NO_MORE_RANSOM - როგორ გაშიფრულია დაშიფრული ფაილები?

2016 წლის ბოლოს, მსოფლიოს თავს დაესხნენ ძალიან არასასიამოვნო ტროას ვირუსით, რომ დაშიფრულია მომხმარებლის დოკუმენტები და მულტიმედიური შინაარსი, რომელსაც ეწოდება NO_MORE_RANSOM. როგორ გაშიფრულია ფაილები ამ საფრთხის ზემოქმედების შემდგომ განხილვის შემდეგ. თუმცა, ერთხელ თქვენ გააფრთხილეთ ყველა მომხმარებელი, რომელიც თავს დაესხნენ თავს, არ არსებობს ერთიანი მეთოდოლოგია. ეს არის ერთ-ერთი ყველაზე მოწინავე დაშიფვრის ალგორითმის გამოყენება და კომპიუტერულ სისტემაში ვირუსის შეღწევადობის ხარისხი ან თუნდაც ადგილობრივ ქსელზე (თუმცა თავდაპირველად იგი ქსელური ზემოქმედებისთვის არ არის განკუთვნილი).

რა ტიპის ვირუსია NO_MORE_RANSOM და როგორ მუშაობს იგი?

ზოგადად, ვირუსი თავისთავად მიეკუთვნება ტროჯანთა კლასს, როგორიცაა მე მიყვარს, რომ შეაღწიო კომპიუტერულ სისტემას და გაეცათ მომხმარებლის ფაილები (ჩვეულებრივ მულტიმედიური). მართალია, თუ პროგენიტი მხოლოდ დაშიფვრის დროს განსხვავდებოდა, მაშინ ამ ვირუსმა ერთდროულად მიიღო სენსაციური საფრთხე, რომელსაც მოუწოდა DA_VINCI_COD, რომელიც აერთიანებს ექსტერიერის განყოფილების ფუნქციებს.

ინფექციის შემდეგ, აუდიო, ვიდეო, გრაფიკული ან საოფისე დოკუმენტების უმრავლესობა ენიჭება ხანგრძლივი სახელით NO_MORE_RANSOM გაფართოებასთან, რომელიც შეიცავს კომპლექსურ პაროლს.

როდესაც ისინი ცდილობენ გახსნას, ეკრანზე გამოჩნდება შეტყობინება, რომ ფაილები დაშიფრულია და გარკვეული თანხის გადახდა უნდა გადაიხადოთ.

რა საფრთხეს უქმნის სისტემა?

მოდით დავტოვოთ კითხვა, თუ როგორ უნდა გაასწორონ ფაილები ნებისმიერი ზემოაღნიშნული ტიპის NO_MORE_RANSOM- ის ექსპოზიციის შემდეგ, მაგრამ კომპიუტერულ სისტემაში ვირუსის შეყვანის ტექნოლოგია. სამწუხაროდ, თუმცა გამჭრიახამ შეიძლება გასწავლონ, ძველი აპრობირებული მეთოდი გამოიყენება: ელექტრონული ფოსტის მისამართი მიიღებს წერილს დანართით, რომელიც გახსნისას მომხმარებელს იღებს მუქარის კოდის გამოიწვევს.

ორიგინალობა, როგორც ვხედავთ, ეს მეთოდი არ არის განსხვავებული. თუმცა, გაგზავნა შეიძლება გადაცმული უაზრო ტექსტი. ან, პირიქით, მაგალითად, თუ ეს არის მსხვილი კომპანიების საკითხი, - ნებისმიერი კონტრაქტის პირობების შეცვლა. აშკარაა, რომ წოდებათა და დამკვეთის კლერკი გაიხსნა დანართი და შემდეგ იღებს სავალალო შედეგს. ერთ-ერთი ყველაზე დიდი გამორთვა იყო პოპულარული 1C პაკეტის მონაცემთა ბაზის დაშიფვრა. ეს არის სერიოზული ბიზნესი.

NO_MORE_RANSOM: როგორ ჩამოყალიბდეს დოკუმენტები?

მაგრამ მაინც აუცილებელია მივმართო ძირითად კითხვას. რა თქმა უნდა ყველას აინტერესებს, თუ როგორ უნდა გაშიფვრა ფაილი. ვირუსი NO_MORE_RANSOM- ს აქვს საკუთარი თანმიმდევრული ქმედებები. თუ მომხმარებელი ცდილობს დაუყოვნებლივ გაშიფრონ ინფექციის შემდეგ, ის მაინც შეიძლება გაკეთდეს. თუ საფრთხე სისტემაში მყარდება, სამწუხაროდ, სპეციალისტების დახმარებით შეუძლებელია. მაგრამ ისინი ხშირად უძლურია.

