Дахиж золиос авах боломжгүй. NO_MORE_RANSOM ransomware вирус – хувийн мэдээлэлд аюул учруулах шинэ аюул
2016 оны сүүлээр NO_MORE_RANSOM хэмээх шинэ ransomware вирус ажиглагдсан. Энэ нь хэрэглэгчийн файлд хуваарилдаг өргөтгөлийн улмаас ийм урт нэртэй болсон.
Би бусад вирусуудаас ихийг авсан, жишээ нь da_vinci_cod. Саяхан интернетэд гарч ирснээс хойш вирусны эсрэг лабораториуд түүний кодыг тайлж чадаагүй байна. Тэд ойрын ирээдүйд үүнийг хийх боломжгүй - сайжруулсан шифрлэлтийн алгоритмыг ашиглаж байна. Тиймээс, хэрэв таны файлууд "no_more_ransom" өргөтгөлөөр шифрлэгдсэн бол юу хийхээ олж мэдье.
Тодорхойлолт ба үйл ажиллагааны зарчим
2017 оны эхээр олон форум "no_more_ransom вирус файлуудыг шифрлэсэн байна" гэсэн мессежээр дүүрэн байсан бөгөөд хэрэглэгчид аюулыг арилгахын тулд тусламж хүссэн. Зөвхөн хувийн компьютерууд төдийгүй бүхэл бүтэн байгууллагууд (ялангуяа 1С мэдээллийн сан ашигладаг) халдлагад өртсөн. Бүх хохирогчдын нөхцөл байдал ойролцоогоор ижил байна: тэд хавсралтыг нээсэн имэйл, хэсэг хугацааны дараа файлууд No_more_ransom өргөтгөлийг хүлээн авав. Ransomware вирус нь бүх алдартай хүмүүсийг тойрч гарсан вирусны эсрэг програмууд.
Ерөнхийдөө халдварын зарчимд үндэслэн No_more_ransom нь өмнөх үеийнхээс ялгагдахааргүй:
No_more_ransom вирусыг хэрхэн эмчлэх эсвэл устгах вэ
No_more_ransom програмыг өөрөө эхлүүлсний дараа халдагчдын нууц үгийг ашиглан файл руу нэвтрэх эрхээ алдах болно гэдгийг ойлгох нь чухал. No_more_ransom-ын дараа файлыг сэргээх боломжтой юу? Өнөөдрийг хүртэл өгөгдлийг тайлах 100% ажиллах алгоритм байхгүй байна. Цорын ганц үл хамаарах зүйл бол алдартай лабораторийн хэрэгслүүд боловч нууц үг сонгоход маш удаан хугацаа шаардагддаг (сар, жил). Гэхдээ нөхөн сэргээх талаар доор дэлгэрэнгүй үзнэ үү. Эхлээд золиослолгүй трояныг (орчуулга - "дахиж золиосгүй") хэрхэн тодорхойлж, түүнийг ялах талаар олж мэдье. 
Дүрмээр бол суулгасан вирусын эсрэг програм хангамж нь ransomware компьютерт нэвтрэх боломжийг олгодог - шинэ хувилбарууд нь ихэвчлэн гардаг тул мэдээллийн санг гаргах цаг байдаггүй. Энэ төрлийн вирусыг компьютерээс амархан устгадаг, учир нь луйварчид даалгавраа (шифрлэлт) дуусгасны дараа системд үлдэх шаардлагагүй байдаг. Үүнийг арилгахын тулд та үнэгүй тараасан бэлэн хэрэгслүүдийг ашиглаж болно.
Тэдгээрийг ашиглах нь маш энгийн: ажиллуулж, дискээ сонгоод "Скан хийж эхлэх" дээр дарна уу. Зөвхөн хүлээх л үлдлээ. Үүний дараа бүх аюулыг харуулах цонх гарч ирнэ. "Устгах" дээр дарна уу.
Эдгээр хэрэгслүүдийн аль нэг нь ransomware вирусыг устгах магадлалтай. Хэрэв энэ нь тохиолдоогүй бол гараар зайлуулах шаардлагатай:
Хэрэв та вирусыг хурдан анзаарч, устгаж чадвал зарим өгөгдлийг шифрлэхгүй байх магадлалтай. Халдлагад өртөөгүй файлуудыг тусдаа диск дээр хадгалах нь дээр.
“No_more_ransom” файлын кодыг тайлахад зориулсан шифр тайлах хэрэгслүүд
Хэрэв та дэвшилтэт хакер биш л бол кодыг өөрөө олох боломжгүй юм. Шифрийг тайлахын тулд танд хэрэгтэй болно тусгай хэрэгслүүд. "No_more_ransom" гэх мэт шифрлэгдсэн файлыг хүн бүр тайлж чадахгүй гэдгийг би шууд хэлье. Вирус шинэ учраас нууц үгээ таах нь маш хэцүү ажил юм.
