더 이상 몸값 복구가 없습니다. NO_MORE_RANSOM 랜섬웨어 바이러스 – 개인 데이터에 대한 새로운 위협

2016년 말에 새로운 랜섬웨어 바이러스인 NO_MORE_RANSOM이 발견되었습니다. 사용자 파일에 할당하는 확장자 때문에 이름이 너무 길어졌습니다.

나는 da_vinci_cod와 같은 다른 바이러스로부터 많은 것을 채택했습니다. 최근 인터넷에 등장한 이후 바이러스 백신 연구소에서는 아직 해당 코드를 해독하지 못했습니다. 그리고 가까운 시일 내에 이를 수행할 수 없을 것 같습니다. 향상된 암호화 알고리즘이 사용됩니다. 이제 파일이 “no_more_ransom” 확장자로 암호화된 경우 어떻게 해야 하는지 알아봅시다.

작동 설명 및 원리

2017년 초, 많은 포럼은 사용자가 위협 제거를 위해 도움을 요청하는 "no_more_ransom 바이러스에 파일이 암호화되었습니다"라는 메시지로 가득 차 있었습니다. 개인 컴퓨터뿐만 아니라 전체 조직(특히 1C 데이터베이스를 사용하는 조직)도 공격을 받았습니다. 모든 피해자의 상황은 거의 같습니다. 첨부 파일을 다음에서 열었습니다. 이메일, 얼마 후 파일은 No_more_ransom 확장자를 받았습니다. 랜섬웨어 바이러스는 인기 있는 모든 것을 우회했습니다. 바이러스 백신 프로그램.

일반적으로 No_more_ransom은 감염 원리에 따라 이전 버전과 구별할 수 없습니다.

No_more_ransom 바이러스를 치료하거나 제거하는 방법

No_more_ransom을 직접 시작한 후에는 공격자의 비밀번호를 사용하여 파일에 대한 액세스를 복원할 수 있는 기회를 잃게 된다는 점을 이해하는 것이 중요합니다. No_more_ransom 이후 파일 복구가 가능한가요? 현재까지 데이터 암호 해독을 위해 100% 작동하는 알고리즘은 없습니다. 유일한 예외는 잘 알려진 실험실의 유틸리티이지만 비밀번호 선택에는 매우 오랜 시간(개월, 년)이 걸립니다. 그러나 아래에서 복구에 대해 자세히 알아보세요. 먼저 no more ransom 트로이목마(번역: "no more ransom")를 식별하고 이를 물리치는 방법을 알아봅시다.

일반적으로 설치된 바이러스 백신 소프트웨어를 사용하면 랜섬웨어가 컴퓨터에 침투할 수 있습니다. 새 버전이 출시되는 경우가 많아 데이터베이스를 출시할 시간이 없습니다. 이러한 유형의 바이러스는 사기꾼이 작업(암호화)을 완료한 후에도 시스템에 남아 있을 필요가 없기 때문에 컴퓨터에서 매우 쉽게 제거됩니다. 이를 제거하려면 무료로 배포되는 기성 유틸리티를 사용할 수 있습니다.

사용은 매우 간단합니다. 시작하고 디스크를 선택한 다음 "스캔 시작"을 클릭하세요. 남은 것은 기다리는 것뿐입니다. 그러면 모든 위협이 표시되는 창이 나타납니다. “삭제”를 클릭하세요.

아마도 이러한 유틸리티 중 하나가 랜섬웨어 바이러스를 제거할 것입니다. 이런 일이 발생하지 않으면 수동으로 제거해야 합니다.

바이러스를 신속하게 발견하고 제거하면 일부 데이터가 암호화되지 않을 가능성이 있습니다. 공격을 받지 않은 파일은 별도의 드라이브에 저장하는 것이 좋습니다.

“No_more_ransom” 파일의 암호를 해독하기 위한 암호 해독 유틸리티

고급 해커가 아닌 이상 스스로 코드를 찾는 것은 불가능합니다. 암호 해독을 위해서는 다음이 필요합니다. 특수 유틸리티. 모든 사람이 "No_more_ransom"과 같은 암호화된 파일을 해독할 수 있는 것은 아니라는 점을 바로 말씀드리겠습니다. 바이러스는 새로운 것이므로 비밀번호를 추측하는 것은 매우 어려운 작업입니다.

그래서 우선 섀도 복사본에서 데이터를 복원하려고 합니다. 기본 운영 체제, Windows 7부터 정기적으로 문서 사본을 저장합니다. 어떤 경우에는 바이러스가 복사본을 삭제할 수 없습니다. 그러므로 우리는 다운로드 무료 프로그램 ShadowExplorer. 아무것도 설치할 필요가 없습니다. 압축을 풀기만 하면 됩니다.

