აღარ არის გამოსასყიდის აღდგენა. NO_MORE_RANSOM ransomware ვირუსი - ახალი საფრთხე პერსონალური მონაცემებისთვის
2016 წლის ბოლოს შენიშნეს ახალი გამოსასყიდი ვირუსი - NO_MORE_RANSOM. მან მიიღო ასეთი გრძელი სახელი გაფართოების გამო, რომელსაც ანიჭებს მომხმარებლის ფაილებს.
ბევრი სხვა ვირუსებიდან მივიღე, მაგალითად da_vinci_cod-დან. მას შემდეგ, რაც ის ახლახან გამოჩნდა ინტერნეტში, ანტივირუსულმა ლაბორატორიებმა ჯერ ვერ შეძლეს მისი კოდის გაშიფვრა. და ნაკლებად სავარაუდოა, რომ მათ ამის გაკეთება უახლოეს მომავალში შეძლებენ - გამოიყენება დაშიფვრის გაუმჯობესებული ალგორითმი. მოდით გავარკვიოთ, რა უნდა გავაკეთოთ, თუ თქვენი ფაილები დაშიფრულია "no_more_ransom" გაფართოებით.
მოქმედების აღწერა და პრინციპი
2017 წლის დასაწყისში ბევრი ფორუმი სავსე იყო შეტყობინებებით „no_more_ransom virus has encrypted files“, რომელშიც მომხმარებლები დახმარებას ითხოვდნენ საფრთხის მოსაშორებლად. თავს დაესხნენ არა მხოლოდ კერძო კომპიუტერებს, არამედ მთელ ორგანიზაციებს (განსაკუთრებით მათ, ვინც იყენებს 1C მონაცემთა ბაზას). ყველა მსხვერპლის მდგომარეობა დაახლოებით იგივეა: მათ გახსნეს დანართი ელ, გარკვეული პერიოდის შემდეგ ფაილებმა მიიღეს გაფართოება No_more_ransom. ransomware ვირუსმა გვერდი აუარა ყველა პოპულარულს ანტივირუსული პროგრამები.
ზოგადად, ინფექციის პრინციპიდან გამომდინარე, No_more_ransom არ განსხვავდება მისი წინამორბედებისგან:
როგორ განვკურნოთ ან მოვიშოროთ No_more_ransom ვირუსი
მნიშვნელოვანია გვესმოდეს, რომ No_more_ransom-ის დაწყების შემდეგ, თქვენ დაკარგავთ შესაძლებლობას აღადგინოთ წვდომა ფაილებზე თავდამსხმელთა პაროლის გამოყენებით. შესაძლებელია თუ არა ფაილის აღდგენა No_more_ransom-ის შემდეგ? დღემდე, არ არსებობს 100% სამუშაო ალგორითმი მონაცემების გაშიფვრისთვის. ერთადერთი გამონაკლისი არის კომუნალური საშუალებები ცნობილი ლაბორატორიებიდან, მაგრამ პაროლის შერჩევას ძალიან დიდი დრო სჭირდება (თვეები, წლები). მაგრამ უფრო მეტი აღდგენის შესახებ ქვემოთ. პირველ რიგში, მოდით გავარკვიოთ, როგორ ამოვიცნოთ ტროას გამოსყიდვა, რომელიც აღარ არის გამოსასყიდი (თარგმანი - "აღარ გამოსასყიდი") და დავამარცხოთ იგი. 
როგორც წესი, დაინსტალირებული ანტივირუსული პროგრამა საშუალებას აძლევს გამოსასყიდ პროგრამას შევიდეს კომპიუტერში - ხშირად გამოდის ახალი ვერსიები, რისთვისაც უბრალოდ დრო არ არის მონაცემთა ბაზების გამოშვებისთვის. ამ ტიპის ვირუსები საკმაოდ მარტივად იშლება კომპიუტერიდან, რადგან თაღლითებს არ სჭირდებათ ისინი დარჩენა სისტემაში დავალების შესრულების შემდეგ (დაშიფვრა). მის მოსაშორებლად შეგიძლიათ გამოიყენოთ მზა კომუნალური საშუალებები, რომლებიც ნაწილდება უფასოდ:
მათი გამოყენება ძალიან მარტივია: გაშვება, აირჩიეთ დისკები, დააწკაპუნეთ სკანირების დაწყებაზე. რჩება მხოლოდ ლოდინი. ამის შემდეგ გამოჩნდება ფანჯარა, რომელშიც ყველა საფრთხე გამოჩნდება. დააჭირეთ "წაშლა".
სავარაუდოდ, ერთ-ერთი ამ კომუნალური პროგრამა ამოიღებს გამოსასყიდის ვირუსს. თუ ეს არ მოხდა, მაშინ აუცილებელია ხელით ამოღება:
თუ სწრაფად შეამჩნევთ ვირუსს და მოახერხებთ მის ამოღებას, მაშინ არის შანსი, რომ ზოგიერთი მონაცემი არ იყოს დაშიფრული. უმჯობესია შეინახოთ ფაილები, რომლებიც არ განხორციელებულა თავდასხმა ცალკეულ დისკზე.