Тиймээс, юуны өмнө бид сүүдрийн хуулбараас өгөгдлийг сэргээхийг хичээдэг. Өгөгдмөл үйлдлийн систем, Windows 7-ээс эхлэн таны баримт бичгийн хуулбарыг тогтмол хадгалдаг. Зарим тохиолдолд вирус нь хуулбарыг устгах боломжгүй байдаг. Тиймээс бид татаж авдаг үнэгүй програм ShadowExplorer. Та юу ч суулгах шаардлагагүй - зүгээр л задлах хэрэгтэй.
Хэрэв вирус хуулбарыг устгахгүй бол шифрлэгдсэн мэдээллийн 80-90 орчим хувийг сэргээх боломжтой.
Алдартай вирусын эсрэг лабораториуд нь No_more_ransom вирусын дараа файлуудыг сэргээхэд зориулсан шифрийг тайлах програмуудыг санал болгодог. Гэсэн хэдий ч эдгээр хэрэгслүүд таны өгөгдлийг сэргээх боломжтой болно гэж найдаж болохгүй. Шифрлэгчийг байнга сайжруулж байдаг бөгөөд мэргэжилтнүүд хувилбар бүрийн шинэчлэлийг гаргах цаг зав байдаггүй. Дээжийг илгээнэ үү техникийн дэмжлэгхөгжүүлэгчдэд туслах вирусын эсрэг лаборатори.
No_more_ransom-тай тэмцэхийн тулд Kaspersky Decryptor байдаг. Хэрэгслийг угтвар болон Рахни гэсэн хоёр хувилбараар танилцуулсан (манай вэбсайт дээр тэдгээрийн тухай тусдаа нийтлэл байдаг). Вирустай тэмцэх, файлын шифрийг тайлахын тулд сканнердах байршлыг сонгоод програмыг ажиллуулахад л хангалттай.
Нэмж дурдахад, нууц үгээ тааж эхлэхийн тулд хэрэгслээр хаагдсан баримтуудын аль нэгийг зааж өгөх ёстой.
Та мөн Dr.-ээс хамгийн сайн шифрлэгч No_more_ransom-г үнэгүй татаж авах боломжтой. Вэб. Хэрэгслийг matsnu1decrypt гэж нэрлэдэг. Энэ нь Касперскийн програмуудтай ижил төстэй хувилбарын дагуу ажилладаг. Таны хийх ёстой зүйл бол скан хийж дуусгахыг хүлээх явдал юм.
Одоо байгаа бүх төрлийн гэмт хэрэг интернетэд шилжсэн нь хэнд ч нууц биш. Үүнд кибер тагнуул, кибер терроризм, кибер луйвар, кибер хулгай, энэ блогийн сэдвийн дагуу кибер дээрэм, кибер шантааж зэрэг орно.
Тэд Орос дахь кибер гэмт хэргийг хулгайн гэмт хэрэгтэй адилтгаж, шийтгэлийг нэмэгдүүлэхийг эртнээс хүсч байсан ч хакерууд амьдрахыг хориглодог банкны бүтцийн өдөөн хатгалгаар энэ асуудлыг тавьсан юм. Магадгүй ийм л байх. Хэн юу яриад байна, банкууд хакеруудын тухай ярьж байна...
Удахгүй болох хуулийн төсөлд мөн л орчин үеийн “бүтээл” үйлдвэрийн тусгай зөвшөөрөлгүй нэвтрүүлэг, аудио-видео “бүтээл”-үүдийг татаж авч, бохир устай вантай ус шиг урсгаж буйг дурдлаа. Дахиад л дэлхийн цахим сүлжээгээр тахал мэт тархаж, интернетэд холбогдсон дэлхийн аль ч орны айл өрх бүрт нэрвэгдсэн жинхэнэ цахим гэмт хэрэгтнүүдийг бус шуламыг хайж байна.
Тийм ээ, би Extortion тахлын тухай ярьж байна: crypto-ransomware, encryptor, blockers болон бүх төрлийн хуурамч зүйлс, i.e. шифрлэгч, хориглогч мэт дүр эсгэдэг програмууд, төлбөртэй "цэвэрлэгээ" санал болгодог програмууд боловч энэ нь тэднийг дээрэмчин байхаас сэргийлж чадахгүй. Тэднийг бүтээгчид хууль сахиулагчид, эрүүгийн мафи, орон нутгийн цагдаа, Европол, Интерполоос айхгүйгээр "бүтээл"-ээ интернетэд нээлттэй байршуулдаг. Тэд сурталчилж, хайлтын үр дүнд сурталчилж, сурталчилж байна автоматжуулсан системүүд Google болон Yandex.
