نسخة no_more_ransom. NO_MORE_RANSOM - كيفية فك تشفير الملفات المشفرة؟ لا مزيد من آثار إزالة الفدية

No_more_ransomvirusهو فيروس طلب فدية جديد، وهو استمرار لسلسلة الفيروسات سيئة السمعة، والتي تتضمن Better_call_saul وda_vinci_code. مثل الإصدارات السابقة، ينتشر فيروس برامج الفدية هذا عبر رسائل البريد العشوائي. تحتوي كل رسالة من رسائل البريد الإلكتروني هذه على ملف مرفق - أرشيف، والذي يحتوي بدوره على ملف قابل للتنفيذ. عند محاولة فتحه يتم تنشيط الفيروس. يقوم فيروس No_more_ransom بتشفير ملفات من أنواع مختلفة (المستندات والصور وقواعد البيانات، بما في ذلك قواعد بيانات 1C) على كمبيوتر الضحية. بعد اكتمال عملية التشفير، تختفي جميع الملفات المألوفة، وتظهر ملفات جديدة بأسماء غريبة والامتداد .no_more_ransom في المجلدات التي تم تخزين المستندات فيها. بالإضافة إلى ذلك، تظهر رسالة مشابهة للرسالة أدناه على سطح المكتب:

يجمع فيروس No_more_ransom بين ميزات العديد من برامج الفدية المكتشفة مسبقًا. وفقًا لمؤلفي الفيروس، على عكس الإصدارات السابقة التي استخدمت وضع التشفير RSA-2048 بطول مفتاح يبلغ 2048 بت، يستخدم فيروس no_more_ransom وضع تشفير أقوى بطول مفتاح أطول (خوارزمية التشفير RSA-3072).

فيروس No_more-ransom - نموذج الملاحظات

عندما يصاب جهاز كمبيوتر بفيروس no_more_ransom ransomware، يقوم هذا البرنامج الضار بنسخ جسمه إلى مجلد النظام ويضيف إدخالاً إلى سجل Windows، مما يضمن تشغيله تلقائيًا في كل مرة يتم فيها تشغيل الكمبيوتر. وبعد ذلك يبدأ الفيروس بتشفير الملفات. يقوم برنامج الفدية بتعيين معرف فريد لكل جهاز كمبيوتر مصاب بـ No_more_ransom، والذي يجب على الضحية إرساله إلى مؤلفي الفيروس من أجل الحصول على مفتاح فك التشفير الخاص بهم. في هذه الحالة، يجب على الضحية دفع مبلغ كبير مقابل فك تشفير ملفات no_more_ransom.

في الوقت الحالي، لا توجد طريقة فعالة بنسبة 100% لاستعادة الملفات المشفرة مجانًا. ولذلك، نقترح استخدام البرامج المجانية مثل ShadowExplorer وPhotoRec لمحاولة استعادة نسخ الملفات المشفرة. إذا توفرت طريقة لفك تشفير ملفات no_more_ransom، فسنقوم بتحديث هذه التعليمات على الفور.

كيف يصل فيروس no_more_ransom ransom إلى جهاز الكمبيوتر الخاص بك

ينتشر فيروس No_more_ransom عبر البريد الإلكتروني. تحتوي الرسالة على مستند أو أرشيف مصاب مرفق. يتم إرسال مثل هذه الرسائل إلى قاعدة بيانات ضخمة من عناوين البريد الإلكتروني. يستخدم مؤلفو هذا الفيروس رؤوسًا ومحتويات رسائل مضللة، في محاولة لخداع المستخدم لفتح مستند مرفق بالرسالة. تبلغ بعض الرسائل عن الحاجة إلى دفع الفاتورة، والبعض الآخر يعرض إلقاء نظرة على أحدث قائمة الأسعار، والبعض الآخر يعرض فتح صورة مضحكة، وما إلى ذلك. على أية حال، ستكون نتيجة فتح الملف المرفق هي إصابة جهاز الكمبيوتر الخاص بك بفيروس فدية.

ما هو فيروس الفدية no_more_ransom

يعد فيروس الفدية no_more_ransom بمثابة استمرار لعائلة برامج الفدية، والتي تتضمن عددًا كبيرًا من البرامج الضارة الأخرى المشابهة. يؤثر هذا البرنامج الخبيث على جميع الإصدارات الحديثة من أنظمة تشغيل Windows، بما في ذلك Windows XP وWindows Vista وWindows 7 وWindows 8 وWindows 10. يستخدم هذا الفيروس وضع تشفير أقوى من RSA-2048 بطول مفتاح يبلغ 2048 بت، وهو يلغي عمليا إمكانية القوة الغاشمة لمفتاح فك التشفير الذاتي للملفات.