გაშიფვრის საშუალებები "No_more_ransom" ფაილების გაშიფვრისთვის
უბრალოდ შეუძლებელია კოდის პოვნა თავად, თუ არ ხართ მოწინავე ჰაკერი. გაშიფვრისთვის დაგჭირდებათ სპეციალური კომუნალური საშუალებები. მაშინვე ვიტყვი, რომ ყველას არ შეეძლება დაშიფრული ფაილის გაშიფვრა, როგორიცაა "No_more_ransom". ვირუსი ახალია, ამიტომ პაროლის გამოცნობა ძალიან რთული ამოცანაა.
ასე რომ, პირველ რიგში, ჩვენ ვცდილობთ აღვადგინოთ მონაცემები ჩრდილოვანი ასლებიდან. ნაგულისხმევი ოპერაციული სისტემა Windows 7-დან დაწყებული, რეგულარულად ინახავს თქვენი დოკუმენტების ასლებს. ზოგიერთ შემთხვევაში, ვირუსს არ შეუძლია ასლების წაშლა. ამიტომ, ჩვენ გადმოვწერთ უფასო პროგრამა ShadowExplorer. თქვენ არ გჭირდებათ არაფრის დაყენება - თქვენ უბრალოდ უნდა გახსნათ იგი.
თუ ვირუსი არ წაშლის ასლებს, მაშინ არის დაშიფრული ინფორმაციის დაახლოებით 80-90% აღდგენის შანსი.
ცნობილი ანტივირუსული ლაბორატორიები ასევე გვთავაზობენ გაშიფვრის პროგრამებს No_more_ransom ვირუსის შემდეგ ფაილების აღდგენისთვის. თუმცა, არ უნდა ელოდოთ, რომ ეს კომუნალური საშუალებები შეძლებენ თქვენი მონაცემების აღდგენას. შიფრატორები მუდმივად იხვეწება და სპეციალისტებს უბრალოდ არ აქვთ დრო, რომ გამოაქვეყნონ განახლებები თითოეული ვერსიისთვის. ნიმუშების გაგზავნა ტექნიკური მხარდაჭერაანტივირუსული ლაბორატორიები დეველოპერების დასახმარებლად.
No_more_ransom-თან საბრძოლველად არის Kaspersky Decryptor. პროგრამა წარმოდგენილია ორ ვერსიაში პრეფიქსებით და რახნით (მათ შესახებ ცალკე სტატიებია ჩვენს ვებგვერდზე). ვირუსთან საბრძოლველად და ფაილების გაშიფვრისთვის, თქვენ უბრალოდ უნდა გაუშვათ პროგრამა, შეარჩიოთ სკანირების ადგილები.
გარდა ამისა, თქვენ უნდა მიუთითოთ ერთ-ერთი დაბლოკილი დოკუმენტი, რომ პროგრამამ პაროლის გამოცნობა დაიწყოს.
ასევე შეგიძლიათ უფასოდ ჩამოტვირთოთ საუკეთესო დეშიფრატორი No_more_ransom Dr. ვებ. პროგრამას ეწოდება matsnu1decrypt. ის მუშაობს მსგავსი სცენარის მიხედვით კასპერსკის პროგრამებთან. თქვენ მხოლოდ უნდა გაუშვათ სკანირება და დაელოდოთ მის დასრულებას.
ახლა არავისთვის არ არის საიდუმლო, რომ ყველა სახის არსებული დანაშაული ინტერნეტშია გადატანილი. მათ შორისაა კიბერ ჯაშუშობა, კიბერ ტერორიზმი, კიბერთაღლითობა, კიბერქურდობა და, ამ ბლოგის თემის მიხედვით, კიბერ გამოძალვა და კიბერ შანტაჟი.
მათ დიდი ხანია სურდათ რუსეთში კიბერდანაშაულების გაიგივება ქურდობასთან, სასჯელის გაზრდასთან, მაგრამ ეს საკითხი წამოიჭრა საბანკო სტრუქტურების წაქეზებით, რომლებსაც, სავარაუდოდ, ჰაკერები არ უშვებენ. იქნებ ასეა. ვინ რაზე ლაპარაკობს და ბანკები ჰაკერებზე...
მოახლოებულ კანონპროექტში ასევე ნახსენებია თანამედროვე „შედევრების“ ინდუსტრიის არალიცენზირებული პროგრამებისა და აუდიო-ვიდეო „შედევრების“ ჩამოტვირთვა, რომელიც უკვე ჭუჭყიანი წყლის ტუბსავით იღვრება ჩვენზე. კიდევ ერთხელ არის ნადირობა ჯადოქრებზე და არა ნამდვილ კიბერკრიმინალებზე, რომლებიც ჭირივით გავრცელდნენ მსოფლიო ქსელში და დაზარალდნენ ყველა ოჯახზე მსოფლიოს ყველა ქვეყანაში, რომელსაც აქვს ინტერნეტზე წვდომა.
დიახ, მე ვსაუბრობ გამოძალვის ჭირზე: კრიპტო-გამოსყიდვის პროგრამაზე, შიფრატორებზე, ბლოკერებზე და ყველა სახის ყალბზე, ე.ი. პროგრამები, რომლებიც პრეტენზიას წარმოადგენენ დაშიფვრებად, ბლოკერებად, პროგრამები, რომლებიც გვთავაზობენ „დასუფთავებას“ საფასურად, მაგრამ ეს მათ არ უშლის ხელს, იყვნენ გამომძალველები. მათი შემქმნელები ღიად აქვეყნებენ თავიანთ „შემოქმედებას“ ინტერნეტში, სამართალდამცავების, კრიმინალური მაფიის, ადგილობრივი პოლიციის, ევროპოლისა და ინტერპოლის შიშის გარეშე. ისინი რეკლამირებენ, რეკლამირდებიან და რეკლამირდებიან ძიების შედეგებში ავტომატური სისტემები Google და Yandex.