Цахим гэмт хэргийн тухай хууль хэнтэй тэмцэх ёстой вэ, цагдаа нар хэнийг эхлээд барьж авах ёстой вэ, Европол, Интерпол, “К” захиргаа үүнийг тогтоох ёстой! Энэ чиглэлийн ажил өдөр шөнөгүй хийгдэж байгаа гэдэгт би итгэхийг хүсч байна, гэхдээ бодит байдал тодорхой байна: дээрэмдэх, крипто мөнгө дээрэмдэх нь сонгодог вирусын тахал өвчнийг дарах уурын машин шиг интернетийн гамшиг, тахал болжээ.
Дашрамд хэлэхэд, миний мэдээллээр бол Украйн, Молдав, Румын улсаас үйлдвэрлэдэг хамгийн их тоо Ransomware, хэрэв та Азийн зүүн болон өмнөд бүс нутгийг харгалзан үзэхгүй бол огт өөр газар байдаг. өндөр хувьболон дээрэмдэхийн түвшин болон хакерын халдлага. Украйн, Молдав, Румын улсаас гарч буй зарим хулгайн халдлага нь Орос, орос хэлээр ярьдаг бизнес эрхлэгчид, хэрэглэгчдэд чиглэсэн байдаг бол зарим нь АНУ, Европ, англи хэлээр ярьдаг хэрэглэгчдэд чиглэсэн байдаг.
Сүүлийн хоёр жилийн хугацаанд компьютер хэрэглэгчид шифрлэсэн, унших боломжгүй болгосон, хааж, нэвтрэх боломжгүй, зөөвөрлөсөн, нуусан, нууцалсан файлууд руугаа буцаж ирснийхээ төлөө золиос шаардах ransomware, хуурамч ransomware, ransomware хориглогч болон бусадтай тулгарах нь ихэссэн. устгасан ... Энэ нь яаж боломжтой болсон бэ?
Тархсан өдрүүд аль хэдийнээ өнгөрчээ хортой програмНэг гэмт хэрэгтэн эсвэл шинэхэн програмист хийсэн.Өнөө үед кибер гэмт хэрэгтнүүд ихэвчлэн нэг баг болж ажилладаг, учир нь... Ийм хамтарсан ажил илүү их ашиг авчирдаг. Жишээлбэл, биткойноор золиослоход үндэслэсэн залилан мэхлэх бизнесийн загварыг (RaaS) хөгжүүлснээр нэг бүлэг техникийн дэмжлэг үзүүлж, зөвлөмж бичиж, чат эсвэл имэйлээр шинэ хохирогчдод хэрхэн, хаанаас худалдаж авах, солилцох, шилжүүлэх боломжтойг хэлэх боломжтой. дараагийн төлбөрийн золиос болох биткойн. Өөр нэг бүлэг нь ransomware хөгжүүлж, шинэчилж, дибаг хийж байна. Гурав дахь бүлэг нь даатгал, байраар хангадаг. Дөрөв дэх бүлэг нь C&C-тэй хамтран ажиллаж, удирддагажил командын төвөөс. Тав дахь нь санхүүгийн асуудлыг шийдэж, түншүүдтэй хамтран ажилладаг. Зургаа дахь нь сайтуудыг эвдэж, халдварладаг... RaaS хөгжихийн хэрээр ransomware нь илүү төвөгтэй, өргөн тархсан байх тусам олон баг оролцож, тэдний гүйцэтгэдэг процессууд нэмэгддэг.
Crypto-ransomware халдлагад өртөх үед хохирогчид хэцүү асуулттай тулгардаг: Тэд золиосоо төлөх ёстой юу? эсвэл файлуудтай баяртай гэж хэлэх үү? Цахим гэмт хэрэгтнүүд нэрээ нууцлахын тулд Tor сүлжээг ашиглаж, Bitcoin криптовалютаар золиослохыг шаарддаг. 2016 оны 6-р сарын байдлаар 1 BTC-ийн мөнгөн дүнтэй тэнцэх хэмжээ аль хэдийн 60 мянган рубль давсан бөгөөд үүнээс бага байх болно. Харамсалтай нь, хохирогчид төлбөрөө төлөхөөр шийдсэнийхээ дараа хоолны дуршил нь үсрэнгүй нэмэгдэж байгаа цахим гэмт хэрэгтнүүдийн цаашдын үйл ажиллагааг санхүүжүүлж, шинэ төлбөр төлөх бүрдээ тэд ялгүйд тооцогдоно.
Хараач" Шилдэг 100 хамгийн баян биткойны хаяг, биткойны тархалт“Тэнд криптовалютаар баялаг саятнуудын ихэнх нь хууль бус, тэр байтугай гэмт хэргийн аргаар ийм болсон.