عند إصابة جهاز كمبيوتر، يمكن لفيروس الفدية no_more_ransom استخدام عدة أدلة مختلفة لتخزين ملفاته. على سبيل المثال C:\ProgramData\Windows، C:\Users\All Users\Windows، C:\ProgramData\Csrss، C:\Users\All Users\Csrss، C:\ProgramData\System32، C:\Users\All Users \ نظام 32. يتم إنشاء ملف csrss.exe في المجلد، وهو نسخة من ملف الفيروس القابل للتنفيذ. يقوم برنامج الفدية بعد ذلك بإنشاء إدخال في سجل Windows: في القسم HKCU\Software\Microsoft\Windows\CurrentVersion\Run، يوجد مفتاح يسمى Client Server Runtime Subsystem. وهذا يسمح للفيروس بمواصلة التشفير. إذا قام المستخدم بإيقاف تشغيل الكمبيوتر لسبب ما.

مباشرة بعد الإطلاق، يقوم الفيروس بفحص جميع محركات الأقراص المتوفرة، بما في ذلك الشبكة والتخزين السحابي، لتحديد الملفات التي سيتم تشفيرها. يستخدم فيروس الفدية no_more_ransom امتداد اسم الملف كوسيلة لتحديد مجموعة من الملفات التي سيتم تشفيرها. يقوم هذا الإصدار من الفيروس بتشفير عدد كبير من أنواع الملفات المختلفة، بما في ذلك الملفات الشائعة مثل:

3dm، .3ds، .sql، .mp4، .7z، .rar، .m4a، .wma، .avi، .wmv، .csv، .d3dbsp، .zip، .sie، .sum، .ibank، .t13، .t12، .qdf، .gdb، .tax، .pkpass، .bc6، .bc7، .bkp، .qic، .bkf، .sidn، .sidd، .mddata، .itl، .itdb، .icxs، .hvpl ، .hplg، .hkdb، .mdbackup، .syncdb، .gho، .cas، .svg، .map، .wmo، .itm، .sb، .fos، .mov، .vdf، .ztmp، .sis، . sid، .ncf، .menu، .layout، .dmp، .blob، .esm، .vcf، .vtf، .dazip، .fpk، .mlx، .kf، .iwd، .vpk، .tor، .psk، .rim، .w3x، .fsh، .ntl، .arch00، .lvl، .snx، .cfr، .ff، .vpp_pc، .lrf، .m2، .mcmeta، .vfs0، .mpqge، .kdb، .db0 و .dba و .rofl و .hkx و .bar و .upk و .das و .iwi و .litemod و .asset و .forge و .ltx و .bsa و .apk و .re4 و .sav و .lbf و. slm، .bik، .epk، .rgss3a، .pak، .big، Wallet، .wotreplay، .xxx، .desc، .py، .m3u، .flv، .js، .css، .rb، .png، . jpeg، .txt، .p7c، .p7b، .p12، .pfx، .pem، .crt، .cer، .der، .x3f، .srw، .pef، .ptx، .r3d، .rw2، .rwl، .raw، .raf، .orf، .nrw، .mrwref، .mef، .erf، .kdc، .dcr، .cr2، .crw، .bay، .sr2، .srf، .arw، .3fr، .dng ، .jpe، .jpg، .cdr، .indd، .ai، .eps، .pdf، .pdd، .psd، .dbf، .mdf، .wb2، .rtf، .wpd، .dxg، .xf، . dwg، .pst، .accdb، .mdb، .pptm، .pptx، .ppt، .xlk، .xlsb، .xlsm، .xlsx، .xls، .wps، .docm، .docx، .doc، .odb، .odc، .odm، .odp، .ods، .odt، .wav، .wbc، .wbd، .wbk، .wbm، .wbmp، .wbz، .wcf، .wdb، .wdp، .webdoc، .webp ، .wgz، .wire، .wm، .wma، .wmd، .wmf، .wmv، .wn، .wot، .wp، .wp4، .wp5، .wp6، .wp7، .wpa، .wpb، . wpd، .wpe، .wpg، .wpl، .wps، .wpt، .wpw، .wri، .ws، .wsc، .wsd، .wsh، .x، .x3d، .x3f، .xar، .xbdoc، .xbplate، .xdb، .xdl، .xld، .xlgc، .xll، .xls، .xlsm، .xlsx، .xmind، .xml، .xmmap، .xpm، .xwp، .xx، .xy3، .xyp ، .xyw، .y، .yal، .ybk، .yml، .ysp، .z، .z3d، .zabw، .zdb، .zdc، .zi، .zif، .zip، .zw.