აი ვის უნდა ებრძოდეს კიბერდანაშაულის შესახებ კანონები, აი ვის უნდა წაართვას ჯერ პოლიცია, ევროპოლი, ინტერპოლი და დირექტორატი „K“ უნდა გაერკვნენ! მინდა დავიჯერო, რომ ამ მიმართულებით მუშაობა დღედაღამ მიმდინარეობს, მაგრამ ფაქტი ცხადია: გამოძალვა და კრიპტო გამოძალვა გახდა ინტერნეტის უბედურება და ჭირი, როგორც ორთქლმავალი, რომელიც ანადგურებს კლასიკურ ვირუსულ ეპიდემიებს.
სხვათა შორის, ჩემი ინფორმაციით, უკრაინიდან, მოლდოვადან და რუმინეთიდან იწარმოება უდიდესი რიცხვი Ransomware, თუ არ გაითვალისწინებთ აზიის აღმოსავლეთ და სამხრეთ რეგიონებს, სადაც სრულიად განსხვავებულია, უფრო მეტი მაღალი პროცენტიდა გამოძალვის დონე და ჰაკერების შეტევები. ზოგიერთი გამოძალვის თავდასხმა უკრაინიდან, მოლდოვადან და რუმინეთიდან არის მიმართული რუსეთის, რუსულენოვანი ბიზნესისა და მომხმარებლების წინააღმდეგ, ზოგი კი მიმართულია შეერთებული შტატების, ევროპისა და ინგლისურენოვანი მომხმარებლების წინააღმდეგ.
ბოლო ორი წლის განმავლობაში, კომპიუტერის მომხმარებლები უფრო ხშირად შეხვდნენ გამოსასყიდს, ყალბი გამოსასყიდის პროგრამულ უზრუნველყოფას, გამოსასყიდის ბლოკერებს და სხვებს, რომლებიც ითხოვენ გამოსასყიდს იმ ფაილებზე წვდომისთვის, რომლებიც მათ დაშიფრეს და გახადეს წაუკითხავი, დაბლოკილი და მიუწვდომელი, გადატანილი, დამალული. წაშლილია ... როგორ გახდა ეს შესაძლებელი?
დიდი ხანია გავიდა ის დღეები, როდესაც გავრცელება მავნე პროგრამაგანხორციელდა ერთი კრიმინალი ან დამწყები პროგრამისტი.დღესდღეობით კიბერკრიმინალები ყველაზე ხშირად გუნდურად მუშაობენ, რადგან... ასეთ ერთობლივ მუშაობას მეტი მოგება მოაქვს. მაგალითად, გამოძალვის ბიზნეს მოდელის (RaaS) შემუშავებით, რომელიც ეფუძნება გამოსასყიდის გადახდას ბიტკოინებში, ერთ ჯგუფს შეუძლია უზრუნველყოს ტექნიკური მხარდაჭერა, დაწეროს რეკომენდაციები და ჩეთის ან ელექტრონული ფოსტის საშუალებით უთხრას ახალ მსხვერპლს, როგორ და სად შეუძლიათ მათ შეძენა, გაცვლა, გადარიცხვა. ბიტკოინები შემდგომი გადახდისთვის გამოსასყიდისთვის. კიდევ ერთი ჯგუფი ავითარებს, ანახლებს და აწესრიგებს გამოსასყიდ პროგრამას. მესამე ჯგუფი უზრუნველყოფს დაფარვას და განსახლებას. მეოთხე ჯგუფი მუშაობს C&C-თან და ადმინისტრირებას უკეთებსმუშაობა სამეთაურო ცენტრიდან. მეხუთე ეხება ფინანსურ საკითხებს და მუშაობს პარტნიორებთან. მეექვსე კომპრომისს და აინფიცირებს საიტებს... RaaS-ის განვითარებასთან ერთად, რაც უფრო რთული და გავრცელებულია გამოსასყიდი პროგრამა, მით უფრო მეტი გუნდია ჩართული და პროცესები, რომლებსაც ისინი ასრულებენ.
როდესაც კრიპტო-გამოსყიდვის შეტევის წინაშე დგანან, მსხვერპლს უჩნდება რთული კითხვა: უნდა გადაიხადონ თუ არა გამოსასყიდი? ან დაემშვიდობე ფაილებს? მათი ანონიმურობის უზრუნველსაყოფად, კიბერკრიმინალები იყენებენ Tor ქსელს და ითხოვენ გამოსასყიდს ბიტკოინის კრიპტოვალუტაში. 2016 წლის ივნისის მდგომარეობით, 1 BTC-ის ფულადი ექვივალენტი უკვე აღემატება 60 ათას რუბლს და არ გახდება ნაკლები. სამწუხაროდ, გადახდის გადაწყვეტის შემდეგ, დაზარალებულები უნებურად აფინანსებენ კიბერკრიმინალების შემდგომ გამოძალვას, რომელთა მადაც ნახტომით იზრდება და ყოველი ახალი გადახდისას ისინი რწმუნდებიან თავიანთ დაუსჯელობაში.
შეხედე" ტოპ 100 ყველაზე მდიდარი ბიტკოინის მისამართი და ბიტკოინის დისტრიბუცია„კრიპტოვალუტით მდიდარი მილიონერების უმეტესობა იქ გახდა ასეთი არალეგალური და თუნდაც კრიმინალური მეთოდებით.