Энэ яаж байж болох вэ?Өнөөдөр өгөгдлийн шифрийг тайлах бүх нийтийн хэрэгсэл байдаггүй; Тиймээс гол хамгаалалт болохын тулд ransomware-ээр халдвар авахаас урьдчилан сэргийлэх арга хэмжээ авахыг зөвлөж байнаХамгийн сүүлийн үеийн вирусны эсрэг хамгаалалт. Эдгээр арга хэмжээ болон ransomware болон ransomware-аас үүдэлтэй аюулын талаар хэрэглэгчийн мэдлэгийг нэмэгдүүлэх нь бас маш чухал юм.Манай блогийг ийм зорилгоор үүсгэсэн.Энд ransomware, хуурамч криптограф эсвэл хориглогч тус бүрийн мэдээллийг цуглуулдаг.
Миний хоёр дахь блогт " Файл тайлагч"2016 оны 5-р сараас эхлэн Crypto-Ransomware-ээр шифрлэгдсэн файлуудыг үнэгүй тайлах зорилгоор бүтээгдсэн шифр тайлагчийн талаарх мэдээллийг нэгтгэн дүгнэсэн. Бүх тайлбар, зааврыг анх удаа орос хэл дээр нийтэлсэн. Байнга шалгаж байгаарай.
Мэргэжлийн туслалцаа үзүүлэх зорилгоор 2016 оны зун Касперскийн лаборатори, Intel Security, Europol болон Голландын цагдаа нар хамтран " Дахиж золиос байхгүй", ransomware-тэй тэмцэх зорилготой. Төслийн оролцогчид вэбсайт үүсгэсэнoMoreRansom.org, агуулсан ерөнхий мэдээлэл ransomware (англи хэл дээр), мөн шифрлэгдсэн өгөгдлийг сэргээх үнэгүй хэрэгслүүдийн тухай. Эхлээд LC болон McAfee-ээс ийм хэрэгсэл ердөө 4 байсан.Энэ нийтлэлийг бичих өдөр тэдний 7 нь аль хэдийн байсанмөн функциональ байдал нь улам өргөжсөн.
Энэ төсөл зөвхөн арванхоёрдугаар сард байсан нь анхаарал татаж байнанэмэгдүүлсэн Миний "Ransomware Encryptors" болон "File Decryptors" блогт удаан хугацааны турш тайлбарласан шифр тайлагчдын бүлэг.
Дахиж золиос авахгүй!
2016 оны 12-р сарын 15-ны шинэчлэл:
Өмнө нь бусад код тайлагчийг гаргасан бусад компаниуд төсөлд нэгдсэн. Одоо аль хэдийн 20 хэрэгсэл (зарим нь бүр хоёр) байна:
WildFire Decryptor - Kaspersky Lab болон Intel Security-ээс
Chimera Decryptor - Касперскийн лабораторийн
Teslacrypt Decryptor - Kaspersky Lab болон Intel Security-ээс
Shade Decryptor - Kaspersky Lab болон Intel Security-ээс
CoinVault Decryptor - Касперскийн лаборатори
Rannoh Decryptor - Касперскийн лабораторийн
Rakhni Decryptor - Касперскийн лабораторийн
Jigsaw Decryptor - Check Point-ээс
Trend Micro Ransomware файлын шифрлэгч - Trend Micro
NMoreira Decryptor - Emsisoft-ээс
Ozozalocker Decryptor - Emsisoft-ээс
Globe Decryptor - Emsisoft-ээс
Globe2 Decryptor - Emsisoft-ээс
FenixLocker Decryptor - Emsisoft-ээс
Philadelphia Decryptor - Emsisoft
Stampado Decryptor - Emsisoft-ээс
Xorist Decryptor - Emsisoft-ээс
Nemucod Decryptor - Emsisoft-ээс
Gomasom Decryptor - Emsisoft-ээс
Linux.Encoder Decryptor - BitDefender-аас
Одоо "Дахиж золиослолгүй" нь 22 орны төлөөлөгчөөс бүрддэг.
Шифр тайлахад амжилт хүсье!!!
Битгий золиос өг! Бэлтгэлээ аваарай! Өгөгдлөө хамгаалаарай! Нөөцлөлт хийх! Энэ мөчийг ашиглаад би танд сануулж байна: Хулгайлах нь гэмт хэрэг болохоос тоглоом биш! Эдгээр тоглоомуудыг бүү тогло.
© Амиго-А (Эндрю Иванов): Блогын бүх нийтлэл
, ВИДЕО, ХӨГЖИМ болон бусад хувийн файлууддээр .ДАХИЖ_ЗИХГҮЙ, мөн анхны нэрийг үсэг, тоонуудын санамсаргүй хослол болгон өөрчилнө. Гэсэн хэдий ч хамгийн чухал форматтай ихэнх файлууд .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIPбүү нээ. Нягтлан бодох бүртгэл 1Сажиллахгүй байна. Энэ нь иймэрхүү харагдаж байна:
Касперскийн лаборатори, Dr.Web болон вирусын эсрэг программ хангамж хөгжүүлж буй бусад алдартай компаниудын техникийн дэмжлэг нь хэрэглэгчийн мэдээллийн шифрийг тайлах хүсэлтийн дагуу үүнийг хүлээн зөвшөөрөгдсөн хугацаанд хийх боломжгүй гэж мэдэгджээ.