바이러스가 복사본을 삭제하지 않으면 암호화된 정보의 약 80~90%를 복구할 가능성이 있습니다.

잘 알려진 바이러스 백신 연구소에서는 No_more_ransom 바이러스 이후 파일을 복구하기 위한 암호 해독 프로그램도 제공합니다. 그러나 이러한 유틸리티가 데이터를 복구할 수 있다고 기대해서는 안 됩니다. 암호화기는 지속적으로 개선되고 있으며 전문가는 각 버전에 대한 업데이트를 릴리스할 시간이 없습니다. 샘플 보내기 기술 지원개발자를 돕는 바이러스 백신 연구소.

No_more_ransom과 싸우기 위해 Kaspersky Decryptor가 있습니다. 이 유틸리티는 접두사와 Rakhni가 포함된 두 가지 버전으로 제공됩니다(저희 웹 사이트에 이에 대한 별도의 기사가 있습니다). 바이러스를 퇴치하고 파일의 암호를 해독하려면 프로그램을 실행하고 스캔 위치를 선택하기만 하면 됩니다.

또한 유틸리티가 비밀번호 추측을 시작하려면 차단된 문서 중 하나를 지정해야 합니다.

Dr.에서 최고의 해독기 No_more_ransom을 무료로 다운로드할 수도 있습니다. 편물. 이 유틸리티는 matsnu1decrypt라고 합니다. Kaspersky 프로그램과 유사한 시나리오에 따라 작동합니다. 당신이 해야 할 일은 스캔을 실행하고 스캔이 완료될 때까지 기다리는 것 뿐입니다.

크립토 랜섬웨어 공격에 직면했을 때 피해자는 다음과 같은 어려운 질문에 직면하게 됩니다. 몸값을 지불해야 합니까? 아니면 파일에 작별 인사를 하시겠습니까? 익명성을 보장하기 위해 사이버 범죄자들은 ​​Tor 네트워크를 사용하고 비트코인 ​​암호화폐로 몸값을 요구합니다. 2016년 6월 현재 1 BTC에 해당하는 화폐 가치는 이미 6만 루블을 초과했으며 앞으로도 줄어들지 않을 것입니다. 불행하게도 비용을 지불하기로 결정한 피해자는 자신도 모르게 사이버 범죄자의 추가 강탈 활동에 자금을 조달하고 있으며, 그 식욕은 비약적으로 증가하고 있으며 새로운 지불을 할 때마다 그들은 면책을 확신합니다.

"를보세요 가장 부유한 상위 100개 비트코인 ​​주소 및 비트코인 ​​배포“암호화폐 부자 백만장자 대부분은 불법, 심지어 범죄적인 방법을 통해 백만장자가 되었습니다.

복호화에 행운을 빌어요!!!

, 비디오, 음악 및 기타 개인 파일~에 .NO_MORE_RANSOM, 원래 이름을 문자와 숫자의 임의 조합으로 변경합니다. 그러나 가장 중요한 형식의 대부분의 파일은 .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP열지 마세요. 회계 1C작동하지 않습니다. 다음과 같이 보입니다.

Kaspersky Lab, Dr.Web 및 안티 바이러스 소프트웨어를 개발하는 기타 유명 회사의 기술 지원은 데이터 암호 해독에 대한 사용자 요청에 따라 허용되는 시간 내에 이를 수행하는 것이 불가능하다고 보고합니다.

그러나 서두르지 마십시오!

사실, 악성 프로그램은 컴퓨터에 침투한 후 완전히 합법적인 GPG 암호화 소프트웨어와 널리 사용되는 암호화 알고리즘인 RSA-1024를 도구로 사용합니다. 이 유틸리티는 여러 곳에서 사용되며 그 자체로는 바이러스가 아니기 때문에 바이러스 백신 프로그램에서는 이 유틸리티가 통과하도록 허용하고 작동을 차단하지 않습니다. 파일을 암호화하기 위해 공개 및 개인 키가 생성됩니다. 개인 키는 공격자의 서버로 전송되고 공개 키는 사용자의 컴퓨터에 남아 있습니다. 파일을 해독하려면 두 키가 모두 필요합니다! 공격자는 영향을 받는 컴퓨터의 개인 키를 조심스럽게 덮어씁니다. 그러나 이것이 항상 일어나는 것은 아닙니다. 3년 넘게 흠잡을 데 없는 작업의 역사를 지닌 전문가들 닥터시프로우리는 맬웨어 활동의 수천 가지 변종을 연구했으며 아마도 절망적으로 보이는 상황에서도 데이터를 다시 복구할 수 있는 솔루션을 제공할 수 있을 것입니다.

