնում է միայն սպասել։ Այնուհետև կհայտնվի պատուհան, որտեղ կցուցադրվեն բոլոր սպառնալիքները: Սեղմեք «Ջնջել»:
Ամենայն հավանականությամբ, այս կոմունալ ծառայություններից մեկը կհեռացնի փրկագին վիրուսը: Եթե դա տեղի չունենա, ապա ձեռքով հեռացումը անհրաժեշտ է.
Եթե դուք արագ նկատում եք վիրուս և կարողանում եք հեռացնել այն, ապա հնարավորություն կա, որ որոշ տվյալներ չեն ծածկագրվի: Ավելի լավ է պահպանել ֆայլերը, որոնք չեն հարձակվել առանձին սկավառակի վրա:
«No_more_ransom» ֆայլերի վերծանման կոմունալ ծառայություններ
Պարզապես անհնար է ինքներդ գտնել կոդը, եթե դուք առաջադեմ հաքեր չեք: Ապակոդավորման համար ձեզ հարկավոր է հատուկ կոմունալ ծառայություններ. Ես անմիջապես կասեմ, որ ոչ բոլորը կկարողանան վերծանել կոդավորված ֆայլը, ինչպիսին է «No_more_ransom»: Վիրուսը նոր է, ուստի գաղտնաբառ գուշակելը շատ բարդ խնդիր է։
Այսպիսով, առաջին հերթին մենք փորձում ենք վերականգնել տվյալները ստվերային պատճեններից: Կանխադրված օպերացիոն համակարգ, սկսած Windows 7-ից, պարբերաբար պահպանում է ձեր փաստաթղթերի պատճենները: Որոշ դեպքերում վիրուսը չի կարողանում ջնջել պատճենները: Հետևաբար, մենք ներբեռնում ենք անվճար ծրագիր ShadowExplorer. Պետք չէ որևէ բան տեղադրել, պարզապես անհրաժեշտ է այն ապափաթեթավորել:
Եթե վիրուսը չի ջնջում պատճենները, ապա գաղտնագրված տեղեկատվության մոտ 80-90%-ը վերականգնելու հնարավորություն կա։
Հայտնի հակավիրուսային լաբորատորիաներն առաջարկում են նաև վերծանման ծրագրեր՝ No_more_ransom վիրուսից հետո ֆայլերը վերականգնելու համար։ Այնուամենայնիվ, դուք չպետք է ակնկալեք, որ այս կոմունալ ծառայությունները կկարողանան վերականգնել ձեր տվյալները: Գաղտնագրիչները մշտապես բարելավվում են, և մասնագետները պարզապես ժամանակ չունեն յուրաքանչյուր տարբերակի համար թարմացումներ թողարկելու համար: Ուղարկեք նմուշներ տեխնիկական աջակցությունհակավիրուսային լաբորատորիաներ՝ ծրագրավորողներին օգնելու համար:
No_more_ransom-ի դեմ պայքարելու համար կա Kaspersky Decryptor-ը: Կոմունալը ներկայացված է երկու տարբերակով՝ նախածանցներով և Ռախնիով (դրանց մասին առանձին հոդվածներ կան մեր կայքում): Վիրուսի դեմ պայքարելու և ֆայլերը վերծանելու համար պարզապես անհրաժեշտ է գործարկել ծրագիրը՝ ընտրելով սկանավորման վայրերը:
Բացի այդ, դուք պետք է նշեք արգելափակված փաստաթղթերից մեկը, որպեսզի կոմունալը սկսի գուշակել գաղտնաբառը:
Դուք կարող եք նաև անվճար ներբեռնել No_more_ransom լավագույն ապակոդավորիչը Dr. Վեբ. Կոմունալը կոչվում է matsnu1decrypt: Այն աշխատում է նմանատիպ սցենարով Kaspersky-ի ծրագրերով: Մնում է միայն գործարկել սկանավորումը և սպասել մինչև այն ավարտվի:
Այժմ ոչ մեկի համար գաղտնիք չէ, որ առկա բոլոր տեսակի հանցագործությունները փոխանցվել են համացանց: Դրանք ներառում են կիբեր լրտեսություն, կիբերահաբեկչություն, կիբեր խարդախություն, կիբեր գողություն և, ըստ այս բլոգի թեմայի, կիբեր շորթում և կիբերշանտաժ:
Նրանք վաղուց ցանկանում էին Ռուսաստանում կիբերհանցագործությունները նույնացնել գողությունների հետ, մեծացնելով պատիժները, սակայն այս հարցը բարձրացվել է բանկային կառույցների դրդմամբ, որոնց, իբր, թույլ չեն տալիս ապրել հաքերների կողմից։ Միգուցե դա այդպես է։ Ով ինչի մասին է խոսում, իսկ բանկերը՝ հաքերների մասին...