مباشرة بعد تشفير الملف، يتلقى اسمًا جديدًا وامتدادًا.no_more_ransom. وبعد ذلك يقوم الفيروس بإنشاء مستندات نصية على كافة الأقراص وسطح المكتب بالأسماء README.txt، README1.txt، README2.txt...، والتي تحتوي على تعليمات لفك تشفير الملفات المشفرة.

يستخدم برنامج الفدية no_more_ransom بشكل فعال أساليب التخويف من خلال عرض تحذير على سطح المكتب. وتحاول هذه الطريقة إجبار الضحية دون تردد على إرسال معرف الكمبيوتر إلى عنوان البريد الإلكتروني الخاص بمؤلف الفيروس لمحاولة استعادة ملفاته.

هل جهاز الكمبيوتر الخاص بي مصاب بفيروس الفدية no_more_ransom؟

من السهل جدًا تحديد ما إذا كان جهاز الكمبيوتر الخاص بك مصابًا بفيروس no_more_ransom Ransom. إذا ظهرت ملفات ذات أسماء غريبة وامتداد no_more_ransom بدلاً من ملفاتك الشخصية، فهذا يعني أن جهاز الكمبيوتر الخاص بك مصاب. بالإضافة إلى ذلك، من علامات الإصابة وجود ملف باسم README في الأدلة الخاصة بك. سيحتوي هذا الملف على تعليمات لفك تشفير ملفات no_more_ransom. ويرد أدناه مثال على محتويات هذا الملف.

لقد تم تشفير الملفات الخاصة بك.
لفك تشفيرها، تحتاج إلى إرسال الرمز:
(معرف الكمبيوتر)
إلى عنوان البريد الإلكتروني [البريد الإلكتروني محمي].
بعد ذلك سوف تتلقى جميع التعليمات اللازمة.
إن محاولات فك التشفير بنفسك لن تؤدي إلا إلى فقدان المعلومات بشكل لا يمكن استرجاعه.
إذا كنت لا تزال ترغب في المحاولة، فقم بعمل نسخ احتياطية من ملفاتك أولاً، وإلا تحسبًا لذلك
وبتغييرها، سيصبح فك التشفير مستحيلاً تحت أي ظرف من الظروف.
إذا لم تتلق ردًا على العنوان أعلاه خلال 48 ساعة (وفي هذه الحالة فقط!)،
استخدم نموذج الملاحظات. ويمكن أن يتم ذلك بطريقتين:
1) قم بتنزيل وتثبيت متصفح Tor من الرابط: https://www.torproject.org/download/download-easy.html.en
في شريط عنوان متصفح Tor، أدخل العنوان:

واضغط على Enter. سيتم تحميل الصفحة التي تحتوي على نموذج التعليقات.
2) في أي متصفح، انتقل إلى أحد العناوين:

تم تشفير جميع الملفات المهمة الموجودة على جهاز الكمبيوتر الخاص بك.
لفك تشفير الملفات يجب عليك إرسال الكود التالي:
(معرف الكمبيوتر)
إلى عنوان البريد الإلكتروني [البريد الإلكتروني محمي].
ثم سوف تتلقى جميع التعليمات اللازمة.
جميع محاولات فك التشفير بنفسك لن تؤدي إلا إلى خسارة بياناتك بشكل لا رجعة فيه.
إذا كنت لا تزال ترغب في محاولة فك تشفيرها بنفسك، فيرجى عمل نسخة احتياطية في البداية لأنه
سيصبح فك التشفير مستحيلاً في حالة حدوث أي تغييرات داخل الملفات.
إذا لم تتلق الرد من البريد الإلكتروني المذكور لمدة تزيد عن 48 ساعة (وفي هذه الحالة فقط!)،
استخدم نموذج الملاحظات. يمكنك القيام بذلك بطريقتين:
1) حمل متصفح Tor من هنا:
https://www.torproject.org/download/download-easy.html.en
قم بتثبيته واكتب العنوان التالي في شريط العناوين:
http://cryptsen7fo43rr6.onion/
اضغط على Enter ثم سيتم تحميل الصفحة التي تحتوي على نموذج الملاحظات.
2) انتقل إلى أحد العناوين التالية في أي متصفح:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