როგორ შეიძლება ეს?დღეს არ არსებობს მონაცემთა გაშიფვრის უნივერსალური ინსტრუმენტი, არსებობს მხოლოდ ცალკეული კომუნალური საშუალებები შექმნილი და შესაფერისი კონკრეტული შიფრატორებისთვის. ამიტომ, როგორც მთავარი დაცვა, რეკომენდებულია გამოსასყიდი პროგრამით ინფექციის თავიდან ასაცილებლად ზომები, რომელთაგან მთავარიაუახლესი ანტივირუსული დაცვა. ასევე ძალიან მნიშვნელოვანია მომხმარებლის ცნობიერების ამაღლება ამ ზომებისა და გამოსასყიდის და გამოსასყიდი პროგრამებისგან გამოწვეული საფრთხეების შესახებ.ჩვენი ბლოგი სწორედ ამ მიზნით შეიქმნა.აქ ინფორმაცია გროვდება თითოეულ გამოსასყიდ პროგრამაზე, ყალბ კრიპტოგრაფზე ან ბლოკერზე, რომლებიც წარმოადგენენ გამოსასყიდ პროგრამას.
ჩემს მეორე ბლოგში " ფაილის დეშიფრატორები„2016 წლის მაისიდან შეჯამებულია ინფორმაცია დეშიფრატორების შესახებ, რომლებიც შექმნილია Crypto-Ransomware-ის მიერ დაშიფრული ფაილების უფასო გაშიფვრისთვის. ყველა აღწერა და ინსტრუქცია პირველად ქვეყნდება რუსულ ენაზე. შეამოწმეთ რეგულარულად.
პროფესიული დახმარების მიზნით, 2016 წლის ზაფხულში, კასპერსკის ლაბორატორიამ, Intel Security-მ, ევროპოლმა და ჰოლანდიის პოლიციამ მოაწყვეს ერთობლივი პროექტი. აღარ არის გამოსასყიდი", რომელიც მიზნად ისახავს ransomware-თან ბრძოლას. პროექტის მონაწილეებმა შექმნეს ვებგვერდიoMoreRansom.org, რომელიც შეიცავს ზოგადი ინფორმაციაგამოსასყიდის შესახებ (ინგლისურად), ასევე დაშიფრული მონაცემების აღდგენის უფასო ინსტრუმენტების შესახებ. თავიდან მხოლოდ 4 ასეთი ინსტრუმენტი იყო LC და McAfee-სგან.ამ სტატიის დაწერის დღეს უკვე 7 იყოდა ფუნქციონირება კიდევ უფრო გაფართოვდა.
აღსანიშნავია, რომ ეს პროექტი მხოლოდ დეკემბერში იყოდამატებული დეშიფრატორების ჯგუფი, რომლებიც დიდი ხანია აღწერილია ჩემს ბლოგებში "Ransomware Encryptors" და "File Decryptors".
აღარ არის გამოსასყიდი!
განახლებულია 2016 წლის 15 დეკემბერი:
პროექტს შეუერთდნენ სხვა კომპანიები, რომლებმაც ადრე გამოუშვეს სხვა დეშიფრატორები. ახლა უკვე არის 20 კომუნალური პროგრამა (ზოგიერთი ორიც კი):
WildFire Decryptor - კასპერსკის ლაბორატორიიდან და Intel Security-დან
Chimera Decryptor - კასპერსკის ლაბორატორიიდან
Teslacrypt Decryptor - კასპერსკის ლაბორატორიიდან და Intel Security-დან
Shade Decryptor - Kaspersky Lab-ისა და Intel Security-დან
CoinVault Decryptor - კასპერსკის ლაბორატორიიდან
Rannoh Decryptor - კასპერსკის ლაბორატორიიდან
Rakhni Decryptor - კასპერსკის ლაბორატორიიდან
Jigsaw Decryptor - Check Point-დან
Trend Micro Ransomware File Decryptor - მიერ Trend Micro
NMoreira Decryptor - Emsisoft-ისგან
Ozozalocker Decryptor - Emsisoft-ისგან
Globe Decryptor - Emsisoft-ისგან
Globe2 Decryptor - Emsisoft-ისგან
FenixLocker Decryptor - Emsisoft-ისგან
Philadelphia Decryptor - Emsisoft-ის მიერ
Stampado Decryptor - Emsisoft-ისგან
Xorist Decryptor - Emsisoft-ისგან
Nemucod Decryptor - Emsisoft-ისგან
Gomasom Decryptor - Emsisoft-ისგან
Linux.Encoder Decryptor - BitDefender-ისგან
ახლა "No More Ransom" შედგება 22 ქვეყნის წარმომადგენლებისგან.
წარმატებებს გისურვებთ გაშიფვრაში!!!
არ გადაიხადო გამოსასყიდი! მოემზადე! დაიცავით თქვენი მონაცემები! შექმენით სარეზერვო ასლები! ამ მომენტიდან გამომდინარე, შეგახსენებთ: გამოძალვა დანაშაულია და არა თამაში! ნუ ითამაშებ ამ თამაშებს.