Առաջիկա օրինագծում նշվում է նաև ժամանակակից «գլուխգործոց» արդյունաբերության չլիցենզավորված ծրագրերի և աուդիո-վիդեո «գլուխգործոցների» ներբեռնման մասին, որն արդեն կեղտոտ ջրի պես թափվում է մեզ վրա։ Կրկին որս է գնում վհուկների, և ոչ իսկական կիբերհանցագործների, որոնք ժանտախտի պես տարածվել են համաշխարհային սարդոստայնում և ազդել աշխարհի յուրաքանչյուր երկրի յուրաքանչյուր ընտանիքի վրա, որը հասանելի է ինտերնետին:
Այո, ես խոսում եմ շորթման ժանտախտի մասին՝ կրիպտոփրկագին, կոդավորողներ, արգելափակիչներ և բոլոր տեսակի կեղծիքներ, այսինքն. ծրագրեր, որոնք ձևացնում են գաղտնագրողներ, արգելափակողներ, ծրագրեր, որոնք առաջարկում են «մաքրում» վճարովի, բայց դա չի խանգարում նրանց շորթող լինելուն: Նրանց ստեղծողները բացահայտորեն տեղադրում են իրենց «ստեղծագործությունները» համացանցում՝ չվախենալով իրավապահներից, քրեական մաֆիայից, տեղական ոստիկանությունից, Եվրոպոլից և Ինտերպոլից: Նրանք գովազդում են, դրանք գովազդվում և առաջխաղացվում են որոնման արդյունքներում ավտոմատացված համակարգեր Google և Yandex.
Ահա թե ում դեմ պետք է պայքարեն կիբերհանցագործությունների մասին օրենքները, ահա թե ում պետք է առաջինը բռնի ոստիկանությունը, պարզեն Եվրոպոլին, Ինտերպոլը և «Կ» վարչությունը: Կցանկանայի հավատալ, որ այս ուղղությամբ աշխատանք է տարվում գիշեր-ցերեկ, բայց փաստը պարզ է՝ շորթումն ու կրիպտո շորթումը դարձել են համացանցի պատուհասն ու պատուհասը, ինչպես շոգենավը ջախջախում է դասական վիրուսային համաճարակները։
Ի դեպ, իմ տեղեկություններով, այն արտադրվում է Ուկրաինայից, Մոլդովայից և Ռումինիայից ամենամեծ թիվը Ransomware, եթե հաշվի չառնեք Ասիայի արևելյան և հարավային շրջանները, որտեղ բոլորովին այլ է, ավելին բարձր տոկոսև շորթման մակարդակը և հաքերային հարձակումներ. Ուկրաինայից, Մոլդովայից և Ռումինիայից փրկագին ծրագրերի որոշ հարձակումներ ուղղված են Ռուսաստանի, ռուսալեզու բիզնեսների և օգտատերերի դեմ, մինչդեռ մյուսներն ուղղված են ԱՄՆ-ին, Եվրոպային և անգլախոս օգտատերերին:
Վերջին մի քանի տարիների ընթացքում համակարգչային օգտատերերը շատ ավելի հաճախ են հանդիպել փրկագին, կեղծ փրկագին, փրկագին արգելափակողներ և այլոց, որոնք փրկագին են պահանջում իրենց գաղտնագրված և անընթեռնելի, արգելափակված և անհասանելի, տեղափոխված, թաքնված ֆայլերի հասանելիությունը վերադարձնելու համար: ջնջված է ... Ինչպե՞ս դա հնարավոր դարձավ:
Վաղուց անցել են այն ժամանակները, երբ տարածումը չարամիտ ծրագիրիրականացվել է մեկ հանցագործ կամ սկսնակ ծրագրավորողի կողմից։Մեր օրերում կիբերհանցագործներն ամենից հաճախ աշխատում են թիմով, քանի որ... նման համատեղ աշխատանքը ավելի շատ շահույթ է բերում։ Օրինակ, շորթման բիզնես մոդելի (RaaS) մշակմամբ, որը հիմնված է բիթքոյններով փրկագնի վճարման վրա, մի խումբ կարող է տրամադրել տեխնիկական աջակցություն, գրել առաջարկություններ և չաթի կամ էլփոստի միջոցով նոր զոհերին ասել, թե ինչպես և որտեղ կարող են գնել, փոխանակել, փոխանցել: բիթքոյններ հետագա վճարման փրկագնի համար: Մեկ այլ խումբ մշակում, թարմացնում և վրիպազերծում է փրկագին: Երրորդ խումբը ապահովում է ծածկ և կացարան։ Չորրորդ խումբը աշխատում է C&C-ի հետ և վարում էաշխատանք հրամանատարական կենտրոնից։ Հինգերորդը զբաղվում է ֆինանսական հարցերով և աշխատում է գործընկերների հետ։ Վեցերորդը փոխզիջում է և վարակում կայքերը... RaaS-ի մշակմամբ, որքան ավելի բարդ և տարածված է փրկագին, այնքան ավելի շատ թիմեր են ներգրավված և նրանց կողմից իրականացվող գործընթացները:
Կրիպտո-փրկագին հարձակման ժամանակ զոհերը բախվում են բարդ հարցի՝ նրանք պե՞տք է վճարեն փրկագինը: կամ հրաժեշտ տալ ֆայլերին: Իրենց անանունությունն ապահովելու համար կիբերհանցագործներն օգտագործում են Tor ցանցը և փրկագին պահանջում Bitcoin կրիպտոարժույթով: 2016 թվականի հունիսի դրությամբ 1 ԲԹՋ-ի դրամական համարժեքն արդեն գերազանցում է 60 հազար ռուբլին և չի պակասի։ Ցավոք, տուժողները, որոշելով վճարել, ակամա ֆինանսավորում են կիբերհանցագործների հետագա շորթման գործունեությունը, որոնց ախորժակը աճում է թռիչքներով և սահմաններով, և յուրաքանչյուր նոր վճարումով նրանք համոզվում են իրենց անպատժելիության մեջ:
Նայիր» Թոփ 100 ամենահարուստ Bitcoin հասցեները և բիթքոյնի բաշխումը«Այնտեղ կրիպտոարժույթներով հարուստ միլիոնատերերի մեծ մասն այդպիսին դարձավ անօրինական և նույնիսկ հանցավոր մեթոդներով։
Ինչպե՞ս կարող է սա լինել:Այսօր չկա տվյալների գաղտնազերծման ունիվերսալ գործիք, կան միայն անհատական կոմունալ ծառայություններ, որոնք հարմար են հատուկ կոդավորիչների համար: Ուստի, որպես հիմնական պաշտպանություն, խորհուրդ են տրվում փրկագինով վարակվելու կանխարգելման միջոցներ, որոնցից հիմնականն էԹարմ հակավիրուսային պաշտպանություն. Միևնույն ժամանակ, շատ կարևոր է նաև օգտատերերի իրազեկվածության բարձրացումը այս միջոցների և փրկագին ծրագրերի և փրկագին ծրագրերից բխող սպառնալիքների մասին:Այս նպատակով ստեղծվել է մեր բլոգը:Այստեղ տեղեկատվությունը հավաքվում է յուրաքանչյուր փրկագնի կոդավորողի, կեղծ ծածկագրողի կամ արգելափակիչի մասին, որը ներկայանում է որպես կոդավորիչ:
Իմ երկրորդ բլոգում» Ֆայլերի վերծանիչներ«2016 թվականի մայիսից ի վեր ամփոփվել են Crypto-Ransomware-ի կողմից գաղտնագրված ֆայլերի անվճար վերծանման համար ստեղծված ապակոդավորիչների մասին տեղեկությունները: Բոլոր նկարագրությունները և հրահանգները առաջին անգամ են հրապարակվում ռուսերենով: Պարբերաբար ստուգեք:
Մասնագիտական աջակցության նպատակով 2016 թվականի ամռանը Kaspersky Lab-ը, Intel Security-ը, Europol-ը և հոլանդական ոստիկանությունը համատեղ նախագիծ են կազմակերպել « Այլևս փրկագին չկա», ուղղված փրկագինների դեմ պայքարին։ Ծրագրի մասնակիցները ստեղծել են կայքoMoreRansom.org, որը պարունակում է ընդհանուր տեղեկություններ ransomware-ի մասին (անգլերեն), ինչպես նաև գաղտնագրված տվյալները վերականգնելու անվճար գործիքների մասին։ Սկզբում կար ընդամենը 4 նման գործիք LC-ից և McAfee-ից։Այս հոդվածը գրելու օրը նրանք արդեն 7-ն էինև ֆունկցիոնալությունը ավելի ընդլայնվեց:
Հատկանշական է, որ այս նախագիծը միայն դեկտեմբերին էրլրացված մի խումբ ապակոդավորիչներ, որոնք վաղուց նկարագրված են իմ «Ransomware Encryptors» և «File Decryptors» բլոգներում:
Այլևս փրկագին չկա:
Թարմացում 2016 թվականի դեկտեմբերի 15-ին.