كيفية فك تشفير الملفات المشفرة بواسطة فيروس الفدية no_more_ransom؟

لا يوجد حاليًا أي برنامج فك تشفير متاح لملفات .no_more_ransom. يخبر فيروس برامج الفدية الضحية بشكل متكرر أنه يتم استخدام خوارزمية تشفير قوية. وهذا يعني أنه بدون مفتاح خاص، يكاد يكون من المستحيل فك تشفير الملفات. إن استخدام طريقة اختيار المفتاح ليس خيارًا أيضًا، نظرًا لطول المفتاح الكبير. لذلك، لسوء الحظ، فإن دفع كامل المبلغ المطلوب لمؤلفي الفيروس (9000 روبل أو أكثر) هو الطريقة الوحيدة لمحاولة الحصول على مفتاح فك التشفير.

ليس هناك أي ضمان على الإطلاق أنه بعد الدفع، سيتصل بك مؤلفو الفيروس ويقدمون لك المفتاح اللازم لفك تشفير ملفاتك. بالإضافة إلى ذلك، عليك أن تفهم أنه من خلال دفع الأموال لمطوري الفيروسات، فإنك تشجعهم بنفسك على إنشاء فيروسات جديدة.

كيفية إزالة فيروس الفدية no_more_ransom؟

قبل أن تبدأ، عليك أن تعرف أنه من خلال البدء في إزالة الفيروس ومحاولة استعادة الملفات بنفسك، فإنك تمنع القدرة على فك تشفير الملفات عن طريق دفع المبلغ الذي طلبه لمؤلفي الفيروس.

يمكن لأداة إزالة الفيروسات Kaspersky (KVRT) وMalwarebytes Anti-malware (MBAM) اكتشاف أنواع مختلفة من فيروسات برامج الفدية النشطة وإزالتها بسهولة من جهاز الكمبيوتر الخاص بك، لكن لا يمكنها استرداد الملفات المشفرة.

اضغط على مفتاحي Windows وR على لوحة المفاتيح في نفس الوقت. سيتم فتح نافذة صغيرة بعنوان Run أدخل فيها:

اضغط دخول.

سيتم إطلاق محرر التسجيل. افتح قائمة "تحرير" وانقر على "بحث". يدخل:

النظام الفرعي لوقت تشغيل خادم العميل

اضغط دخول.

قم بحذف هذه المعلمة بالضغط عليها بزر الفأرة الأيمن واختيار حذف كما هو موضح في الشكل أدناه. كن حذرا جدا!

أغلق محرر التسجيل.

قم بإعادة تشغيل جهاز الحاسوب الخاص بك. افتح الدليل C:\Documents and Settings\All Users\Application Data\Windows\ واحذف الملف csrss.exe.

قم بتحميل برنامج HijackThis بالضغط على الرابط التالي.

بضع كلمات أخيرة

باتباع هذه التعليمات، سيتم مسح جهاز الكمبيوتر الخاص بك من فيروس الفدية no_more_ransom. إذا كان لديك أي أسئلة أو كنت بحاجة إلى مساعدة، يرجى الاتصال بنا.

في نهاية عام 2016، تعرض العالم لهجوم من فيروس طروادة غير التافه للغاية الذي يقوم بتشفير مستندات المستخدم ومحتوى الوسائط المتعددة، يسمى NO_MORE_RANSOM. سيتم مناقشة كيفية فك تشفير الملفات بعد التعرض لهذا التهديد بشكل أكبر. ومع ذلك، فمن الجدير تحذير جميع المستخدمين الذين تعرضوا للهجوم على الفور بأنه لا توجد تقنية موحدة. ويرجع ذلك إلى استخدام أحد أكثرها تقدمًا ودرجة تغلغل الفيروس في نظام الكمبيوتر أو حتى في الشبكة المحلية (على الرغم من أنه لم يكن مصممًا في البداية للتأثير على الشبكة).