Гэхдээ цөхрөлд бүү яар!
Баримт нь таны компьютерт нэвтэрсний дараа хортой програм нь бүрэн хууль ёсны GPG шифрлэлтийн программ хангамж, түгээмэл шифрлэлтийн алгоритм болох RSA-1024-ийг хэрэгсэл болгон ашигладаг. Энэ хэрэгслийг олон газар ашигладаг бөгөөд өөрөө вирус биш тул вирусны эсрэг програмууд үүнийг нэвтрүүлэх боломжийг олгодог бөгөөд үйл ажиллагааг нь хаадаггүй. Файлуудыг шифрлэхийн тулд нийтийн болон хувийн түлхүүрийг үүсгэдэг. Хувийн түлхүүр нь халдагчийн сервер рүү илгээгддэг бол нийтийн түлхүүр нь хэрэглэгчийн компьютер дээр үлддэг. Файлын шифрийг тайлахад хоёр түлхүүр шаардлагатай! Халдагчид өртсөн компьютер дээрх хувийн түлхүүрийг сайтар дарж бичдэг. Гэхдээ энэ нь үргэлж тохиолддоггүй. Гурав гаруй жилийн түүхэнд өө сэвгүй ажил, мэргэжилтнүүд Dr.SHIFROБид хортой програмын үйл ажиллагааны олон мянган хувилбаруудыг судалж үзсэн бөгөөд магадгүй найдваргүй мэт санагдах нөхцөл байдалд ч гэсэн бид танд мэдээллээ буцааж авах боломжийг олгох шийдлийг санал болгож чадна.
Энэ видеоноос та үзэж болно жинхэнэ ажилМанай нэг үйлчлүүлэгчийн компьютер дээрх шифр тайлагч:
Шифрийг тайлах боломжийг шинжлэхийн тулд шифрлэгдсэн файлуудын 2 дээжийг илгээнэ үү: нэг текст (doc, docx, odt, txt эсвэл rtf хэмжээ 100 KB хүртэл), хоёр дахь график (jpg, png, bmp, tif эсвэл pdf 3 МБ хүртэл хэмжээтэй). Мөн халдагчдаас авсан тэмдэглэлийн файл хэрэгтэй. Файлуудыг шалгасны дараа бид танд зардлын тооцоог өгөх болно. Файлуудыг имэйлээр илгээх боломжтой [имэйлээр хамгаалагдсан]эсвэл вэбсайт дээрх файл илгээх маягтыг ашиглана уу (улбар шар өнгийн товчлуур).
Сэтгэгдлүүд (2)
Бид CRYPTED000007 вирусыг барьсан. Шифрийг тайлах аргыг интернетээс хайсны дараа бид энэ сайтыг олсон. Мэргэжилтэн юу хийх шаардлагатайг хурдан бөгөөд нарийвчлан тайлбарлав. Баталгаажуулахын тулд 5 туршилтын файлын кодыг тайлсан. Тэд зардлаа зарлаж, төлбөр хийсний дараа хэдхэн цагийн дотор бүх зүйлийг тайлсан. Хэдийгээр зөвхөн компьютер төдийгүй сүлжээний хөтөч шифрлэгдсэн байв. Тусалсанд маш их баярлалаа!