თუ საფრთხე გამოვლინდა დროულად, დაუკავშირდით ანტი-ვირუსული კომპანიების მომსახურებას (არა ყველა დოკუმენტი ჯერ კიდევ დაშიფრულია), გააგზავნეთ რამდენიმე ფაილი, რომლებიც ხელმისაწვდომი არ არის გახსნისთვის და მოხსნადი მედიის მიერ შენახული ორიგინალების ანალიზის საფუძველზე, კოპირება იმავე ფლეშ დისკზე ყველაფერი, რაც ჯერ კიდევ ხელმისაწვდომია გახსნისთვის (თუმცა არ არსებობს არანაირი გარანტია, რომ ვირუსი არ შეაღწია ასეთ დოკუმენტებს). ამის შემდეგ, უნდა იყოს ჭეშმარიტი, გადამზიდველი უნდა შემოწმდეს მინიმუმ ანტივირუსული სკანერით (არასოდეს იცი რა).

ალგორითმი

ცალსახად, უნდა ითქვას, რომ ვირუსი იყენებს RSA-3072 ალგორითმს შიფრაციისთვის, რომელიც, ადრე გამოყენებული RSA-2048 ტექნოლოგიისგან განსხვავებით, იმდენად რთულია, რომ აუცილებელი პაროლის შერჩევა, მაშინაც კი, თუ ანტივირუსული ლაბორატორიების მთელი კონტინგენტი , შეუძლია თვეები და წლები. ამდენად, კითხვა, თუ როგორ უნდა გაშიფრა NO_MORE_RANSOM, ძალიან ბევრი დრო დასჭირდება. მაგრამ რა მოხდება, თუ საჭიროა დაუყოვნებლივ აღადგინოთ ინფორმაცია? უპირველეს ყოვლისა, ამოიღეთ ვირუსი.

შემიძლია წაშალოს ვირუსი და როგორ?

სინამდვილეში, ამის გაკეთება ძნელი არ არის. ვიმსჯელებთ ვირუსის შემქმნელთა თავხედობით, კომპიუტერულ სისტემაში საფრთხე არ არის ნიღბიანი. ამის საპირისპიროდ, ეს ქმედებების დასრულების შემდეგაც კი "ხელსაყრელია".

მიუხედავად ამისა, თავდაპირველად, მიმდინარეობს ვირუსის შესახებ, ის მაინც უნდა იყოს ნეიტრალიზებული. პირველ რიგში აუცილებელია პორტატული დამცავი საშუალებების გამოყენება, როგორიცაა KVRT, Malwarebytes, Dr.Sc. ვებ CureIt! და მსგავსი. გთხოვთ გაითვალისწინოთ, რომ შემოწმებისას გამოყენებული პროგრამები უნდა იყოს პორტატული ტიპის გარეშე (ვერტიკალური ინსტალაციის გარეშე ოპტიმალური გაშვებისგან, მოსახსნელი მასალისგან). თუ საფრთხე აღმოჩენილია, ეს უნდა მოიხსნას დაუყოვნებლივ.

თუ ეს ასე არ არის, თქვენ ჯერ უნდა წავიდეთ სამუშაო მენეჯერთან და შეავსოთ ყველა პროცესი, რომელიც დაკავშირებულია ვირუსთან, სერვისების დახარისხებით (ჩვეულებრივ Runtime Broker პროცესი).

დავალების მოშორების შემდეგ თქვენ უნდა დარეკოთ სისტემის რეესტრის რედაქტორი ("Run" მენიუში) და მოძებნეთ სახელი "კლიენტის სერვერი სისტემური სისტემის" (შეთავაზებების გარეშე), გამოიყენეთ "Find Next ..." სანავიგაციო მენიუ, რათა წაშალოთ ყველა ნაპოვნი ელემენტი. შემდეგი, თქვენ უნდა გადატვირთეთ კომპიუტერი და სჯერა "სამუშაო მენეჯერი", არის თუ არა ძებნის პროცესი.