ما هو فيروس NO_MORE_RANSOM وكيف يعمل؟

بشكل عام، عادة ما يتم تصنيف الفيروس نفسه على أنه فئة من أحصنة طروادة مثل I Love You، التي تخترق نظام الكمبيوتر وتقوم بتشفير ملفات المستخدم (عادة الوسائط المتعددة). صحيح، إذا كان السلف يختلف فقط في التشفير، فإن هذا الفيروس استعار الكثير من التهديد المثير الذي يسمى DA_VINCI_COD، والذي يجمع بين وظائف برامج الفدية.

بعد الإصابة، يتم تعيين اسم طويل لمعظم ملفات الصوت أو الفيديو أو الرسومات أو المستندات المكتبية بالامتداد NO_MORE_RANSOM الذي يحتوي على كلمة مرور معقدة.

عند محاولة فتحها، تظهر رسالة على الشاشة تفيد بأن الملفات مشفرة، ولفك تشفيرها عليك دفع مبلغ معين.

كيف يدخل التهديد إلى النظام؟

لنترك الآن مسألة كيفية فك تشفير الملفات من أي من الأنواع المذكورة أعلاه بعد التعرض لـ NO_MORE_RANSOM، ودعنا ننتقل إلى التكنولوجيا الخاصة بكيفية اختراق الفيروس لنظام الكمبيوتر. لسوء الحظ، بغض النظر عن كيف يبدو الأمر، يتم استخدام الطريقة القديمة المثبتة لهذا الغرض: يتم إرسال بريد إلكتروني يحتوي على مرفق إلى عنوان البريد الإلكتروني، وعند فتحه، يتلقى المستخدم رمزًا ضارًا.

وكما نرى، هذه التقنية ليست أصلية. ومع ذلك، قد يتم إخفاء الرسالة كنص لا معنى له. أو على العكس من ذلك، على سبيل المثال، إذا كنا نتحدث عن الشركات الكبيرة، لتغيير شروط بعض العقود. من الواضح أن كاتبًا عاديًا يفتح استثمارًا، ثم يحصل على نتيجة كارثية. كان أحد ألمع حالات تفشي المرض هو تشفير قواعد البيانات الخاصة بحزمة 1C الشهيرة. وهذه بالفعل مسألة خطيرة.

NO_MORE_RANSOM: كيفية فك تشفير المستندات؟

لكن الأمر لا يزال يستحق معالجة القضية الرئيسية. بالتأكيد الجميع مهتم بكيفية فك تشفير الملفات. يحتوي فيروس NO_MORE_RANSOM على تسلسل الإجراءات الخاص به. إذا حاول المستخدم فك التشفير مباشرة بعد الإصابة، فلا تزال هناك طريقة ما للقيام بذلك. إذا كان التهديد قد رسخ نفسه بقوة في النظام، للأسف، فلا يمكن القيام بذلك دون مساعدة المتخصصين. لكن غالبًا ما يتبين أنهم عاجزون.

إذا تم اكتشاف التهديد في الوقت المناسب، فهناك طريقة واحدة فقط - اتصل بخدمات دعم شركات مكافحة الفيروسات (لم يتم تشفير جميع المستندات بعد)، وإرسال ملفين لا يمكن الوصول إليهما، واستنادا إلى تحليل النسخ الأصلية المحفوظة على وسائط قابلة للإزالة، حاول استعادة المستندات المصابة بالفعل، أولاً عن طريق نسخ كل ما لا يزال متاحًا للفتح على نفس محرك الأقراص المحمول (على الرغم من عدم وجود ضمان كامل أيضًا بأن الفيروس لم يخترق مثل هذه المستندات). بعد ذلك، للتأكد، يجب فحص الوسائط باستخدام ماسح ضوئي مضاد للفيروسات على الأقل (لا تعرف أبدًا).

خوارزمية

ومن الجدير بالذكر أيضًا أن الفيروس يستخدم خوارزمية RSA-3072 للتشفير، والتي، على عكس تقنية RSA-2048 المستخدمة سابقًا، معقدة للغاية لدرجة أن اختيار كلمة المرور الصحيحة، حتى لو كانت المجموعة بأكملها من مختبرات مكافحة الفيروسات متورطة في ذلك. وهذا قد يستغرق شهورا أو سنوات. وبالتالي، فإن مسألة كيفية فك تشفير NO_MORE_RANSOM سوف تتطلب الكثير من الوقت. ولكن ماذا لو كنت بحاجة إلى استعادة المعلومات على الفور؟ بادئ ذي بدء، قم بإزالة الفيروس نفسه.