이 비디오에서 볼 수 있습니다 진짜 직업우리 고객 중 한 사람의 컴퓨터에 있는 암호 해독기:

복호화 가능성을 분석하려면 암호화된 파일 샘플 2개(텍스트 하나(doc, docx, odt, txt 또는 RTF 크기최대 100KB), 두 번째 그래픽(jpg, png, bmp, tif 또는 pdf 최대 3MB 크기). 공격자의 메모 파일도 필요합니다. 파일을 검토한 후 대략적인 비용을 알려드리겠습니다. 파일은 이메일로 보낼 수 있습니다 [이메일 보호됨]또는 웹사이트의 파일 제출 양식(주황색 버튼)을 사용하세요.

의견 (2)

우리는 CRYPTED000007 바이러스를 발견했습니다. 인터넷에서 복호화 방법을 검색한 결과 이 ​​사이트를 발견했습니다. 전문가는 수행해야 할 작업을 빠르고 철저하게 설명했습니다. 보장하기 위해 5개의 테스트 파일이 해독되었습니다. 그들은 비용을 발표했고 지불 후 몇 시간 내에 모든 것이 해독되었습니다. 컴퓨터뿐만 아니라 네트워크 드라이브도 암호화되었습니다. 도움을 주셔서 대단히 감사합니다!

안녕하세요! 최근에 CRYPTED000007 바이러스와 비슷한 상황이 발생했는데 모든 디스크를 암호화할 시간이 없었습니다. 왜냐하면... 얼마 후 사진이 담긴 폴더를 열었고 빈 봉투와 다른 문자 및 숫자 세트의 파일 이름을 보았고 즉시 다운로드하여 실행했습니다. 무료 유틸리티트로이 목마를 제거합니다. 메일로 바이러스가 도착했고, 첨부파일을 열어 실행했다는 설득력 있는 편지가 있었습니다. 컴퓨터에는 매우 큰 하드 드라이브(테라바이트)가 4개 있습니다. 나는 인터넷에 많고 서비스를 제공하는 다양한 회사에 연락했지만 성공적인 암호 해독에도 모든 파일이 별도의 폴더에 있고 모두 섞여 있습니다. 누구도 100% 암호 해독을 보장하지 않습니다. Kaspersky Lab에 연락했는데도 도움이 되지 않았습니다..html# 그래서 연락하기로 결정했습니다. 저는 세 장의 테스트 사진을 보냈고 잠시 후 사진의 전체 내용이 포함된 응답을 받았습니다. 우편 서신에서 나는 원격으로 또는 집에서 제안을 받았습니다. 나는 집에서 하기로 결정했다. 전문가의 도착 날짜와 시간을 결정했습니다. 서신에서 즉시 디코더 금액에 대한 합의가 이루어졌고 성공적인 암호 해독 후 작업에 대한 계약을 체결하고 계약에 따라 지불했습니다. 일부 비디오는 대판. 후에 전체 성적표모든 파일이 원래 형식과 올바른 파일 확장자로 반환되었는지 확인했습니다. 감염 중에 드라이브가 거의 가득 찼기 때문에 하드 드라이브의 용량은 감염 전과 동일해졌습니다. 사기꾼 등에 대해 글을 쓰는 분들은 이에 동의하지 않습니다. 이것은 경쟁자들이 분노하여 성공하지 못하거나 무언가에 기분이 상한 사람들이 쓴 것입니다. 제 경우에는 모든 것이 잘 됐고 두려움은 과거입니다. 오래전 찍은 가족사진과 제가 직접 편집한 가족영상을 다시 보았습니다. 모든 데이터를 복원하는 데 도움을 준 dr.Shifro 회사와 개인적으로 Igor Nikolaevich에게 감사의 말씀을 전하고 싶습니다. 정말 감사하고 행운을 빕니다! 작성된 모든 내용은 제 개인적인 의견이므로 누구에게 연락할지 결정하세요.

2016년 말, 전 세계는 사용자 문서와 멀티미디어 콘텐츠를 암호화하는 NO_MORE_RANSOM이라는 매우 사소한 트로이 목마 바이러스의 공격을 받았습니다. 이 위협에 노출된 후 파일을 해독하는 방법에 대해 자세히 설명합니다. 그러나 공격을 받은 모든 사용자에게 획일적인 기술이 없다는 점을 즉시 경고할 가치가 있습니다. 이는 가장 발전된 기술 중 하나를 사용하고 바이러스가 컴퓨터 시스템이나 시스템에 침투하는 정도 때문입니다. 로컬 네트워크(처음에는 네트워크 영향을 고려하여 설계되지 않았지만)

NO_MORE_RANSOM 바이러스는 무엇이며 어떻게 작동합니까?