Նախագծին միացան այլ ընկերություններ, որոնք նախկինում թողարկել էին այլ ապակոդավորիչներ: Այժմ արդեն կան 20 կոմունալ ծառայություններ (որոշը նույնիսկ երկու).
WildFire Decryptor - Kaspersky Lab-ից և Intel Security-ից
Chimera Decryptor - Կասպերսկու լաբորատորիայից
Teslacrypt Decryptor - Kaspersky Lab-ից և Intel Security-ից
Shade Decryptor - Kaspersky Lab-ից և Intel Security-ից
CoinVault Decryptor - Kaspersky Lab-ից
Rannoh Decryptor - Կասպերսկու լաբորատորիայից
Rakhni Decryptor - Կասպերսկու լաբորատորիայից
Jigsaw Decryptor - Check Point-ից
Trend Micro Ransomware File Decryptor - Trend Micro-ի կողմից
NMoreira Decryptor - Emsisoft-ից
Ozozalocker Decryptor - Emsisoft-ից
Globe Decryptor - Emsisoft-ից
Globe2 Decryptor - Emsisoft-ից
FenixLocker Decryptor - Emsisoft-ից
Philadelphia Decryptor - Emsisoft-ի կողմից
Stampado Decryptor - Emsisoft-ից
Xorist Decryptor - Emsisoft-ից
Nemucod Decryptor - Emsisoft-ից
Gomasom Decryptor - Emsisoft-ից
Linux.Encoder Decryptor - BitDefender-ի կողմից
Այժմ «No More Ransom»-ը բաղկացած է 22 երկրների ներկայացուցիչներից։
Հաջողություն վերծանման հարցում!!!
Փրկագին մի՛ վճարիր։ Պատրաստվի՛ր։ Պաշտպանեք ձեր տվյալները: Կատարեք կրկնօրինակումներ: Օգտվելով այս պահից՝ հիշեցնում եմ ձեզ. Շորթումը հանցագործություն է, ոչ թե խաղ։ Մի խաղացեք այս խաղերը:
© Amigo-A (Էնդրյու Իվանով). Բլոգի բոլոր հոդվածները
, ՏԵՍԱՆՅՈՒԹ, ԵՐԱԺՇՏՈՒԹՅՈՒՆ և այլն անձնական ֆայլերվրա .NO_MORE_RANSOM, և բնօրինակ անունը փոխում է տառերի և թվերի պատահական համակցության: Այնուամենայնիվ, ամենակարևոր ձևաչափերի ֆայլերի մեծ մասը .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIPմի բացիր. Հաշվապահություն 1Cչի աշխատում: Ահա թե ինչ տեսք ունի.
Կասպերսկու լաբորատորիայի, Dr.Web-ի և հակավիրուսային ծրագրեր մշակող այլ հայտնի ընկերությունների տեխնիկական աջակցությունը, ի պատասխան տվյալների վերծանման օգտատերերի խնդրանքների, հայտնում է, որ դա անհնար է անել ընդունելի ժամանակում:
Բայց մի շտապեք հուսահատվել:
Փաստն այն է, որ, ներթափանցելով ձեր համակարգիչ, վնասակար ծրագիրը որպես գործիք օգտագործում է լիովին օրինական GPG գաղտնագրման ծրագրակազմը և գաղտնագրման հանրաճանաչ ալգորիթմը՝ RSA-1024: Քանի որ այս կոմունալն օգտագործվում է շատ վայրերում և ինքնին վիրուս չէ, հակավիրուսային ծրագրերը թույլ են տալիս այն անցնել և չեն արգելափակում դրա աշխատանքը: Ֆայլերը գաղտնագրելու համար ստեղծվում է հանրային և մասնավոր բանալի: Անձնական բանալին ուղարկվում է հարձակվողների սերվերին, մինչդեռ հանրային բանալին մնում է օգտագործողի համակարգչում: Երկու բանալիներն էլ անհրաժեշտ են ֆայլերը վերծանելու համար: Հարձակվողները զգուշորեն վերագրում են անձնական բանալին տուժած համակարգչի վրա: Բայց դա միշտ չէ, որ տեղի է ունենում: Ավելի քան երեք տարվա անբասիր աշխատանքի պատմության, մասնագետներ Դոկտոր ՇԻՖՐՈՄենք ուսումնասիրել ենք չարամիտ ծրագրերի գործունեության հազարավոր տատանումներ, և գուցե նույնիսկ անհույս թվացող իրավիճակում մենք կկարողանանք առաջարկել լուծում, որը թույլ կտա հետ ստանալ ձեր տվյալները:
Այս տեսանյութում կարող եք դիտել իրական աշխատանքապակոդավորիչ մեր հաճախորդներից մեկի համակարգչում.