هل من الممكن إزالة الفيروس وكيفية القيام بذلك؟

في الواقع، هذا ليس بالأمر الصعب. انطلاقا من وقاحة المبدعين من الفيروس، فإن التهديد في نظام الكمبيوتر غير مقنع. بل على العكس من ذلك، فمن المفيد لها أن "تزيل نفسها" بعد الانتهاء من الإجراءات المنجزة.

ومع ذلك، في البداية، على غرار الفيروس، لا يزال من الضروري تحييده. الخطوة الأولى هي استخدام أدوات الأمان المحمولة مثل KVRT وMalwarebytes وDr. علاج الويب! وما شابه ذلك. يرجى ملاحظة: يجب أن تكون البرامج المستخدمة للاختبار من النوع المحمول (بدون تثبيت على محرك أقراص ثابتة، ومن الأفضل تشغيلها من الوسائط القابلة للإزالة). إذا تم اكتشاف تهديد، فيجب إزالته على الفور.

إذا لم يتم توفير مثل هذه الإجراءات، فيجب عليك أولاً الانتقال إلى "إدارة المهام" وإنهاء جميع العمليات المرتبطة بالفيروس فيه، وفرز الخدمات حسب الاسم (عادةً ما تكون هذه هي عملية Runtime Broker).

بعد إزالة المهمة، تحتاج إلى الاتصال بمحرر تسجيل النظام (رجديت في قائمة "تشغيل") والبحث عن اسم "نظام وقت تشغيل خادم العميل" (بدون علامتي الاقتباس)، ثم استخدم القائمة للتنقل عبر النتائج "بحث التالي..." لحذف جميع العناصر التي تم العثور عليها. بعد ذلك، تحتاج إلى إعادة تشغيل الكمبيوتر والتحقق من "إدارة المهام" لمعرفة ما إذا كانت العملية التي تبحث عنها موجودة أم لا.

من حيث المبدأ، يمكن حل مسألة كيفية فك تشفير فيروس NO_MORE_RANSOM في مرحلة الإصابة باستخدام هذه الطريقة. احتمال تحييده، بالطبع، صغير، ولكن هناك فرصة.

كيفية فك تشفير الملفات المشفرة باستخدام NO_MORE_RANSOM: النسخ الاحتياطية

ولكن هناك تقنية أخرى لا يعرفها أو حتى يخمنها إلا القليل من الناس. الحقيقة هي أن نظام التشغيل نفسه يقوم باستمرار بإنشاء نسخ احتياطية خاصة به (على سبيل المثال، في حالة الاسترداد)، أو يقوم المستخدم عن قصد بإنشاء مثل هذه الصور. كما تظهر الممارسة، فإن هذه النسخ هي التي لا يؤثر عليها الفيروس (هذا ببساطة غير منصوص عليه في بنيته، على الرغم من عدم استبعاده).

لذا فإن مشكلة كيفية فك تشفير NO_MORE_RANSOM تكمن في استخدامها. ومع ذلك، لا ينصح باستخدام أدوات Windows القياسية لهذا (ولن يتمكن العديد من المستخدمين من الوصول إلى النسخ المخفية على الإطلاق). لذلك، تحتاج إلى استخدام الأداة المساعدة ShadowExplorer (وهي محمولة).

للاستعادة، تحتاج فقط إلى تشغيل الملف القابل للتنفيذ، وفرز المعلومات حسب التواريخ أو الأقسام، وتحديد النسخة المطلوبة (من ملف أو مجلد أو النظام بأكمله) واستخدام سطر التصدير من خلال قائمة RMB. بعد ذلك، ما عليك سوى تحديد الدليل الذي سيتم حفظ النسخة الحالية فيه، ثم استخدام عملية الاسترداد القياسية.

المرافق الطرف الثالث

بالطبع، لمشكلة كيفية فك تشفير NO_MORE_RANSOM، تقدم العديد من المختبرات حلولها الخاصة. على سبيل المثال، توصي شركة Kaspersky Lab باستخدام منتج البرنامج الخاص بها Kaspersky Decryptor، والذي تم تقديمه في نسختين - Rakhini وRector.

لا تبدو التطورات المماثلة مثل وحدة فك التشفير NO_MORE_RANSOM من Dr. أقل إثارة للاهتمام. ويب. ولكن من المفيد هنا أن نأخذ في الاعتبار على الفور أن استخدام مثل هذه البرامج لا يكون له ما يبرره إلا إذا تم اكتشاف التهديد بسرعة، قبل إصابة جميع الملفات. إذا تم تثبيت الفيروس بقوة في النظام (عندما لا يمكن مقارنة الملفات المشفرة بنسخها الأصلية غير المشفرة)، فقد تكون هذه التطبيقات عديمة الفائدة أيضًا.