일반적으로 바이러스 자체는 일반적으로 컴퓨터 시스템에 침투하여 사용자 파일(보통 멀티미디어)을 암호화하는 I Love You와 같은 트로이 목마 클래스로 분류됩니다. 사실, 조상이 암호화만 달랐다면 이 바이러스는 랜섬웨어의 기능을 결합하여 한때 선풍적인 위협이었던 DA_VINCI_COD에서 많은 것을 빌린 것입니다.

감염 후 대부분의 오디오, 비디오, 그래픽 또는 사무실 문서 파일에는 복잡한 암호가 포함된 확장자 NO_MORE_RANSOM이 포함된 긴 이름이 할당됩니다.

파일을 열려고 하면 파일이 암호화되어 있다는 메시지가 화면에 표시되며, 파일을 해독하려면 일정 금액을 지불해야 합니다.

위협은 어떻게 시스템에 침입합니까?

NO_MORE_RANSOM에 노출된 후 위 유형의 파일을 해독하는 방법에 대한 질문은 잠시 제쳐두고 바이러스가 컴퓨터 시스템에 침투하는 방법에 대한 기술을 살펴보겠습니다. 불행히도, 어떻게 들리든, 이를 위해 오래되고 입증된 방법이 사용됩니다. 이메일첨부파일이 포함된 이메일이 도착하고, 사용자가 이를 열면 악성코드가 실행됩니다.

보시다시피 이 기술은 독창적이지 않습니다. 그러나 메시지가 의미 없는 텍스트로 위장될 수 있습니다. 또는 반대로 대기업에 대해 이야기하는 경우 일부 계약 조건을 변경합니다. 일반 사무원이 투자를 시작하고 비참한 결과를 얻는 것은 분명합니다. 가장 눈에 띄는 사건 중 하나는 인기 있는 1C 패키지의 데이터베이스 암호화였습니다. 그리고 이것은 이미 심각한 문제입니다.

NO_MORE_RANSOM: 문서를 해독하는 방법은 무엇입니까?

그러나 여전히 주요 문제를 해결할 가치가 있습니다. 분명히 모든 사람이 파일을 해독하는 방법에 관심이 있습니다. NO_MORE_RANSOM 바이러스에는 고유한 작업 순서가 있습니다. 사용자가 감염 후 즉시 암호 해독을 시도하는 경우에도 이를 수행할 수 있는 방법이 있습니다. 위협이 시스템에 확고히 자리 잡았다면 아쉽게도 전문가의 도움 없이는 할 수 없습니다. 그러나 그들은 종종 무력한 것으로 판명됩니다.

위협이 적시에 감지된 경우 유일한 방법은 바이러스 백신 회사의 지원 서비스에 문의하고(아직 모든 문서가 암호화되지는 않음) 액세스할 수 없는 파일 몇 개를 보내고 원본 분석을 기반으로 하는 것입니다. 이동식 미디어에 저장된 경우 먼저 열 수 있는 모든 항목을 동일한 플래시 드라이브에 복사하여 이미 감염된 문서를 복원해 보십시오(비록 바이러스가 해당 문서에 침투하지 않았다는 완전한 보장은 없지만). 그 후에는 최소한 미디어를 확인해야 합니다. 바이러스 백신 스캐너(당신은 결코 알지 못합니다).

연산

또한 바이러스가 암호화에 RSA-3072 알고리즘을 사용한다는 점도 언급할 가치가 있습니다. 이는 이전에 사용된 RSA-2048 기술과 달리 너무 복잡하여 전체 안티 바이러스 연구소가 참여하더라도 올바른 비밀번호를 선택하는 것입니다. 이는 몇 달 또는 몇 년이 걸릴 수 있습니다. 따라서 NO_MORE_RANSOM을 해독하는 방법에 대한 질문에는 상당한 시간이 필요합니다. 하지만 즉시 정보를 복원해야 한다면 어떻게 해야 할까요? 우선, 바이러스 자체를 제거하십시오.

바이러스를 제거하는 것이 가능하며 어떻게 해야 합니까?

실제로 이것은 어렵지 않습니다. 바이러스 제작자의 뻔뻔함으로 판단하면 컴퓨터 시스템의 위협은 위장되지 않습니다. 오히려 수행한 작업을 완료한 후 "자신을 제거"하는 것이 그녀에게 유익할 수도 있습니다.