© Amigo-A (ენდრიუ ივანოვი): ბლოგის ყველა სტატია
, ვიდეო, მუსიკა და სხვა პირადი ფაილები on .NO_MORE_RANSOMდა ცვლის თავდაპირველ სახელს ასოებისა და რიცხვების შემთხვევით კომბინაციაში. თუმცა, ყველაზე მნიშვნელოვანი ფორმატის ფაილები .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIPარ გახსნა. ბუღალტერია 1Cარ მუშაობს. ასე გამოიყურება:
Kaspersky Lab-ის, Dr.Web-ის და სხვა ცნობილი კომპანიების ტექნიკური მხარდაჭერა, რომლებიც ავითარებენ ანტივირუსულ პროგრამულ უზრუნველყოფას, მომხმარებლის მოთხოვნის პასუხად მონაცემების გაშიფვრის შესახებ, იტყობინება, რომ ამის გაკეთება შეუძლებელია მისაღებ დროში.
მაგრამ ნუ იჩქარებთ სასოწარკვეთას!
ფაქტია, რომ თქვენს კომპიუტერში შეღწევის შემდეგ, მავნე პროგრამა იყენებს როგორც ინსტრუმენტს სრულიად ლეგალურ GPG დაშიფვრის პროგრამას და დაშიფვრის პოპულარულ ალგორითმს - RSA-1024. ვინაიდან ეს პროგრამა ბევრგან გამოიყენება და თავისთავად არ არის ვირუსი, ანტივირუსული პროგრამები საშუალებას აძლევს მას გაიაროს და არ დაბლოკოს მისი მოქმედება. ფაილების დაშიფვრისთვის იქმნება საჯარო და პირადი გასაღები. პირადი გასაღები იგზავნება თავდამსხმელთა სერვერზე, ხოლო საჯარო გასაღები რჩება მომხმარებლის კომპიუტერზე. ფაილების გაშიფვრისთვის საჭიროა ორივე გასაღები! თავდამსხმელები ფრთხილად გადაწერენ პირად გასაღებს დაზარალებულ კომპიუტერზე. მაგრამ ეს ყოველთვის არ ხდება. უნაკლო მუშაობის სამ წელზე მეტი ხნის ისტორიის განმავლობაში, სპეციალისტები დოქტორი SHIFROჩვენ შევისწავლეთ მავნე პროგრამების აქტივობების ათასობით ვარიაცია და შესაძლოა, ერთი შეხედვით გამოუვალ სიტუაციაშიც კი, ჩვენ შევძლებთ შემოგთავაზოთ გამოსავალი, რომელიც საშუალებას მოგცემთ დაიბრუნოთ თქვენი მონაცემები.
ამ ვიდეოში შეგიძლიათ უყუროთ ნამდვილი სამუშაოდეშიფრატორი ჩვენი ერთ-ერთი კლიენტის კომპიუტერზე:
გაშიფვრის შესაძლებლობის გასაანალიზებლად, გაგზავნეთ დაშიფრული ფაილის 2 ნიმუში: ერთი ტექსტი (doc, docx, odt, txt ან rtf ზომა 100 კბ-მდე), მეორე გრაფიკა (jpg, png, bmp, tif ან pdf 3 მბ-მდე ზომის). თქვენ ასევე გჭირდებათ შენიშვნის ფაილი თავდამსხმელებისგან. ფაილების შემოწმების შემდეგ, ჩვენ მოგაწვდით ღირებულების შეფასებას. ფაილების გაგზავნა შესაძლებელია ელექტრონული ფოსტით [ელფოსტა დაცულია]ან გამოიყენეთ ფაილის წარდგენის ფორმა ვებგვერდზე (ნარინჯისფერი ღილაკი).
კომენტარები (2)
ჩვენ დავიჭირეთ CRYPTED000007 ვირუსი. გაშიფვრის მეთოდის ინტერნეტში ძიების შემდეგ, ჩვენ ვიპოვეთ ეს საიტი. სპეციალისტმა სწრაფად და საფუძვლიანად აღწერა, რა უნდა გაკეთდეს. გარანტიის მიზნით, გაშიფრულია 5 სატესტო ფაილი. ფასი გამოაცხადეს და გადახდის შემდეგ რამდენიმე საათში ყველაფერი გაშიფრეს. მიუხედავად იმისა, რომ დაშიფრული იყო არა მხოლოდ კომპიუტერი, არამედ ქსელის დისკიც. დიდი მადლობა დახმარებისთვის!