نتيجة ل

في الواقع، هناك استنتاج واحد فقط يشير إلى نفسه: من الضروري محاربة هذا الفيروس حصريًا في مرحلة الإصابة، عندما يتم تشفير الملفات الأولى فقط. بشكل عام، من الأفضل عدم فتح المرفقات في رسائل البريد الإلكتروني الواردة من مصادر مشكوك فيها (وهذا ينطبق حصريًا على العملاء المثبتين مباشرة على الكمبيوتر - Outlook وOulook Express وما إلى ذلك). بالإضافة إلى ذلك، إذا كان لدى أحد موظفي الشركة قائمة بعناوين العملاء والشركاء تحت تصرفه، فإن فتح الرسائل "غير المناسبة" يصبح غير عملي تمامًا، نظرًا لأن معظم الأشخاص يوقعون اتفاقيات عدم الكشف عن الأسرار التجارية والأمن السيبراني عند التقدم للحصول على وظيفة.

عند مواجهة هجوم برنامج فدية مشفر، يواجه الضحايا سؤالًا صعبًا: هل يجب عليهم دفع الفدية؟ أو قل وداعا للملفات؟ ولضمان عدم الكشف عن هويتهم، يستخدم مجرمو الإنترنت شبكة Tor ويطلبون فدية بعملة البيتكوين المشفرة. اعتبارًا من يونيو 2016، تجاوز المعادل النقدي لـ 1 BTC بالفعل 60 ألف روبل ولن يقل. لسوء الحظ، بعد أن قرر الضحايا الدفع، يقومون عن غير قصد بتمويل المزيد من أنشطة الابتزاز لمجرمي الإنترنت، الذين تتزايد شهيتهم بسرعة فائقة، ومع كل دفعة جديدة يقتنعون بإفلاتهم من العقاب.

ينظر الى " أغنى 100 عنوان بيتكوين وتوزيع بيتكوين"معظم أصحاب الملايين الأثرياء بالعملات المشفرة أصبحوا كذلك من خلال أساليب غير قانونية وحتى إجرامية.

حظا سعيدا مع فك التشفير !!!

في نهاية عام 2016، تمت ملاحظة فيروس طلب فدية جديد – NO_MORE_RANSOM. لقد حصل على هذا الاسم الطويل بسبب الامتداد الذي يعينه لملفات المستخدم.

لقد اعتمدت الكثير من الفيروسات الأخرى، على سبيل المثال من da_vinci_cod. ومنذ ظهوره على الإنترنت مؤخرًا، لم تتمكن مختبرات مكافحة الفيروسات حتى الآن من فك رموزه. ومن غير المرجح أن يتمكنوا من القيام بذلك في المستقبل القريب - حيث يتم استخدام خوارزمية تشفير محسنة. لذلك، دعونا نتعرف على ما يجب فعله إذا تم تشفير ملفاتك بامتداد "no_more_ransom".

الوصف ومبدأ التشغيل

في بداية عام 2017، امتلأت العديد من المنتديات برسائل "no_more_ransomvirus لديه ملفات مشفرة"، والتي طلب فيها المستخدمون المساعدة لإزالة التهديد. لم تتعرض أجهزة الكمبيوتر الخاصة فقط للهجوم، ولكن أيضًا مؤسسات بأكملها (خاصة تلك التي تستخدم قواعد بيانات 1C). الوضع بالنسبة لجميع الضحايا هو نفسه تقريبًا: لقد فتحوا مرفقًا من رسالة بريد إلكتروني، وبعد فترة حصلت الملفات على ملحق No_more_ransom. تجاوز فيروس الفدية جميع برامج مكافحة الفيروسات الشائعة دون أي مشاكل.