პრინციპში, კითხვაზე, თუ როგორ უნდა გაერკვიოს NO_MORE_RANSOM ვირუსი ინფექციის ეტაპზე ამ მეთოდით. მისი ნეიტრალიზაციის ალბათობა, რა თქმა უნდა, არ არის დიდი, მაგრამ არსებობს შანსი.

როგორ გაშიფრავთ ფაილები დაშიფრული NO_MORE_RANSOM: სარეზერვო

მაგრამ არსებობს კიდევ ერთი მეთოდი, რომელსაც რამდენიმე ადამიანი იცნობს ან იცის. ფაქტია, რომ ოპერაციული სისტემა მუდმივად ქმნის საკუთარ ჩრდილი სარეზერვო (მაგალითად, აღდგენის შემთხვევაში), ან მომხმარებლის განზრახ ქმნის ასეთ სურათებს. პრაქტიკა გვიჩვენებს, რომ ასეთ ასლებს აქვს ის, რომ ვირუსი არ მუშაობს (მის სტრუქტურაში უბრალოდ არ არის გათვალისწინებული, თუმცა გამორიცხული არ არის).

ამრიგად, როგორ გამოიყენებს NO_MORE_RANSOM- ს დეფიციტის პრობლემა მათ გამოყენებასთან დაკავშირებით. თუმცა, არ არის რეკომენდებული, რომ გამოიყენოს სტანდარტული Windows ინსტრუმენტები ამ (და ბევრი მომხმარებელი არ ექნება ხელმისაწვდომობის ფარული ასლები ყველა). ამიტომ, თქვენ უნდა გამოიყენოთ სასარგებლო ShadowExplorer (ეს არის პორტატული).

აღდგენის მიზნით, საჭიროა პროგრამაში შესრულებული ფაილების გაშვება, თარიღების ან სექციების მიხედვით დალაგებული ინფორმაცია, აირჩიეთ სასურველი ასლი (ფაილი, საქაღალდე ან მთელი სისტემა) და გამოიყენოთ ექსპორტის ხაზი PCM მენიუდან. შემდეგ, უბრალოდ აირჩიეთ დირექტორია, სადაც მიმდინარე ასლი შენახულია და შემდეგ გამოიყენეთ სტანდარტული აღდგენის პროცესი.

მესამე მხარის კომუნალური

რა თქმა უნდა, პრობლემის გადასაჭრელად, როგორებიცაა NO_MORE_RANSOM, ბევრი ლაბორატორიები საკუთარ გადაწყვეტილებებს სთავაზობენ. მაგალითად, Kaspersky Lab- ის რეკომენდაციას იყენებს საკუთარი პროგრამული პროდუქტი Kaspersky Decryptor, რომელიც წარმოდგენილია ორი ვერსიით - რახინი და რექტორი.

არანაკლებ საინტერესო სახე და მსგავსი მოვლენები, როგორიცაა დეკოდერი NO_MORE_RANSOM ვებ. მაგრამ აქვე აუცილებელია იმის გათვალისწინებით, რომ ასეთი პროგრამების გამოყენება დასაშვებია მხოლოდ საფრთხის სწრაფი გამოვლენის შემთხვევაში, რადგან ყველა ფაილი არ არის ინფიცირებული. თუ ვირუსი მყარად არის დამონტაჟებული სისტემაში (როდესაც დაშიფრული ფაილები ვერ შევადარებთ მათი დაუმონტაჟებელი ორიგინალებით), ასეთი აპლიკაციები შეიძლება იყოს უსარგებლო.

შედეგად

სინამდვილეში, დასკვნა მხოლოდ ერთია: ამ ვირუსის წინააღმდეგ ბრძოლა აუცილებელია მხოლოდ ინფექციის ეტაპზე, როდესაც მხოლოდ პირველი ფაილი დაშიფრულია. ზოგადად, არ არის საუკეთესო, რომ არ გაეცნოთ კითხვებს საეჭვო წყაროებიდან მიღებული ელექტრონული ფოსტის შეტყობინებები (ეს ეხება მხოლოდ პირდაპირ კომპიუტერზე - Outlook, Oulook Express და ა.შ.). გარდა ამისა, თუ კომპანიის თანამშრომელს აქვს განკარგულებაში კლიენტებისა და პარტნიორების მისამართები, გახსნის "მარცხენა" შეტყობინებები სრულიად შეუსაბამო ხდება, რადგან უმრავლესობა აყვანის პროცესში ხელს აწერს ხელშეკრულებები სავაჭრო საიდუმლოების და საიდუმლოების გამჟღავნებაზე.