კარგი დღე! ახლახან მქონდა მსგავსი სიტუაცია CRYPTED000007 ვირუსთან დაკავშირებით, რომელსაც დრო არ ჰქონდა ყველა დისკის დაშიფვრა, რადგან... გარკვეული პერიოდის შემდეგ გავხსენი საქაღალდე ფოტოთი და დავინახე ცარიელი კონვერტი და ფაილის სახელი სხვადასხვა ასოებისა და რიცხვებიდან და მაშინვე გადმოვწერე და გავუშვით უფასო კომუნალურიტროიანების მოსაშორებლად. ვირუსი მოვიდა ფოსტით და იყო დამაჯერებელი წერილი, რომელიც გავხსენი და გავხსენი დანართი. კომპიუტერს აქვს 4 ძალიან დიდი მყარი დისკი (ტერაბაიტი). მე დავუკავშირდი სხვადასხვა კომპანიებს, რომელთაგან ბევრია ინტერნეტში და რომლებიც გვთავაზობენ თავიანთ სერვისებს, მაგრამ წარმატებული გაშიფვრის შემთხვევაშიც კი, ყველა ფაილი ცალკე საქაღალდეში იქნება და ყველა აირია. არავინ იძლევა 100% გაშიფვრის გარანტიას. კასპერსკის ლაბორატორიას დავუკავშირდი და იქაც არ დამეხმარნენ..html# ამიტომ გადავწყვიტე დაკავშირება. გავაგზავნე სამი სატესტო ფოტო და ცოტა ხნის შემდეგ მივიღე პასუხი მათი სრული ჩანაწერით. ფოსტის მიმოწერაში შემომთავაზეს ან დისტანციურად ან სახლში. გადავწყვიტე სახლში გამეკეთებინა. ჩვენ გადავწყვიტეთ სპეციალისტის ჩამოსვლის თარიღი და დრო. მაშინვე მიმოწერაში შეთანხმებული იქნა დეკოდერისთვის თანხა და წარმატებული გაშიფვრის შემდეგ გავაფორმეთ ხელშეკრულება სამუშაოზე და ხელშეკრულების მიხედვით გადავიხადე გადახდა. ფაილების გაშიფვრას ძალიან დიდი დრო დასჭირდა, რადგან ზოგიერთი ვიდეო იყო დიდი ზომის. შემდეგ სრული ჩანაწერიმე დავრწმუნდი, რომ ჩემი ყველა ფაილი დაუბრუნდა თავდაპირველ ფორმას და ფაილის სწორ გაფართოებას. მყარი დისკის ტევადობა ისეთივე გახდა, როგორიც ადრე დაინფიცირდა, რადგან ინფექციის დროს დისკები თითქმის მთლიანად სავსე იყო. ვინც თაღლითებზე და ა.შ წერს, ამას არ ვეთანხმები. ამას ან კონკურენტები წერენ გაბრაზების გამო, რომ არ გამოდიან, ან რაღაცით ნაწყენი ადამიანები. ჩემს შემთხვევაში ყველაფერი მშვენივრად გამოვიდა, ჩემი შიშები წარსულშია. მე ისევ ვნახე ჩემი ძველი ოჯახური ფოტოები, რომლებიც დიდი ხნის წინ მქონდა გადაღებული და საოჯახო ვიდეოები, რომლებიც მე თვითონ მქონდა დამუშავებული. მადლობის სიტყვები მინდა ვუთხრა Dr.Shifro კომპანიას და პირადად იგორ ნიკოლაევიჩს, რომელიც დამეხმარა ჩემი ყველა მონაცემის აღდგენაში. დიდი მადლობა და წარმატებები! ყველაფერი რაც წერია ჩემი პირადი აზრია და შენ თვითონ გადაწყვიტე ვის მიმართო.
2016 წლის ბოლოს, მსოფლიოს თავს დაესხა ძალიან არატრივიალური ტროას ვირუსი, რომელიც შიფრავს მომხმარებლის დოკუმენტებს და მულტიმედია კონტენტს, სახელწოდებით NO_MORE_RANSOM. როგორ გავაშიფროთ ფაილები ამ საფრთხის გამოვლენის შემდეგ, შემდგომში განხილული იქნება. თუმცა, დაუყოვნებლივ უნდა გავაფრთხილოთ ყველა მომხმარებელი, რომელსაც თავს დაესხნენ, რომ არ არსებობს ერთიანი ტექნიკა. ეს გამოწვეულია ერთ-ერთი ყველაზე მოწინავე და ვირუსის შეღწევის ხარისხით კომპიუტერულ სისტემაში ან თუნდაც ლოკალური ქსელი(თუმცა თავდაპირველად ის არ იყო შექმნილი ქსელის ზემოქმედებისთვის).
რა არის NO_MORE_RANSOM ვირუსი და როგორ მუშაობს იგი?
ზოგადად, თავად ვირუსი ჩვეულებრივ კლასიფიცირდება, როგორც ტროიანების კლასები, როგორიცაა I Love You, რომლებიც შედიან კომპიუტერულ სისტემაში და შიფრავენ მომხმარებლის ფაილებს (ჩვეულებრივ, მულტიმედიას). მართალია, თუ წინამორბედი განსხვავდებოდა მხოლოდ დაშიფვრაში, მაშინ ამ ვირუსმა ბევრი ისესხა ოდესღაც სენსაციური საფრთხისგან, სახელწოდებით DA_VINCI_COD, რომელიც აერთიანებს გამოსასყიდის პროგრამის ფუნქციებს.
ინფექციის შემდეგ, აუდიო, ვიდეო, გრაფიკული ან საოფისე დოკუმენტების ფაილების უმეტესობას ენიჭება გრძელი სახელი გაფართოებით NO_MORE_RANSOM, რომელიც შეიცავს რთულ პაროლს.
როდესაც ცდილობთ მათ გახსნას, ეკრანზე გამოჩნდება შეტყობინება, რომელშიც ნათქვამია, რომ ფაილები დაშიფრულია და მათი გაშიფვრისთვის საჭიროა გარკვეული თანხის გადახდა.
როგორ შედის საფრთხე სისტემაში?
მოდით, მარტო დავტოვოთ კითხვა, თუ როგორ უნდა გაშიფროთ რომელიმე ზემოაღნიშნული ტიპის ფაილი NO_MORE_RANSOM-ის ზემოქმედების შემდეგ და მივმართოთ ტექნოლოგიას, თუ როგორ აღწევს ვირუსი კომპიუტერულ სისტემაში. სამწუხაროდ, როგორც არ უნდა ჟღერდეს, ამისათვის გამოიყენება ძველი აპრობირებული მეთოდი: მისამართზე ელელ.წერილი მოდის დანართთან ერთად და როდესაც მომხმარებელი ხსნის მას, მავნე კოდი ამოქმედდება.