بشكل عام، واستنادًا إلى مبدأ العدوى، لا يمكن تمييز No_more_ransom عن سابقاتها:

كيفية علاج أو إزالة فيروس No_more_ransom

من المهم أن تفهم أنه بعد أن تبدأ No_more_ransom بنفسك، ستفقد فرصة استعادة الوصول إلى الملفات باستخدام كلمة مرور المهاجمين. هل من الممكن استرداد ملف بعد No_more_ransom؟ حتى الآن، لا توجد خوارزمية فعالة بنسبة 100% لفك تشفير البيانات. الاستثناء الوحيد هو أدوات مساعدة من مختبرات معروفة، لكن اختيار كلمة المرور يستغرق وقتًا طويلاً جدًا (أشهر، سنوات). ولكن المزيد عن الانتعاش أدناه. أولاً، دعونا نتعرف على كيفية التعرف على حصان طروادة لا مزيد من الفدية (الترجمة - "لا مزيد من الفدية") وهزيمته.

كقاعدة عامة، يسمح برنامج مكافحة الفيروسات المثبت بدخول برامج الفدية إلى الكمبيوتر - غالبًا ما يتم إصدار إصدارات جديدة، والتي لا يوجد وقت لإصدار قواعد بيانات لها. تتم إزالة الفيروسات من هذا النوع بسهولة تامة من جهاز الكمبيوتر، لأن المحتالين لا يحتاجون إلى بقائها في النظام بعد إكمال مهمتهم (التشفير). لإزالته، يمكنك استخدام الأدوات المساعدة الجاهزة التي يتم توزيعها مجانا:

استخدامها بسيط للغاية: قم بالتشغيل، ثم حدد الأقراص، ثم انقر فوق "بدء المسح". كل ما تبقى هو الانتظار. بعد ذلك، ستظهر نافذة يتم فيها عرض كافة التهديدات. انقر فوق "حذف".

على الأرجح، ستقوم إحدى هذه الأدوات المساعدة بإزالة فيروس الفدية. إذا لم يحدث هذا، فمن الضروري الإزالة اليدوية:

إذا لاحظت وجود فيروس بسرعة وتمكنت من إزالته، فمن المحتمل ألا يتم تشفير بعض البيانات. من الأفضل حفظ الملفات التي لم تتعرض للهجوم على محرك أقراص منفصل.

أدوات فك التشفير لفك تشفير ملفات “No_more_ransom”.

من المستحيل ببساطة العثور على الكود بنفسك، إلا إذا كنت متسللًا متقدمًا. يتطلب فك التشفير أدوات مساعدة خاصة. سأقول على الفور أنه لن يتمكن الجميع من فك تشفير ملف مشفر مثل "No_more_ransom". الفيروس جديد، لذا فإن تخمين كلمة المرور مهمة صعبة للغاية.

لذلك، أولا وقبل كل شيء، نحاول استعادة البيانات من النسخ الاحتياطية. افتراضيًا، يقوم نظام التشغيل، بدءًا من Windows 7، بحفظ نسخ من مستنداتك بانتظام. وفي بعض الحالات، يكون الفيروس غير قادر على حذف النسخ. لذلك نقوم بتحميل برنامج ShadowExplorer المجاني. ليس عليك تثبيت أي شيء - ما عليك سوى فك ضغطه.

إذا لم يحذف الفيروس النسخ، فهناك فرصة لاستعادة حوالي 80-90٪ من المعلومات المشفرة.

تقدم أيضًا مختبرات مكافحة الفيروسات المعروفة برامج فك التشفير لاستعادة الملفات بعد فيروس No_more_ransom. ومع ذلك، لا ينبغي أن تتوقع أن هذه الأدوات المساعدة ستكون قادرة على استعادة بياناتك. يتم تحسين التشفير باستمرار، والمتخصصون ببساطة ليس لديهم الوقت لإصدار التحديثات لكل إصدار. إرسال عينات إلى الدعم الفني لمختبر مكافحة الفيروسات لمساعدة المطورين.

لمكافحة No_more_ransom، يوجد Kaspersky Decryptor. يتم تقديم الأداة في نسختين مع البادئات وRakhni (توجد مقالات منفصلة عنها على موقعنا). لمحاربة الفيروس وفك تشفير الملفات، ما عليك سوى تشغيل البرنامج واختيار مواقع الفحص.

بالإضافة إلى ذلك، يجب عليك تحديد أحد المستندات المحظورة حتى تبدأ الأداة المساعدة في تخمين كلمة المرور.

يمكنك أيضًا تنزيل أفضل برنامج فك تشفير No_more_ransom من Dr. مجانًا. ويب. تسمى الأداة المساعدة matsnu1decrypt. إنه يعمل وفق سيناريو مماثل مع برامج من Kaspersky. كل ما عليك فعله هو تشغيل الفحص والانتظار حتى ينتهي.