Өдрийн мэнд! Би саяхан CRYPTED000007 вирустэй төстэй нөхцөл байдалтай тулгарсан бөгөөд энэ нь бүх дискийг шифрлэх цаг байсангүй, учир нь ... Хэсэг хугацааны дараа би зурагтай хавтсыг нээгээд хоосон дугтуй, өөр үсэг, тооноос бүрдсэн файлын нэрийг хараад шууд татаж аваад эхлүүлэв. үнэгүй хэрэгсэлтроянуудыг устгах. Вирус шуудангаар ирсэн бөгөөд би хавсралтыг нээж, эхлүүлсэн гэсэн итгэл үнэмшилтэй захидал байсан. Компьютер нь маш том 4 хатуу дисктэй (терабайт). Би интернетэд олон байдаг, үйлчилгээгээ санал болгодог янз бүрийн компаниудтай холбоо барьсан боловч амжилттай шифрлэгдсэн ч гэсэн бүх файлууд тусдаа хавтсанд байх бөгөөд бүгд холилдох болно. 100% тайлах баталгааг хэн ч өгдөггүй. Би Касперскийн лабораторитой холбогдож, тэнд ч тусалсангүй..html# тул би холбогдохоор шийдсэн. Би туршилтын гурван зураг илгээж, хэсэг хугацааны дараа тэдгээрийн бүрэн хуулбартай хариу ирсэн. Шуудангийн захидалд намайг алсаас эсвэл гэртээ санал болгосон. Би үүнийг гэртээ хийхээр шийдсэн. Бид мэргэжилтэн ирэх өдөр, цагийг шийдсэн. Захидал дээр нэн даруй декодчилогчийн хэмжээг тохиролцсон бөгөөд амжилттай тайлсны дараа бид ажлын гэрээнд гарын үсэг зурсан бөгөөд би гэрээний дагуу төлбөрөө хийсэн. Зарим видео бичлэгүүд байсан тул файлын шифрийг тайлахад маш удаан хугацаа шаардагддаг том хэмжээтэй. Дараа нь бүрэн хуулбарБи бүх файлуудаа анхны хэлбэртээ, зөв өргөтгөл рүү буцаасан эсэхийг шалгасан. Халдварын үед хөтчүүд бараг бүрэн дүүрэн байсан тул хатуу дискний хүчин чадал нь халдвар авахаас өмнөхтэй ижил болсон. Луйварчид гэх мэтээр бичдэг хүмүүс үүнтэй санал нийлэхгүй байна. Үүнийг өрсөлдөгчид нь уурлаж, амжилт олохгүй байна, эсвэл ямар нэгэн зүйлд гомдсон хүмүүс бичдэг. Миний хувьд бүх зүйл сайхан болсон, миний айдас өнгөрсөнд байна. Эрт дээр үед авсан гэр бүлийнхээ гэрэл зургууд, өөрөө засварласан гэр бүлийн бичлэгүүдээ дахин харлаа. Миний бүх өгөгдлийг сэргээхэд тусалсан dr.Shifro компани болон Игорь Николаевич биечлэн талархлын үгсийг хэлмээр байна. Маш их баярлалаа, амжилт хүсье! Бичсэн бүхэн миний хувийн бодол, хэнтэй холбоо барихаа өөрөө шийднэ.
2016 оны сүүлээр NO_MORE_RANSOM хэмээх хэрэглэгчийн бичиг баримт болон мультимедиа контентыг шифрлэдэг маш энгийн бус Trojan вирусын халдлага дэлхий дахинд өртөв. Энэ аюулд өртсөний дараа файлын шифрийг хэрхэн тайлах талаар цаашид хэлэлцэх болно. Гэсэн хэдий ч, нэг төрлийн техник байхгүй гэдгийг нэн даруй халдлагад өртсөн бүх хэрэглэгчдэд анхааруулах нь зүйтэй. Энэ нь хамгийн дэвшилтэт хувилбаруудын нэгийг ашиглахтай холбоотой бөгөөд вирус нь компьютерийн системд, тэр ч байтугай компьютерт нэвтэрч чаддагтай холбоотой юм. дотоод сүлжээ(хэдийгээр эхэндээ энэ нь сүлжээний нөлөөнд зориулагдаагүй байсан).
NO_MORE_RANSOM вирус гэж юу вэ, энэ нь хэрхэн ажилладаг вэ?
Ерөнхийдөө вирус өөрөө компьютерийн системд нэвтэрч хэрэглэгчийн файлуудыг (ихэвчлэн мультимедиа) шифрлэдэг I Love You зэрэг троянуудын ангилалд багтдаг. Үнэн, хэрэв удам угсаа нь зөвхөн шифрлэлтээрээ ялгаатай байсан бол энэ вирус нь DA_VINCI_COD хэмээх нэгэн цагт дуулиан шуугиантай аюул заналхийллээс их хэмжээний зээл авсан бөгөөд энэ нь ransomware-ийн функцийг хослуулсан байдаг.
Халдвар авсны дараа ихэнх аудио, видео, график эсвэл оффисын баримт бичгийн файлууд нь нарийн төвөгтэй нууц үг агуулсан NO_MORE_RANSOM өргөтгөлтэй урт нэртэй байдаг.
Та тэдгээрийг нээхийг оролдох үед дэлгэцэн дээр файлууд шифрлэгдсэн гэсэн мессеж гарч ирэх бөгөөд тэдгээрийг тайлахын тулд та тодорхой хэмжээний төлбөр төлөх шаардлагатай болно.
Аюул системд хэрхэн нэвтэрдэг вэ?
NO_MORE_RANSOM-д өртсөний дараа дээрх төрлийн файлуудын шифрийг хэрхэн тайлах вэ гэсэн асуултыг одоохондоо орхиж, вирус компьютерийн системд хэрхэн нэвтэрдэг технологи руу шилжье. Харамсалтай нь, яаж сонсогдож байгаагаас үл хамааран хуучин батлагдсан аргыг ашигладаг: хаяг руу имэйлХавсралт бүхий имэйл ирэх бөгөөд хэрэглэгч үүнийг нээх үед хортой код идэвхждэг.