როგორც ვხედავთ, ეს ტექნიკა არ არის ორიგინალური. თუმცა, შეტყობინება შეიძლება შენიღბული იყოს უაზრო ტექსტად. ან პირიქით, მაგალითად, თუ ვსაუბრობთ მსხვილ კომპანიებზე, რაღაც ხელშეკრულების პირობების შეცვლა. გასაგებია, რომ ჩვეულებრივი კლერკი ხსნის ინვესტიციას და შემდეგ იღებს სავალალო შედეგს. ერთ-ერთი ყველაზე ნათელი აფეთქება იყო პოპულარული 1C პაკეტის მონაცემთა ბაზების დაშიფვრა. და ეს უკვე სერიოზული საკითხია.
NO_MORE_RANSOM: როგორ გავშიფროთ დოკუმენტები?
მაგრამ მაინც ღირს მთავარი საკითხის განხილვა. რა თქმა უნდა, ყველას აინტერესებს ფაილების გაშიფვრა. NO_MORE_RANSOM ვირუსს აქვს მოქმედებების საკუთარი თანმიმდევრობა. თუ მომხმარებელი შეეცდება გაშიფვრას დაინფიცირებისთანავე, ამის გაკეთების საშუალება ჯერ კიდევ არსებობს. თუ საფრთხე მყარად დაიმკვიდრა სისტემაში, სამწუხაროდ, ეს შეუძლებელია სპეციალისტების დახმარების გარეშე. მაგრამ ისინი ხშირად უძლურები აღმოჩნდებიან.
თუ საფრთხე დროულად იქნა აღმოჩენილი, არსებობს მხოლოდ ერთი გზა - დაუკავშირდით ანტივირუსული კომპანიების მხარდაჭერის სამსახურებს (ყველა დოკუმენტი ჯერ არ არის დაშიფრული), გაგზავნეთ რამდენიმე მიუწვდომელი ფაილი და ორიგინალების ანალიზის საფუძველზე. შენახული მოსახსნელ მედიაზე, შეეცადეთ აღადგინოთ უკვე ინფიცირებული დოკუმენტები, შემდეგ კი იმავე ფლეშ დრაივზე დააკოპირეთ ყველაფერი, რაც ჯერ კიდევ ხელმისაწვდომია გასახსნელად (თუმცა ასევე არ არსებობს სრული გარანტია, რომ ვირუსი არ შეაღწია ასეთ დოკუმენტებში). ამის შემდეგ, დარწმუნებული უნდა იყოს, მედია უნდა შემოწმდეს მაინც ანტივირუსული სკანერი(შენ არასოდეს იცი).
ალგორითმი
აღსანიშნავია ისიც, რომ ვირუსი იყენებს RSA-3072 ალგორითმს დაშიფვრისთვის, რომელიც, ადრე გამოყენებული RSA-2048 ტექნოლოგიისგან განსხვავებით, იმდენად რთულია, რომ სწორი პაროლის არჩევა, თუნდაც ანტივირუსული ლაბორატორიების მთელი კონტინგენტი იყოს ჩართული. ამას შეიძლება თვეები ან წლები დასჭირდეს. ამრიგად, კითხვა, თუ როგორ უნდა გაშიფროთ NO_MORE_RANSOM, საკმაოდ დიდ დროს მოითხოვს. მაგრამ რა მოხდება, თუ დაუყოვნებლივ გჭირდებათ ინფორმაციის აღდგენა? პირველ რიგში, თავად ამოიღეთ ვირუსი.
შესაძლებელია თუ არა ვირუსის მოცილება და როგორ გავაკეთოთ ეს?
სინამდვილეში, ამის გაკეთება არ არის რთული. ვიმსჯელებთ ვირუსის შემქმნელთა თავხედობით, კომპიუტერულ სისტემაში საფრთხე არ არის შენიღბული. პირიქით, მისთვის სასარგებლოა კიდეც "თავის მოშორება" შესრულებული მოქმედებების დასრულების შემდეგ.
მიუხედავად ამისა, თავდაპირველად, ვირუსის შემდეგ, მაინც უნდა განეიტრალდეს. პირველი ნაბიჯი არის პორტატული უსაფრთხოების საშუალებების გამოყენება, როგორიცაა KVRT, Malwarebytes, Dr. ვებ CureIt! და მსგავსი. გთხოვთ გაითვალისწინოთ: ტესტირებისთვის გამოყენებული პროგრამები უნდა იყოს პორტატული (ინსტალაციის გარეშე მყარი დისკიგაშვებით ოპტიმალური ვარიანტიმოსახსნელი მედიიდან). თუ საფრთხე აღმოჩენილია, ის დაუყოვნებლივ უნდა მოიხსნას.
თუ ასეთი ქმედებები არ არის გათვალისწინებული, ჯერ უნდა გადახვიდეთ "სამუშაო მენეჯერთან" და დაასრულოთ მასში ვირუსთან დაკავშირებული ყველა პროცესი, დაალაგოთ სერვისები სახელების მიხედვით (ჩვეულებრივ, ეს არის Runtime Broker პროცესი).