그럼에도 불구하고 처음에는 바이러스의 주도에 따라 여전히 무력화되어야 합니다. 첫 번째 단계는 KVRT, Malwarebytes, Dr.와 같은 휴대용 보안 유틸리티를 사용하는 것입니다. 웹큐어잇! 등등. 참고: 테스트에 사용되는 프로그램은 이식 가능해야 합니다(설치할 필요 없음). 하드 드라이브출시와 함께 최적의 옵션이동식 미디어에서). 위협이 발견되면 즉시 제거해야 합니다.

이러한 작업이 제공되지 않으면 먼저 "작업 관리자"로 이동하여 바이러스와 관련된 모든 프로세스를 종료하고 서비스를 이름별로 정렬해야 합니다(일반적으로 런타임 브로커 프로세스입니다).

작업 취소 후 편집자에게 전화해야 합니다. 시스템 레지스트리(실행 메뉴에서 regedit) 이름으로 검색 " 클라이언트 서버런타임 시스템"(따옴표 제외)을 선택한 다음 "다음 찾기..." 결과를 이동하기 위한 메뉴를 사용하여 발견된 모든 요소를 ​​삭제합니다. 다음으로, 컴퓨터를 다시 시작하고 “작업 관리자”에서 찾고 있는 프로세스가 있는지 확인해야 합니다.

원칙적으로 감염 단계에서 NO_MORE_RANSOM 바이러스를 해독하는 방법에 대한 질문은 이 방법을 사용하여 해결할 수 있습니다. 물론 무력화 확률은 작지만 가능성이 있습니다.

NO_MORE_RANSOM으로 암호화된 파일을 해독하는 방법: 백업

그러나 소수의 사람들이 알고 있거나 심지어 추측하는 또 다른 기술이 있습니다. 사실 운영 체제 자체는 지속적으로 자체 그림자를 생성합니다. 백업(예: 복구의 경우) 또는 사용자가 의도적으로 그러한 이미지를 생성하는 경우입니다. 실습에서 알 수 있듯이 바이러스가 영향을 미치지 않는 것은 바로 이러한 복사본입니다(배제되지는 않지만 구조상 제공되지는 않습니다).

따라서 NO_MORE_RANSOM을 해독하는 방법의 문제는 이를 구체적으로 사용하는 것입니다. 그러나 표준을 사용하십시오. 윈도우 도구권장되지 않음(그리고 많은 사용자가 숨은참조전혀 액세스할 수 없습니다.) 따라서 ShadowExplorer 유틸리티(이식 가능)를 사용해야 합니다.

복원하려면 실행 파일을 실행하고 날짜 또는 섹션별로 정보를 정렬하고 원하는 복사본(파일, 폴더 또는 전체 시스템)을 선택한 다음 RMB 메뉴를 통해 내보내기 라인을 사용하면 됩니다. 다음으로, 현재 복사본이 저장될 디렉터리를 선택한 다음 표준 복구 프로세스를 사용하면 됩니다.

타사 유틸리티

물론 NO_MORE_RANSOM을 해독하는 방법에 대한 문제에 대해 많은 실험실에서 자체 솔루션을 제공합니다. 예를 들어 Kaspersky Lab은 자체적인 사용을 권장합니다. 소프트웨어 제품 Kaspersky Decryptor는 Rakhini와 Rector의 두 가지 수정 사항으로 제공됩니다.

Dr.의 NO_MORE_RANSOM 디코더와 같은 유사한 개발도 그다지 흥미롭지 않습니다. 편물. 그러나 여기서는 모든 파일이 감염되기 전에 위협이 신속하게 감지되는 경우에만 그러한 프로그램의 사용이 정당화된다는 점을 즉시 고려할 가치가 있습니다. 바이러스가 시스템에 확고히 자리잡은 경우(암호화된 파일을 암호화되지 않은 원본과 비교할 수 없는 경우) 이러한 응용 프로그램도 쓸모가 없을 수 있습니다.

결과적으로

실제로 한 가지 결론만 제시됩니다. 첫 번째 파일만 암호화되는 감염 단계에서만 이 바이러스와 싸워야 한다는 것입니다. 일반적으로 의심스러운 소스로부터 받은 이메일 메시지의 첨부 파일을 열지 않는 것이 가장 좋습니다(이는 컴퓨터에 직접 설치된 클라이언트(Outlook, Oulook Express 등)에만 적용됩니다). 또한 회사 직원이 고객 및 파트너의 주소 목록을 마음대로 가지고 있는 경우 대부분의 사람들이 입사 지원 시 영업 비밀 및 사이버 보안에 대한 비공개 계약에 서명하기 때문에 "왼쪽" 메시지를 여는 것은 완전히 비실용적입니다.