Бидний харж байгаагаар энэ техник нь анхных биш юм. Гэсэн хэдий ч мессеж нь ямар ч утгагүй текст мэт далдлагдсан байж магадгүй юм. Эсвэл эсрэгээрээ, жишээ нь том компаниудын тухай ярьж байгаа бол зарим гэрээний нөхцөлийг өөрчлөх. Жирийн бичиг хэргийн ажилтан хөрөнгө оруулалт нээгээд дараа нь гамшигт үр дүнд хүрэх нь ойлгомжтой. Хамгийн тод дэгдэлтүүдийн нэг бол алдартай 1С багцын мэдээллийн санг шифрлэх явдал байв. Мөн энэ нь аль хэдийн ноцтой асуудал юм.
NO_MORE_RANSOM: баримт бичгийн шифрийг хэрхэн тайлах вэ?
Гэхдээ гол асуудалд анхаарлаа хандуулах нь зүйтэй. Хүн бүр файлын кодыг хэрхэн тайлахыг сонирхож байгаа нь лавтай. NO_MORE_RANSOM вирус нь өөрийн үйлдлийн дараалалтай байдаг. Хэрэв хэрэглэгч халдвар авсны дараа шууд шифрийг тайлах гэж оролдвол үүнийг хийх арга байсаар байна. Хэрэв аюул заналхийлэл нь системд бат бөх орсон бол харамсалтай нь мэргэжилтнүүдийн тусламжгүйгээр үүнийг хийх боломжгүй юм. Гэхдээ тэд ихэнхдээ хүчгүй болдог.
Хэрэв аюулыг цаг тухайд нь илрүүлсэн бол цорын ганц арга зам бий - вирусын эсрэг компаниудын дэмжлэг үзүүлэх үйлчилгээтэй холбоо барина уу (бүх баримт бичиг шифрлэгдээгүй байна), хэд хэдэн нэвтрэх боломжгүй файл илгээж, эх хувь нь дүн шинжилгээ хийсний үндсэн дээр. зөөврийн зөөвөрлөгч дээр хадгалагдсан бол аль хэдийн халдвар авсан баримт бичгүүдийг сэргээхийг хичээгээрэй, нээх боломжтой бүх зүйлийг ижил флаш диск рүү хуулж ав (гэхдээ вирус ийм баримт бичигт нэвтрээгүй гэсэн бүрэн баталгаа байхгүй). Үүний дараа хэвлэл мэдээллийн хэрэгслийг хамгийн багадаа шалгах хэрэгтэй вирусны эсрэг сканнер(та хэзээ ч мэдэхгүй).
Алгоритм
Вирус нь шифрлэлтийн RSA-3072 алгоритмыг ашигладаг бөгөөд энэ нь өмнө нь ашиглагдаж байсан RSA-2048 технологиос ялгаатай нь вирусын эсрэг лабораторийн бүх бүрэлдэхүүн хэсэг оролцсон ч нууц үгээ зөв сонгох нь маш нарийн төвөгтэй байдаг гэдгийг тэмдэглэх нь зүйтэй. Энэ нь хэдэн сар эсвэл жил шаардагдана. Тиймээс NO_MORE_RANSOM-ийн шифрийг хэрхэн тайлах вэ гэдэг асуудал маш их цаг хугацаа шаардах болно. Гэхдээ мэдээллийг нэн даруй сэргээх шаардлагатай бол яах вэ? Юуны өмнө вирусыг өөрөө устгах хэрэгтэй.
Вирусыг устгах боломжтой юу, яаж хийх вэ?
Үнэндээ үүнийг хийхэд хэцүү биш юм. Вирусыг бүтээгчдийн увайгүй байдлаас харахад компьютерийн системд аюул заналхийлдэггүй. Эсрэгээр нь хийсэн үйлдлээ дуусгасны дараа "өөрийгөө зайлуулах" нь түүнд ашигтай байдаг.
Гэсэн хэдий ч эхлээд вирусыг дагаж мөрдвөл түүнийг саармагжуулах хэрэгтэй. Эхний алхам бол KVRT, Malwarebytes, Dr. Web CureIt! гэх мэт. Анхаарна уу: Туршилтанд ашигласан програмууд нь зөөврийн байх ёстой (суулгахгүйгээр хатуу диск-д хөөргөхөөр оновчтой сонголтзөөврийн зөөвөрлөгчөөс). Хэрэв аюул илэрсэн бол түүнийг даруй арилгах хэрэгтэй.
Хэрэв ийм үйлдэл хийгдээгүй бол та эхлээд "Даалгаврын менежер" руу очиж, вирустай холбоотой бүх үйл явцыг дуусгаж, үйлчилгээг нэрээр нь ангилах хэрэгтэй (ихэвчлэн энэ нь Runtime Broker процесс юм).