დავალების გაუქმების შემდეგ, თქვენ უნდა დაურეკოთ რედაქტორს სისტემის რეესტრი(გადააკეთეთ Run მენიუში) და მოძებნეთ სახელი " კლიენტის სერვერი Runtime System" (ბრჭყალების გარეშე), შემდეგ კი მენიუს გამოყენებით შედეგების გადასაადგილებლად "იპოვე შემდეგი...", წაშალეთ ყველა ნაპოვნი ელემენტი. შემდეგი, თქვენ უნდა გადატვირთოთ კომპიუტერი და შეამოწმოთ "სამუშაო მენეჯერი", რათა ნახოთ, არის თუ არა პროცესი, რომელსაც ეძებთ.
პრინციპში, საკითხი, თუ როგორ უნდა გაშიფროთ NO_MORE_RANSOM ვირუსი ინფექციის ეტაპზე, შეიძლება გადაწყდეს ამ მეთოდის გამოყენებით. მისი განეიტრალების ალბათობა, რა თქმა უნდა, მცირეა, მაგრამ არის შანსი.
როგორ გავაშიფროთ NO_MORE_RANSOM-ით დაშიფრული ფაილები: სარეზერვო ასლები
მაგრამ არსებობს კიდევ ერთი ტექნიკა, რომლის შესახებაც ცოტამ თუ იცის ან თუნდაც გამოიცნობს. ფაქტია, რომ თავად ოპერაციული სისტემა მუდმივად ქმნის საკუთარ ჩრდილს სარეზერვო ასლები(მაგალითად, აღდგენის შემთხვევაში), ან მომხმარებელი განზრახ ქმნის ასეთ სურათებს. როგორც პრაქტიკა გვიჩვენებს, ვირუსი არ მოქმედებს ზუსტად ამ ასლებზე (ეს უბრალოდ არ არის გათვალისწინებული მის სტრუქტურაში, თუმცა არ არის გამორიცხული).
ასე რომ, NO_MORE_RANSOM-ის გაშიფვრის პრობლემა მათ გამოყენებამდე მოდის. თუმცა, გამოიყენეთ სტანდარტული Windows ინსტრუმენტებიარ არის რეკომენდებული (და ბევრი მომხმარებელი ბსკსაერთოდ არ ექნება წვდომა). ამიტომ, თქვენ უნდა გამოიყენოთ ShadowExplorer პროგრამა (ის პორტატულია).
აღსადგენად, თქვენ უბრალოდ უნდა გაუშვათ შესრულებადი, დაალაგოთ ინფორმაცია თარიღების ან სექციების მიხედვით, აირჩიოთ სასურველი ასლი (ფაილის, საქაღალდის ან მთელი სისტემის) და გამოიყენოთ ექსპორტის ხაზი RMB მენიუში. შემდეგი, თქვენ უბრალოდ აირჩიეთ დირექტორია, რომელშიც შეინახება მიმდინარე ასლი და შემდეგ გამოიყენეთ აღდგენის სტანდარტული პროცესი.
მესამე მხარის კომუნალური მომსახურება
რა თქმა უნდა, NO_MORE_RANSOM-ის გაშიფვრის პრობლემასთან დაკავშირებით, ბევრი ლაბორატორია გვთავაზობს საკუთარ გადაწყვეტილებებს. მაგალითად, კასპერსკის ლაბორატორია გირჩევთ გამოიყენოთ საკუთარი პროგრამული პროდუქტი Kaspersky Decryptor, წარმოდგენილია ორ მოდიფიკაციაში - რახინი და რექტორი.
მსგავსი განვითარება, როგორიცაა NO_MORE_RANSOM დეკოდერი Dr.-სგან, არანაკლებ საინტერესო გამოიყურება. ვებ. მაგრამ აქ დაუყოვნებლივ უნდა გავითვალისწინოთ, რომ ასეთი პროგრამების გამოყენება გამართლებულია მხოლოდ იმ შემთხვევაში, თუ საფრთხე სწრაფად გამოვლინდება, სანამ ყველა ფაილი დაინფიცირდება. თუ ვირუსი მყარად არის დამკვიდრებული სისტემაში (როდესაც დაშიფრული ფაილები უბრალოდ ვერ შეედრება მათ დაშიფრულ ორიგინალებს), ასეთი აპლიკაციები შესაძლოა უსარგებლო იყოს.
შედეგად
სინამდვილეში, მხოლოდ ერთი დასკვნა გვთავაზობს თავის თავს: აუცილებელია ამ ვირუსთან ბრძოლა ექსკლუზიურად ინფექციის ეტაპზე, როდესაც მხოლოდ პირველი ფაილებია დაშიფრული. ზოგადად, უმჯობესია არ გახსნათ დანართები საეჭვო წყაროებიდან მიღებულ ელ.ფოსტის შეტყობინებებში (ეს ეხება ექსკლუზიურად პირდაპირ კომპიუტერზე დაინსტალირებულ კლიენტებს - Outlook, Oulook Express და ა.შ.). გარდა ამისა, თუ კომპანიის თანამშრომელს ხელთ აქვს კლიენტებისა და პარტნიორების მისამართების სია, „მარცხენა“ შეტყობინებების გახსნა სრულიად არაპრაქტიკული ხდება, რადგან სამუშაოზე განაცხადის დროს ადამიანების უმეტესობა ხელს აწერს კომერციულ საიდუმლოებასა და კიბერუსაფრთხოების შესახებ ხელშეკრულებებს.