Ապակոդավորման հնարավորությունը վերլուծելու համար ուղարկեք կոդավորված ֆայլերի 2 նմուշ՝ մեկ տեքստ (doc, docx, odt, txt կամ rtf չափըմինչև 100 ԿԲ), երկրորդ գրաֆիկան (jpg, png, bmp, tif կամ pdf մինչև 3 ՄԲ չափի): Ձեզ նույնպես պետք է գրառման ֆայլ հարձակվողներից: Ֆայլերը ուսումնասիրելուց հետո մենք ձեզ կտրամադրենք արժեքի նախահաշիվը: Ֆայլերը կարող են ուղարկվել էլ [էլփոստը պաշտպանված է]կամ օգտագործել ֆայլի ներկայացման ձևը կայքում (նարնջագույն կոճակ):
ՄԵԿՆԱԲԱՆՈՒԹՅՈՒՆՆԵՐ (2)
Մենք բռնեցինք CRYPTED000007 վիրուսը: Ինտերնետում ապակոդավորման մեթոդ որոնելուց հետո մենք գտանք այս կայքը: Մասնագետն արագ և մանրակրկիտ նկարագրեց, թե ինչ է պետք անել։ Երաշխավորելու համար վերծանվել է 5 թեստային ֆայլ։ Հայտարարեցին արժեքը և վճարելուց հետո մի քանի ժամում ամեն ինչ վերծանվեց։ Չնայած ոչ միայն համակարգիչը ծածկագրված էր, այլ նաև ցանցային դրայվը։ Շատ շնորհակալ եմ ձեր օգնության համար:
Բարի օր Վերջերս նման իրավիճակ ունեի CRYPTED000007 վիրուսի հետ կապված, որը ժամանակ չուներ գաղտնագրելու բոլոր սկավառակները, քանի որ... Որոշ ժամանակ անց ես բացեցի լուսանկարով թղթապանակը և տեսա դատարկ ծրար և ֆայլի անուն տարբեր տառերի և թվերի շարքից և անմիջապես ներբեռնեցի և գործարկեցի անվճար կոմունալհեռացնել տրոյացիները: Վիրուսը հասավ փոստով և համոզիչ նամակ կար, որ ես բացեցի և գործարկեցի հավելվածը: Համակարգիչն ունի 4 շատ մեծ կոշտ սկավառակ (տերաբայթ): Ես կապ հաստատեցի տարբեր ընկերությունների հետ, որոնցից շատ են ինտերնետում և առաջարկում են իրենց ծառայությունները, բայց նույնիսկ հաջող վերծանման դեպքում բոլոր ֆայլերը կլինեն առանձին թղթապանակում և բոլորը խառնված կլինեն: Ոչ ոք 100% ապակոդավորման երաշխիք չի տալիս։ Ես կապվեցի Կասպերսկու լաբորատորիայի հետ և նույնիսկ այնտեղ նրանք ինձ չօգնեցին..html#, ուստի որոշեցի կապ հաստատել: Ես ուղարկեցի երեք թեստային լուսանկար և որոշ ժամանակ անց ստացա պատասխան՝ դրանց ամբողջական սղագրությամբ։ Փոստային նամակագրության մեջ ինձ առաջարկել են կամ հեռակա, կամ տանը։ Ես որոշեցի դա անել տանը: Մենք որոշեցինք մասնագետի ժամանման օրն ու ժամը։ Անմիջապես նամակագրության մեջ համաձայնեցվեց ապակոդավորիչի գումարը և հաջող վերծանումից հետո պայմանագիր կնքեցինք աշխատանքի վերաբերյալ և համաձայնագրի վճարում կատարեցի։ Ֆայլերի գաղտնազերծումը շատ երկար տևեց, քանի որ որոշ տեսանյութեր այդպես էին մեծ չափս. հետո ամբողջական սղագրությունԵս համոզվեցի, որ իմ բոլոր ֆայլերը վերադառնան իրենց սկզբնական ձևին և ֆայլի ճիշտ ընդլայնմանը: Կոշտ սկավառակների հզորությունը դարձավ նույնը, ինչ մինչ վարակվելը, քանի որ վարակման ժամանակ կրիչները գրեթե ամբողջությամբ լցված էին։ Նրանք, ովքեր գրում են խաբեբաների և այլնի մասին, ես սրա հետ համաձայն չեմ։ Սա կա՛մ մրցակիցներն են գրում՝ զայրույթից դրդված, որ իրենց չի հաջողվում, կա՛մ մարդիկ, ովքեր ինչ-որ բանից վիրավորված են։ Իմ դեպքում ամեն ինչ հիանալի է ստացվել, վախերս անցյալում են։ Ես նորից տեսա իմ հին ընտանեկան լուսանկարները, որոնք արել էի վաղուց, և ընտանեկան տեսանյութերը, որոնք ինքս էի խմբագրել: Ցանկանում եմ շնորհակալություն հայտնել dr.Shifro ընկերությանը և անձամբ Իգոր Նիկոլաևիչին, ով օգնեց ինձ վերականգնել իմ բոլոր տվյալները: Շատ շնորհակալ եմ և հաջողություն: Այն ամենը, ինչ գրված է, իմ անձնական կարծիքն է, և դուք որոշեք, թե ում հետ կապվեք։