Даалгаврыг цуцалсны дараа та редактор руу залгах хэрэгтэй системийн бүртгэл(Run цэсэнд regedit) болон нэрээр нь хайх " Үйлчлүүлэгч сервер Runtime System" (хашилтгүйгээр) цэсийг ашиглан "Дараа нь хайх ..." илэрцүүд рүү шилжиж, олдсон бүх элементүүдийг устгана уу. Дараа нь та компьютераа дахин асааж, хайж буй процесс байгаа эсэхийг шалгахын тулд "Task Manager" -ийг шалгах хэрэгтэй.
Зарчмын хувьд халдварын үе шатанд NO_MORE_RANSOM вирусыг хэрхэн тайлах вэ гэсэн асуултыг энэ аргыг ашиглан шийдэж болно. Үүнийг саармагжуулах магадлал нь мэдээжийн хэрэг бага, гэхдээ боломж бий.
NO_MORE_RANSOM ашиглан шифрлэгдсэн файлуудыг хэрхэн шифрлэх вэ: нөөцлөлт
Гэхдээ цөөхөн хүн мэддэг, бүр таамагладаг өөр нэг техник байдаг. Үйлдлийн систем өөрөө өөрийн сүүдрийг байнга бий болгодог нь баримт юм нөөцлөлтүүд(жишээлбэл, сэргээх тохиолдолд), эсвэл хэрэглэгч ийм зургийг санаатайгаар үүсгэдэг. Практикаас харахад вирус яг эдгээр хуулбаруудад нөлөөлдөггүй (энэ нь түүний бүтцэд тусгагдаагүй боловч хасагдаагүй болно).
Тиймээс NO_MORE_RANSOM-г хэрхэн тайлах вэ гэдэг асуудал нь тэдгээрийг ашиглахаас үүдэлтэй. Гэсэн хэдий ч стандартыг ашигла Windows хэрэгслүүдзөвлөдөггүй (мөн олон хэрэглэгчид bccогт хандах боломжгүй болно). Тиймээс та ShadowExplorer хэрэгслийг ашиглах хэрэгтэй (энэ нь зөөврийн).
Сэргээхийн тулд та зүгээр л гүйцэтгэгчийг ажиллуулж, мэдээллийг огноо, хэсгээр нь ангилж, хүссэн хуулбарыг (файл, хавтас эсвэл бүхэл системийн) сонгоод, RMB цэсээр дамжуулан экспортын мөрийг ашиглах хэрэгтэй. Дараа нь та одоо байгаа хуулбарыг хадгалах санг сонгоод стандарт сэргээх процессыг ашиглана уу.
Гуравдагч талын хэрэгслүүд
Мэдээжийн хэрэг, NO_MORE_RANSOM-ийг хэрхэн тайлах тухай асуудалд олон лабораториуд өөрсдийн шийдлийг санал болгодог. Жишээлбэл, Касперский лаборатори үүнийг ашиглахыг зөвлөж байна програм хангамжийн бүтээгдэхүүн Kaspersky Decryptor, хоёр хувилбараар танилцуулсан - Рахини ба Ректор.
Докторын NO_MORE_RANSOM декодер гэх мэт ижил төстэй бүтээн байгуулалтууд сонирхолтой харагдаж байна. Вэб. Гэхдээ бүх файлыг халдварлахаас өмнө аюулыг хурдан илрүүлсэн тохиолдолд л ийм програмыг ашиглах нь зөвтгөгддөг гэдгийг энд даруй анхаарч үзэх хэрэгтэй. Хэрэв вирус системд бат бөх суусан бол (шифрлэгдсэн файлуудыг шифрлэгдээгүй эх хувилбартай нь харьцуулах боломжгүй тохиолдолд) ийм програмууд бас ашиггүй байж болно.
Үүний үр дүнд
Үнэн хэрэгтээ зөвхөн нэг дүгнэлт гарч байна: зөвхөн эхний файлууд шифрлэгдсэн үед энэ вирустай зөвхөн халдварын үе шатанд тэмцэх шаардлагатай байна. Ерөнхийдөө эргэлзээтэй эх сурвалжаас ирсэн имэйлийн хавсралтыг нээхгүй байх нь дээр (энэ нь зөвхөн компьютер дээр шууд суулгасан үйлчлүүлэгчдэд хамаарна - Outlook, Oulook Express гэх мэт). Нэмж дурдахад, хэрэв компанийн ажилтан өөрийн мэдэлд үйлчлүүлэгч, түншүүдийн хаягийн жагсаалт байгаа бол "зүүн" мессеж нээх нь бүрэн боломжгүй болно, учир нь ихэнх хүмүүс ажилд орохдоо худалдааны нууц, кибер аюулгүй байдлын талаар задруулахгүй байх гэрээнд гарын үсэг зурдаг.