2016 թվականի վերջին աշխարհը հարձակվեց շատ ոչ տրիվիալ տրոյական վիրուսի կողմից, որը կոդավորում է օգտատերերի փաստաթղթերը և մուլտիմեդիա բովանդակությունը, որը կոչվում է NO_MORE_RANSOM: Ինչպես վերծանել ֆայլերը այս վտանգի ենթարկվելուց հետո, կքննարկվի հետագա: Այնուամենայնիվ, արժե անմիջապես զգուշացնել բոլոր օգտատերերին, ովքեր ենթարկվել են հարձակման, որ չկա միատեսակ տեխնիկա: Դա պայմանավորված է առավել առաջադեմներից մեկի կիրառմամբ և վիրուսի ներթափանցման աստիճանով համակարգչային համակարգ կամ նույնիսկ տեղական ցանց(թեև ի սկզբանե այն նախատեսված չէր ցանցի ազդեցության համար):
Ի՞նչ է NO_MORE_RANSOM վիրուսը և ինչպե՞ս է այն աշխատում:
Ընդհանուր առմամբ, վիրուսն ինքնին սովորաբար դասակարգվում է որպես տրոյականների դաս, ինչպիսին է I Love You, որոնք ներթափանցում են համակարգչային համակարգ և գաղտնագրում օգտվողի ֆայլերը (սովորաբար մուլտիմեդիա): Ճիշտ է, եթե նախահայրը տարբերվում էր միայն գաղտնագրմամբ, ապա այս վիրուսը շատ բան է փոխառել երբեմնի սենսացիոն սպառնալիքից, որը կոչվում էր DA_VINCI_COD՝ համատեղելով փրկագինի գործառույթները:
Վարակվելուց հետո աուդիո, վիդեո, գրաֆիկական կամ գրասենյակային փաստաթղթերի ֆայլերի մեծ մասին նշանակվում է երկար անուն՝ NO_MORE_RANSOM ընդլայնմամբ, որը պարունակում է բարդ գաղտնաբառ:
Երբ փորձում եք բացել դրանք, էկրանին հայտնվում է հաղորդագրություն այն մասին, որ ֆայլերը գաղտնագրված են, և դրանք վերծանելու համար անհրաժեշտ է որոշակի գումար վճարել։
Ինչպե՞ս է սպառնալիքը մտնում համակարգ:
Առայժմ մենակ թողնենք այն հարցին, թե ինչպես կարելի է վերծանել վերը նշված տեսակներից որևէ մեկի ֆայլերը NO_MORE_RANSOM-ի հետ շփումից հետո, և եկեք դիմենք տեխնոլոգիային, թե ինչպես է վիրուսը ներթափանցում համակարգչային համակարգ: Ցավոք սրտի, անկախ նրանից, թե ինչպես է դա հնչում, դրա համար օգտագործվում է հին ապացուցված մեթոդը՝ հասցեին էլԷլփոստը հասնում է հավելվածով, և երբ օգտատերը բացում է այն, գործարկվում է վնասակար կոդը:
Ինչպես տեսնում ենք, այս տեխնիկան օրիգինալ չէ։ Այնուամենայնիվ, հաղորդագրությունը կարող է քողարկվել որպես անիմաստ տեքստ: Կամ հակառակը, օրինակ, եթե խոսքը խոշոր ընկերությունների մասին է, ինչ-որ պայմանագրի պայմանները փոխել։ Պարզ է, որ սովորական գործավարը ներդրում է բացում, հետո աղետալի արդյունք է ստանում։ Ամենավառ բռնկումներից մեկը հանրաճանաչ 1C փաթեթի տվյալների շտեմարանների կոդավորումն էր։ Իսկ սա արդեն լուրջ խնդիր է։
NO_MORE_RANSOM. ինչպե՞ս վերծանել փաստաթղթերը:
Բայց դեռ արժե անդրադառնալ հիմնական հարցին. Անշուշտ, բոլորին հետաքրքրում է, թե ինչպես վերծանել ֆայլերը: NO_MORE_RANSOM վիրուսն ունի իր գործողությունների հաջորդականությունը: Եթե օգտատերը վարակվելուց անմիջապես հետո փորձում է վերծանել, դա անելու ինչ-որ ճանապարհ դեռ կա: Եթե սպառնալիքը հաստատապես հաստատվել է համակարգում, ապա, ավաղ, դա հնարավոր չէ անել առանց մասնագետների օգնության։ Բայց նրանք հաճախ անզոր են ստացվում։
Եթե սպառնալիքը ժամանակին հայտնաբերվեց, ապա կա միայն մեկ ճանապարհ՝ դիմեք հակավիրուսային ընկերությունների աջակցության ծառայություններին (դեռ ոչ բոլոր փաստաթղթերն են գաղտնագրված), ուղարկեք մի քանի անհասանելի ֆայլ և, հիմնվելով բնօրինակների վերլուծության վրա։ պահպանված շարժական կրիչների վրա, փորձեք վերականգնել արդեն վարակված փաստաթղթերը, նախ պատճենելով նույն ֆլեշ կրիչի վրա այն ամենը, ինչ դեռ հասանելի է բացման համար (չնայած չկա նաև ամբողջական երաշխիք, որ վիրուսը չի ներթափանցել նման փաստաթղթերի մեջ): Սրանից հետո, համոզվելու համար, պետք է գոնե ստուգել լրատվամիջոցները հակավիրուսային սկաներ(դու երբեք չգիտես):
Ալգորիթմ
Հարկ է նաև նշել, որ վիրուսը գաղտնագրման համար օգտագործում է RSA-3072 ալգորիթմը, որը, ի տարբերություն նախկինում օգտագործված RSA-2048 տեխնոլոգիայի, այնքան բարդ է, որ ճիշտ գաղտնաբառի ընտրությունը, նույնիսկ եթե հակավիրուսային լաբորատորիաների ամբողջ կոնտինգենտը ներգրավված է: դա կարող է տևել ամիսներ կամ տարիներ: Այսպիսով, հարցը, թե ինչպես վերծանել NO_MORE_RANSOM-ը, բավականին շատ ժամանակ կպահանջի: Բայց ինչ անել, եթե անհրաժեշտ է անհապաղ վերականգնել տեղեկատվությունը: Առաջին հերթին, հեռացնել վիրուսը ինքնին:
Հնարավո՞ր է հեռացնել վիրուսը և ինչպես դա անել:
Իրականում, դա դժվար չէ անել։ Դատելով վիրուս ստեղծողների լկտիությունից՝ համակարգչային համակարգում սպառնալիքը քողարկված չէ։ Ընդհակառակը, նրա համար նույնիսկ ձեռնտու է «իրեն հեռացնելը» կատարված գործողությունները կատարելուց հետո։
Այնուամենայնիվ, սկզբում, հետևելով վիրուսի օրինակին, այն դեռ պետք է չեզոքացվի։ Առաջին քայլն է օգտագործել շարժական անվտանգության կոմունալ ծառայություններ, ինչպիսիք են KVRT, Malwarebytes, Dr. Վեբ CureIt! և նմանները: Խնդրում ենք նկատի ունենալ. փորձարկման համար օգտագործվող ծրագրերը պետք է լինեն շարժական (առանց միացված տեղադրման կոշտ սկավառակգործարկման հետ օպտիմալ տարբերակշարժական կրիչներից): Եթե վտանգ է հայտնաբերվել, այն պետք է անհապաղ հեռացվի:
Եթե նման գործողություններ չեն տրամադրվում, դուք նախ պետք է գնաք «Առաջադրանքների կառավարիչ» և ավարտեք դրանում առկա վիրուսի հետ կապված բոլոր գործընթացները՝ տեսակավորելով ծառայությունները անունով (սովորաբար սա Runtime Broker գործընթացն է):
Առաջադրանքը չեղարկելուց հետո անհրաժեշտ է զանգահարել խմբագրին համակարգի գրանցամատյան(վերագրել Run ընտրացանկում) և որոնել ըստ անունով» Հաճախորդի սերվեր Runtime System» (առանց չակերտների), այնուհետև օգտագործելով «Գտեք հաջորդը...» արդյունքների միջով անցնելու ընտրացանկը, ջնջեք բոլոր գտնված տարրերը: Հաջորդը, դուք պետք է վերագործարկեք համակարգիչը և ստուգեք «Առաջադրանքների մենեջեր»՝ տեսնելու, թե արդյոք ձեր փնտրած գործընթացը կա՞:
Սկզբունքորեն, հարցը, թե ինչպես վերծանել NO_MORE_RANSOM վիրուսը վարակման փուլում, կարող է լուծվել այս մեթոդի միջոցով: Դրա չեզոքացման հավանականությունը, իհարկե, փոքր է, բայց շանս կա։
Ինչպես վերծանել NO_MORE_RANSOM-ով գաղտնագրված ֆայլերը. կրկնօրինակներ
Բայց կա ևս մեկ տեխնիկա, որի մասին քչերը գիտեն կամ նույնիսկ կռահում են: Փաստն այն է, որ օպերացիոն համակարգն ինքն է անընդհատ ստեղծում իր ստվերը կրկնօրինակներ(օրինակ՝ վերականգնման դեպքում), կամ օգտատերը միտումնավոր ստեղծում է նման պատկերներ։ Ինչպես ցույց է տալիս պրակտիկան, հենց այդ պատճեններն են, որոնց վրա վիրուսը չի ազդում (դա պարզապես նախատեսված չէ իր կառուցվածքով, չնայած դա բացառված չէ):
Այսպիսով, խնդիրը, թե ինչպես վերծանել NO_MORE_RANSOM-ը, հանգում է դրանց հատուկ օգտագործմանը: Այնուամենայնիվ, օգտագործեք ստանդարտ Windows գործիքներխորհուրդ չի տրվում (և շատ օգտվողներ BCCընդհանրապես մուտք չի ունենա): Հետևաբար, դուք պետք է օգտագործեք ShadowExplorer կոմունալ ծրագիրը (այն շարժական է):
Վերականգնելու համար պարզապես անհրաժեշտ է գործարկել գործարկվող տարբերակը, տեսակավորել տեղեկատվությունը ըստ ամսաթվերի կամ բաժինների, ընտրել ցանկալի պատճենը (ֆայլի, թղթապանակի կամ ամբողջ համակարգի) և օգտագործել արտահանման գիծը RMB մենյուի միջոցով: Հաջորդը, դուք պարզապես ընտրում եք այն գրացուցակը, որտեղ կպահվի ընթացիկ պատճենը, այնուհետև օգտագործեք վերականգնման ստանդարտ գործընթացը:
Երրորդ կողմի կոմունալ ծառայություններ
Իհարկե, խնդրին, թե ինչպես վերծանել NO_MORE_RANSOM-ը, շատ լաբորատորիաներ առաջարկում են իրենց լուծումները: Օրինակ, Kaspersky Lab-ը խորհուրդ է տալիս օգտագործել իր սեփականը ծրագրային արտադրանք Kaspersky Decryptor-ը ներկայացված է երկու փոփոխությամբ՝ Ռախինի և Ռեկտոր:
Նմանատիպ զարգացումները, ինչպիսին է Dr.-ի NO_MORE_RANSOM ապակոդավորիչը, ոչ պակաս հետաքրքիր տեսք ունեն: Վեբ. Բայց այստեղ արժե անմիջապես հաշվի առնել, որ նման ծրագրերի օգտագործումը արդարացված է միայն այն դեպքում, եթե սպառնալիքը արագ հայտնաբերվի, նախքան բոլոր ֆայլերը վարակվելը: Եթե վիրուսը հաստատապես հաստատված է համակարգում (երբ գաղտնագրված ֆայլերը պարզապես չեն կարող համեմատվել իրենց չգաղտնագրված բնօրինակների հետ), նման հավելվածները կարող են նաև անօգուտ լինել:
Արդյունքում
Իրականում միայն մեկ եզրակացություն է հուշում. այս վիրուսի դեմ պետք է պայքարել բացառապես վարակման փուլում, երբ կոդավորված են միայն առաջին ֆայլերը։ Ընդհանրապես, լավագույնն է կասկածելի աղբյուրներից ստացված էլփոստի հաղորդագրություններում չբացել հավելվածները (սա վերաբերում է բացառապես համակարգչում տեղադրված հաճախորդներին՝ Outlook, Oulook Express և այլն): Բացի այդ, եթե ընկերության աշխատակիցն իր տրամադրության տակ ունի հաճախորդների և գործընկերների հասցեների ցուցակ, «անպատշաճ» հաղորդագրությունների բացումը դառնում է բացարձակապես անիրագործելի, քանի որ մարդկանց մեծամասնությունը աշխատանքի դիմելիս ստորագրում է առևտրային գաղտնիքների և կիբերանվտանգության մասին չբացահայտման պայմանագրեր:
