Transkript no_more_ransom. NO_MORE_RANSOM - şifrələnmiş faylların şifrəsini necə açmaq olar? Artıq izləri silmək üçün fidyə yoxdur
No_more_ransom virusu daha yaxşı_call_saul və da_vinci_code daxil olan bədnam viruslar seriyasının davamı olan yeni ransomware virusudur. Əvvəlki versiyaları kimi, bu ransomware virusu spam mesajları vasitəsilə yayılır. Bu e-poçtların hər biri əlavə edilmiş fayldan ibarətdir - arxiv, öz növbəsində icra olunan faylı ehtiva edir. Onu açmağa çalışdığınız zaman virus aktivləşir. No_more_ransom virusu qurbanın kompüterindəki müxtəlif növ faylları (sənədlər, şəkillər, verilənlər bazası, o cümlədən 1C verilənlər bazası) şifrələyir. Şifrələmə prosesi başa çatdıqdan sonra bütün tanış fayllar yox olur və sənədlərin saxlandığı qovluqlarda qəribə adlar və .no_more_ransom uzantılı yeni fayllar görünür. Bundan əlavə, iş masasında aşağıdakı mesaja bənzər bir mesaj görünür:
No_more_ransom virusu əvvəllər aşkar edilmiş müxtəlif ransomware proqramlarının xüsusiyyətlərini özündə birləşdirir. Virus müəlliflərinin fikrincə, açar uzunluğu 2048 bit olan RSA-2048 şifrələmə rejimindən istifadə edən əvvəlki versiyalardan fərqli olaraq, no_more_ransom virusu daha uzun açar uzunluğu olan daha güclü şifrələmə rejimindən istifadə edir (RSA-3072 şifrələmə alqoritmi).
No_more-ransom virusu - rəy forması
Kompüter no_more_ransom ransomware virusuna yoluxduqda, bu zərərli proqram onun bədənini sistem qovluğuna köçürür və Windows reyestrinə qeyd əlavə edir və kompüter hər dəfə işə salındıqda onun avtomatik işə salınmasını təmin edir. Bundan sonra virus faylları şifrələməyə başlayır. Ransomware hər No_more_ransom yoluxmuş kompüterə unikal identifikator təyin edir, qurban öz şifrəsini açma açarını almaq üçün onu virusun müəlliflərinə göndərməlidir. Bu halda, qurban decrypting.no_more_ransom faylları üçün əhəmiyyətli məbləğ ödəməlidir.
Hal-hazırda, şifrələnmiş faylları pulsuz bərpa etmək üçün 100% həqiqətən işləyən bir yol yoxdur. Buna görə də, şifrələnmiş faylların surətlərini bərpa etmək üçün ShadowExplorer və PhotoRec kimi pulsuz proqramlardan istifadə etməyi təklif edirik. Əgər .no_more_ransom fayllarının şifrəsini açmaq üçün üsul əlçatan olarsa, biz bu təlimatı dərhal yeniləyəcəyik.
no_more_ransom ransom virusu kompüterinizə necə daxil olur
No_more_ransom virusu e-poçt vasitəsilə yayılır. Məktubda əlavə edilmiş yoluxmuş sənəd və ya arxiv var. Bu cür məktublar e-poçt ünvanlarının böyük məlumat bazasına göndərilir. Bu virusun müəllifləri yalnış başlıqlardan və məktubların məzmunundan istifadə edərək, istifadəçini məktuba əlavə edilmiş sənədi açmaq üçün aldatmağa çalışırlar. Bəzi məktublar hesabı ödəmək zərurəti haqqında məlumat verir, digərləri son qiymət siyahısına baxmağı təklif edir, digərləri gülməli bir fotoşəkil açmağı təklif edir və s. Hər halda, əlavə edilmiş faylın açılmasının nəticəsi kompüterinizi fidyə virusu ilə yoluxdurmaq olacaq.
No_more_ransom ransomware virusu nədir
no_more_ransom ransom virusu çoxlu sayda digər oxşar zərərli proqramları özündə birləşdirən ransomware ailəsinin davamıdır. Bu zərərli proqram Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 daxil olmaqla Windows əməliyyat sistemlərinin bütün müasir versiyalarına təsir göstərir. Bu virus 2048 bit açar uzunluğuna malik RSA-2048-dən daha güclü şifrələmə rejimindən istifadə edir. faktiki olaraq faylların öz-özünə deşifrə edilməsi üçün açarın kobud şəkildə zorlanması ehtimalını aradan qaldırır.
No_more_ransom ransom virusu kompüteri yoluxdurarkən öz fayllarını saxlamaq üçün bir neçə fərqli kataloqdan istifadə edə bilər. Məsələn C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Sistem32. Qovluqda csrss.exe faylı yaradılır ki, bu da virusun icra oluna bilən faylının surətidir. Fidyə proqramı daha sonra Windows reyestrində qeyd yaradır: HKCU\Software\Microsoft\Windows\CurrentVersion\Run bölməsində Client Server Runtime Subsystem adlı açar. Bu, virusun şifrələməyə davam etməsinə imkan verir. istifadəçi nədənsə kompüteri söndürürsə.
Başladıqdan dərhal sonra virus şifrələnəcək faylları müəyyən etmək üçün şəbəkə və bulud yaddaşı da daxil olmaqla bütün mövcud sürücüləri skan edir. no_more_ransom ransom virusu şifrələnəcək fayl qrupunu müəyyən etmək üçün fayl adı uzantısından istifadə edir. Virusun bu versiyası çox sayda müxtəlif növ faylları, o cümlədən ümumi olanları şifrələyir:
3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hv , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menyu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, cüzdan, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Fayl şifrələndikdən dərhal sonra o, yeni ad və uzantı alır.no_more_ransom. Bundan sonra virus bütün disklərdə və İş masasında şifrələnmiş faylların şifrəsini açmaq üçün təlimatları ehtiva edən README.txt, README1.txt, README2.txt... adları ilə mətn sənədləri yaradır.
no_more_ransom ransomware proqramı masaüstündə xəbərdarlıq göstərməklə qorxutma taktikalarından fəal şəkildə istifadə edir. Bu yolla qurbanı tərəddüd etmədən kompüter identifikatorunu virus müəllifinin e-poçt ünvanına göndərməyə məcbur etməyə çalışaraq, fayllarını geri qaytarmağa çalışın.
Mənim kompüterim no_more_ransom ransom virusuna yoluxub?
Kompüterinizin no_more_ransom ransom virusuna yoluxduğunu müəyyən etmək olduqca asandır. Əgər şəxsi fayllarınızın əvəzinə qəribə adlar və no_more_ransom uzantılı fayllar görünürsə, deməli kompüteriniz yoluxmuşdur. Bundan əlavə, infeksiya əlaməti qovluqlarınızda README adlı faylın olmasıdır. Bu faylda no_more_ransom fayllarının şifrəsini açmaq üçün təlimatlar olacaq. Belə bir faylın məzmununun nümunəsi aşağıda verilmişdir.
Fayllarınız şifrələnib.
Onların şifrəsini açmaq üçün kodu göndərməlisiniz:
(kompüter identifikatoru)
e-poçt ünvanına [email protected].
Sonra bütün lazımi təlimatları alacaqsınız.
Şifrəni özünüz açmaq cəhdləri məlumatın geri qaytarıla bilməyən itkisinə səbəb olacaq.
Əgər hələ də cəhd etmək istəyirsinizsə, əvvəlcə fayllarınızın ehtiyat nüsxəsini çıxarın, əks halda
onları dəyişdirərək, şifrənin açılması heç bir şəraitdə qeyri-mümkün olacaq.
48 saat ərzində yuxarıda göstərilən ünvana cavab almasanız (və yalnız bu halda!),
rəy formasından istifadə edin. Bu iki yolla edilə bilər:
1) Tor Brauzerini linkdən yükləyin və quraşdırın: https://www.torproject.org/download/download-easy.html.en
Tor Brauzerinin ünvan çubuğunda ünvanı daxil edin:
və Enter düyməsini basın. Əlaqə forması olan səhifə yüklənəcək.
2) İstənilən brauzerdə ünvanlardan birinə keçin:Kompüterinizdəki bütün vacib fayllar şifrələnmişdir.
Faylların şifrəsini açmaq üçün aşağıdakı kodu göndərməlisiniz:
(kompüter identifikatoru)
e-poçt ünvanına [email protected].
Sonra bütün lazımi təlimatları alacaqsınız.
Şifrəni özünüz açmaq üçün edilən bütün cəhdlər yalnız məlumatlarınızın geri qaytarılmayan itkisi ilə nəticələnəcək.
Əgər siz hələ də onların şifrəsini özünüz açmağa cəhd etmək istəyirsinizsə, əvvəlcə ehtiyat nüsxəsini çıxarın, çünki
faylların daxilində hər hansı dəyişiklik olarsa, şifrənin açılması qeyri-mümkün olacaqdır.
Əgər 48 saatdan çox müddət ərzində yuxarıda göstərilən e-poçtdan cavab almamısınızsa (və yalnız bu halda!),
rəy formasından istifadə edin. Bunu iki yolla edə bilərsiniz:
1) Tor brauzerini buradan yükləyin:
https://www.torproject.org/download/download-easy.html.en
Onu quraşdırın və ünvan çubuğuna aşağıdakı ünvanı yazın:
http://cryptsen7fo43rr6.onion/
Enter düyməsini basın və sonra rəy forması olan səhifə yüklənəcək.
2) İstənilən brauzerdə aşağıdakı ünvanlardan birinə keçin:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
no_more_ransom ransom virusu tərəfindən şifrələnmiş faylların şifrəsini necə açmaq olar?
.no_more_ransom faylları üçün hazırda heç bir deşifrə yoxdur. Ransomware virusu dəfələrlə qurbana güclü şifrələmə alqoritmindən istifadə edildiyini bildirir. Bu o deməkdir ki, şəxsi açar olmadan faylların şifrəsini açmaq demək olar ki, mümkün deyil. Açar seçimi metodundan istifadə də açarın böyük uzunluğuna görə seçim deyil. Buna görə də, təəssüf ki, yalnız virusun müəlliflərinə bütün tələb olunan məbləği (9000 rubl və ya daha çox) ödəmək, şifrə açma açarını əldə etməyə çalışmağın yeganə yoludur.
Ödənişdən sonra virus müəlliflərinin sizinlə əlaqə saxlayacağına və fayllarınızın şifrəsini açmaq üçün lazım olan açarı verəcəyinə heç bir zəmanət yoxdur. Bundan əlavə, başa düşməlisiniz ki, virus tərtibatçılarına pul ödəməklə, siz özünüz onları yeni viruslar yaratmağa təşviq edirsiniz.
no_more_ransom ransom virusunu necə çıxarmaq olar?
Başlamazdan əvvəl bilməlisiniz ki, virusu silməyə başlamaq və faylları özünüz bərpa etməyə cəhd etməklə siz virusun müəlliflərinə tələb etdikləri məbləği ödəməklə faylların şifrəsini açmaq imkanına mane olursunuz.
Kaspersky Virus Removal Tool (KVRT) və Malwarebytes Anti-malware (MBAM) müxtəlif növ aktiv ransomware viruslarını aşkar edə bilər və onları kompüterinizdən asanlıqla silə bilər, AMMA onlar şifrələnmiş faylları bərpa edə bilmirlər.
Klaviaturanızda Windows və R düymələrini eyni anda basın. Run başlığı ilə kiçik bir pəncərə açılacaq və içərisinə aşağıdakıları daxil edin:
Enter düyməsini basın.
Qeydiyyat redaktoru işə düşəcək. Redaktə menyusunu açın və Tap düyməsini basın. Daxil edin:
Müştəri Server İş Zamanı Alt Sistemi
Enter düyməsini basın.
Aşağıdakı şəkildə göstərildiyi kimi üzərinə sağ klikləyərək Sil seçimini etməklə bu parametri silin. Çox diqqətli olun!
Reyestr redaktorunu bağlayın.
Kompüterinizi yenidən başladın. C:\Documents and Settings\All Users\Application Data\Windows\ kataloqunu açın və csrss.exe faylını silin.
Aşağıdakı linkə klikləməklə HijackThis proqramını yükləyin.
Bir neçə son söz
Bu təlimatlara əməl etməklə kompüteriniz no_more_ransom ransom virusundan təmizlənəcək. Hər hansı bir sualınız varsa və ya köməyə ehtiyacınız varsa, bizimlə əlaqə saxlayın.
2016-cı ilin sonunda dünya NO_MORE_RANSOM adlı istifadəçi sənədlərini və multimedia məzmununu şifrələyən çox qeyri-trivial Trojan virusunun hücumuna məruz qaldı. Bu təhlükəyə məruz qaldıqdan sonra faylların şifrəsini necə açmaq olar, daha sonra müzakirə olunacaq. Bununla belə, hücuma məruz qalan bütün istifadəçilərə vahid texnikanın olmadığı barədə dərhal xəbərdarlıq etməyə dəyər. Bu, ən qabaqcıllardan birinin istifadəsi və virusun kompüter sisteminə və ya hətta yerli şəbəkəyə nüfuz etmə dərəcəsi ilə bağlıdır (baxmayaraq ki, əvvəlcə şəbəkənin təsiri üçün nəzərdə tutulmayıb).
NO_MORE_RANSOM virusu nədir və necə işləyir?
Ümumiyyətlə, virusun özü adətən kompüter sisteminə nüfuz edən və istifadəçi fayllarını (adətən multimedia) şifrələyən I Love You kimi troyanlar sinfi kimi təsnif edilir. Düzdür, əgər ata yalnız şifrələmə ilə fərqlənirdisə, bu virus bir vaxtlar DA_VINCI_COD adlı sensasiyalı təhlükədən çox şey götürüb, ransomware funksiyalarını birləşdirib.
İnfeksiyadan sonra audio, video, qrafika və ya ofis sənədlərinin əksər fayllarına mürəkkəb paroldan ibarət NO_MORE_RANSOM genişləndirilməsi ilə uzun ad verilir.
Onları açmağa çalışdığınız zaman ekranda faylların şifrələndiyini bildirən bir mesaj görünür və onların şifrəsini açmaq üçün müəyyən məbləğ ödəmək lazımdır.
Təhdid sistemə necə daxil olur?
NO_MORE_RANSOM-a məruz qaldıqdan sonra yuxarıda göstərilən növlərdən hər hansı birinin fayllarının şifrəsini necə açmaq sualını hələlik tək buraxaq və virusun kompüter sisteminə necə nüfuz etməsi texnologiyasına keçək. Təəssüf ki, necə səslənsə də, bunun üçün köhnə sübut edilmiş üsuldan istifadə olunur: e-poçt ünvanına əlavəsi olan e-poçt göndərilir və onu açdıqdan sonra istifadəçi zərərli kod alır.
Gördüyümüz kimi, bu texnika orijinal deyil. Bununla belə, mesaj mənasız mətn kimi gizlədilə bilər. Və ya əksinə, məsələn, böyük şirkətlərdən danışırıqsa, hansısa müqavilənin şərtlərini dəyişdirmək. Aydındır ki, adi məmur sərmayə açır, sonra isə fəlakətli nəticə əldə edir. Ən parlaq hadisələrdən biri məşhur 1C paketinin verilənlər bazalarının şifrələnməsi idi. Və bu artıq ciddi məsələdir.
NO_MORE_RANSOM: sənədlərin şifrəsini necə açmaq olar?
Ancaq yenə də əsas suala toxunmağa dəyər. Şübhəsiz ki, hər kəs faylların şifrəsini necə açmaqla maraqlanır. NO_MORE_RANSOM virusunun öz hərəkət ardıcıllığı var. İstifadəçi infeksiyadan dərhal sonra şifrəni açmağa çalışırsa, bunun hələ də bir yolu var. Təhlükə sistemdə möhkəm şəkildə qurulubsa, təəssüf ki, mütəxəssislərin köməyi olmadan edə bilməzsiniz. Ancaq çox vaxt gücsüz olurlar.
Təhlükə vaxtında aşkar edilərsə, yalnız bir yol var - antivirus şirkətlərinin dəstək xidmətləri ilə əlaqə saxlayın (hələ bütün sənədlər şifrələnməyib), bir neçə əlçatmaz fayl göndərin və orijinalların təhlili əsasında çıxarıla bilən mediada saxlanılırsa, əvvəllər yoluxmuş sənədləri bərpa etməyə çalışın, əvvəlcə eyni flash sürücüyə hələ də açmaq üçün mövcud olan hər şeyi kopyalayaraq (baxmayaraq ki, virusun bu cür sənədlərə nüfuz etməməsinə tam zəmanət yoxdur). Bundan sonra, əmin olmaq üçün media ən azı bir antivirus skaneri ilə yoxlanılmalıdır (heç vaxt bilmirsiniz).
Alqoritm
Onu da qeyd etmək lazımdır ki, virus şifrləmə üçün RSA-3072 alqoritmindən istifadə edir ki, bu da əvvəllər istifadə olunan RSA-2048 texnologiyasından fərqli olaraq o qədər mürəkkəbdir ki, düzgün parolun seçilməsi, hətta bütün antivirus laboratoriyalarının kontingenti bu prosesdə iştirak etsə belə. bu, aylar və ya illər çəkə bilər. Beləliklə, NO_MORE_RANSOM-un şifrəsini necə açmaqla bağlı sual kifayət qədər çox vaxt tələb edəcəkdir. Bəs məlumatı dərhal bərpa etməlisinizsə? Əvvəlcə virusun özünü çıxarın.
Bir virusu aradan qaldırmaq mümkündürmü və bunu necə etmək olar?
Əslində bunu etmək çətin deyil. Virusun yaradıcılarının həyasızlığına görə, kompüter sistemindəki təhlükə maskalanmır. Əksinə, yerinə yetirilən hərəkətləri tamamladıqdan sonra onun “özünü çıxarması” belə faydalıdır.
Buna baxmayaraq, əvvəlcə virusun ardınca, yenə də zərərsizləşdirilməlidir. İlk addım KVRT, Malwarebytes, Dr. Web CureIt! və buna bənzər. Xahiş edirik unutmayın: sınaq üçün istifadə olunan proqramlar portativ tipdə olmalıdır (sabit diskə quraşdırmadan və optimal olaraq çıxarıla bilən mediadan işə salınır). Təhlükə aşkar edilərsə, dərhal aradan qaldırılmalıdır.
Bu cür hərəkətlər təmin edilmirsə, əvvəlcə "Tapşırıq meneceri" na getməli və xidmətləri adlarına görə çeşidləyərək içindəki virusla əlaqəli bütün prosesləri bitirməlisiniz (adətən bu Runtime Broker prosesidir).
Tapşırığı aradan qaldırdıqdan sonra sistem qeyd redaktoruna zəng etməlisiniz ("İşlə" menyusunda regedit) və "Müştəri Serverinin İş Zamanı Sistemi" adını (dırnaq işarələri olmadan) axtarmalı və sonra "Tap" nəticələri arasında hərəkət etmək üçün menyudan istifadə etməlisiniz. sonrakı...” tapılan bütün elementləri silmək üçün. Sonra, kompüteri yenidən başlatmalı və axtardığınız prosesin orada olub olmadığını yoxlamaq üçün "Tapşırıq meneceri" ni yoxlamalısınız.
Prinsipcə, yoluxma mərhələsində NO_MORE_RANSOM virusunun şifrəsini necə açmaq məsələsi bu üsuldan istifadə etməklə həll edilə bilər. Onun zərərsizləşdirilməsi ehtimalı, əlbəttə ki, azdır, lakin şans var.
NO_MORE_RANSOM ilə şifrələnmiş faylların şifrəsini necə açmaq olar: ehtiyat nüsxələr
Ancaq az adamın bildiyi və ya hətta təxmin etdiyi başqa bir texnika var. Fakt budur ki, əməliyyat sisteminin özü daim öz kölgə ehtiyat nüsxələrini yaradır (məsələn, bərpa edildikdə) və ya istifadəçi qəsdən belə şəkillər yaradır. Təcrübə göstərir ki, virus məhz bu nüsxələrə təsir etmir (bu, sadəcə olaraq onun strukturunda nəzərdə tutulmayıb, baxmayaraq ki, istisna olunmur).
Beləliklə, NO_MORE_RANSOM-u necə deşifrə etmək problemi onlardan istifadə ilə bağlıdır. Bununla belə, bunun üçün standart Windows alətlərindən istifadə etmək tövsiyə edilmir (və bir çox istifadəçinin gizli nüsxələrə girişi ümumiyyətlə olmayacaq). Buna görə ShadowExplorer yardım proqramından istifadə etməlisiniz (o, portativdir).
Bərpa etmək üçün sadəcə icra olunanı işə salmaq, məlumatları tarixlərə və ya bölmələrə görə çeşidləmək, istədiyiniz nüsxəni (faylın, qovluğun və ya bütün sistemin) seçmək və RMB menyusu vasitəsilə ixrac xəttini istifadə etmək lazımdır. Sonra, sadəcə olaraq cari nüsxənin saxlanacağı qovluğu seçin və sonra standart bərpa prosesindən istifadə edin.
Üçüncü tərəf kommunalları
Əlbəttə ki, NO_MORE_RANSOM-u necə deşifrə etmək probleminə bir çox laboratoriyalar öz həll yollarını təklif edirlər. Məsələn, “Kaspersky Lab” özünün iki modifikasiyada – Rakhini və Rector-da təqdim olunan “Kaspersky Decryptor” proqram məhsulundan istifadə etməyi tövsiyə edir.
Dr.-dan NO_MORE_RANSOM dekoderi kimi oxşar inkişaflar heç də maraqlı görünmür. Veb. Ancaq burada dərhal nəzərə almağa dəyər ki, bu cür proqramların istifadəsi yalnız təhlükə tez aşkar edildikdə, bütün fayllar yoluxmazdan əvvəl əsaslandırılır. Virus sistemdə möhkəm şəkildə qurulubsa (şifrələnmiş fayllar sadəcə onların şifrələnməmiş orijinalları ilə müqayisə edilə bilməyəndə), bu cür proqramlar da faydasız ola bilər.
Nəticə olaraq
Əslində, yalnız bir nəticə özünü göstərir: bu virusla yalnız infeksiya mərhələsində, yalnız ilk fayllar şifrələndikdə mübarizə aparmaq lazımdır. Ümumiyyətlə, şübhəli mənbələrdən alınan e-poçt mesajlarında qoşmaları açmamaq yaxşıdır (bu, yalnız birbaşa kompüterdə quraşdırılmış müştərilərə aiddir - Outlook, Oulook Express və s.). Bundan əlavə, bir şirkət işçisinin sərəncamında müştərilərin və tərəfdaşların ünvanlarının siyahısı varsa, "uyğun olmayan" mesajların açılması tamamilə qeyri-mümkün olur, çünki insanların əksəriyyəti işə müraciət edərkən kommersiya sirri və kibertəhlükəsizliklə bağlı açıqlanmayan müqavilələr imzalayır.
İndi heç kimə sirr deyil ki, mövcud cinayətlərin bütün növləri internetə ötürülüb. Bunlara kiber casusluq, kiber terrorizm, kiber fırıldaqçılıq, kiber oğurluq və bu bloqun mövzusuna uyğun olaraq kiber qəsb və kiber şantaj daxildir.
Onlar çoxdan Rusiyadakı kibercinayətləri oğurluqla eyniləşdirmək, cəzaları artırmaq istəyirdilər, lakin bu məsələ guya hakerlər tərəfindən yaşamağa icazə verilməyən bank strukturlarının təhriki ilə gündəmə gəlib. Bəlkə də belədir. Kim nədən danışır, banklar isə hakerlərdən danışır...
Qarşıdan gələn qanun layihəsində, artıq çirkli su çəlləkləri kimi üstümüzə tökülən müasir “şedevr” sənayesinin lisenziyasız proqramların və audio-video “şedevrlərin” yüklənməsi də qeyd olunur. Yenə də, bütün Ümumdünya Şəbəkəsində vəba kimi yayılan və internetə çıxışı olan dünyanın hər bir ölkəsində hər bir ailəyə təsir edən əsl kibercinayətkarlar üçün deyil, cadugərlərin ovu var.
Bəli, mən Qəsb vəbasından danışıram: kripto-ransomware, şifrələyicilər, blokerlər və hər cür saxtakarlıq, yəni. şifrləyici, bloker kimi görünən proqramlar, ödənişli “təmizlik” təklif edən proqramlar, lakin bu, onların qəsbkar olmasına mane olmur. Onların yaradıcıları hüquq-mühafizə orqanlarından, kriminal mafiyadan, yerli polisdən, Europoldan və İnterpoldan qorxmadan öz “yaradıcılıqlarını” açıq şəkildə internetdə yerləşdirirlər. Avtomatlaşdırılmış Google və Yandex sistemlərinin axtarış nəticələrində reklam edir, reklam olunur və təbliğ olunur.
Kibercinayətlərlə bağlı qanunlar kiminlə mübarizə aparmalı, polis kimi ilk tutmalı, Europol, İnterpol və “K” Direktorluğu bunu müəyyən etməlidir! İnanmaq istərdim ki, bu istiqamətdə iş gecə-gündüz aparılır, amma fakt aydındır: qəsb və kripto pul tələbi klassik virus epidemiyalarını əzən buxar maşını kimi internetin bəlasına və bəlasına çevrilib.
Yeri gəlmişkən, məndə olan məlumata görə, ən çox Ransomware proqramı Ukrayna, Moldova və Rumıniyadan istehsal olunur, əgər Asiyanın Şərqi və Cənub bölgələrini nəzərə almasaq, burada tamamilə fərqli, daha yüksək faiz və səviyyə var. qəsb və haker hücumları. Ukrayna, Moldova və Rumıniyadan bəzi qəsb hücumları Rusiyaya, rusdilli bizneslərə və istifadəçilərə, digərləri isə ABŞ, Avropa və ingilisdilli istifadəçilərə yönəlib.
Son bir neçə il ərzində kompüter istifadəçilərinin şifrlədikləri və oxunmaz hala gətirdikləri, blokladıqları və əlçatmaz etdikləri, köçürdükləri, gizlətdikləri fayllara girişi geri qaytarmaq üçün fidyə tələb edən ransomware, saxta ransomware, ransomware blokerləri və digərləri ilə qarşılaşma ehtimalı daha yüksək olmuşdur. silindi ... Bu necə mümkün oldu?
Zərərli proqramların yayılmasının bir cinayətkarın və ya təcrübəsiz bir proqramçının məsuliyyəti olduğu günlər çoxdan keçdi.İndiki vaxtda kibercinayətkarlar çox vaxt komanda şəklində işləyirlər, çünki... belə birgə iş daha çox qazanc gətirir. Məsələn, bitkoinlərdə fidyə ödənilməsinə əsaslanan qəsb biznes modelinin (RaaS) inkişafı ilə bir qrup texniki dəstək göstərə, tövsiyələr yaza və çat və ya e-poçt vasitəsilə yeni qurbanlara necə və harada satın ala, dəyişdirə, köçürə biləcəklərini söyləyə bilər. sonrakı ödəniş fidyəsi üçün bitkoinlər. Digər qrup ransomware proqramlarını inkişaf etdirir, yeniləyir və sazlayır. Üçüncü qrup sığınacaq və yaşayış təmin edir. Dördüncü qrup C&C ilə işləyir və idarə edir iş komanda mərkəzindən. Beşincisi maliyyə məsələləri ilə məşğul olur və tərəfdaşlarla işləyir. Altıncısı kompromislər edir və saytları yoluxdurur... RaaS-in inkişafı ilə ransomware nə qədər mürəkkəb və geniş yayılsa, bir o qədər çox komanda iştirak edir və onların yerinə yetirdiyi proseslər.
Kripto-ransomware hücumu ilə qarşılaşdıqda, qurbanlar çətin bir sualla qarşılaşırlar: fidyəni ödəməlidirlərmi? və ya fayllara əlvida deyin? Anonimliklərini təmin etmək üçün kibercinayətkarlar Tor şəbəkəsindən istifadə edir və Bitcoin kriptovalyutasında fidyə tələb edirlər. 2016-cı ilin iyun ayına olan məlumata görə, 1 BTC-nin pul ekvivalenti artıq 60 min rublu keçib və daha az olmayacaq. Təəssüflər olsun ki, qurbanlar ödəməyə qərar verərək, iştahı sıçrayışla artan kibercinayətkarların gələcək qəsbkarlıq fəaliyyətini istəmədən maliyyələşdirir və hər yeni ödənişlə onların cəzasız qalacağına əmin olurlar.
bax " Top 100 Ən Zəngin Bitcoin Ünvanları və Bitcoin Paylanması“Oradakı kriptovalyuta ilə zəngin milyonçuların əksəriyyəti qeyri-qanuni və hətta cinayətkar üsullarla belə oldu.
Necə olmaq? Bu gün məlumatların şifrəsini açmaq üçün universal bir vasitə yoxdur; Buna görə də, əsas qorunma kimi, ransomware tərəfindən yoluxmanın qarşısını almaq üçün tədbirlər tövsiyə olunur, bunlardan başlıcasıƏn son antivirus qorunması. İstifadəçilərin bu tədbirlər və ransomware və ransomware tərəfindən yaratdığı təhlükələr haqqında məlumatlılığının artırılması da çox vacibdir.Bloqumuz bu məqsədlə yaradılmışdır.Burada hər bir ransomware, saxta kriptoqraf və ya ransomware kimi özünü göstərən bloker haqqında məlumat toplanır.
İkinci bloqumda " Fayl deşifrələri"2016-cı ilin may ayından etibarən Crypto-Ransomware tərəfindən şifrələnmiş faylların pulsuz deşifrə edilməsi üçün yaradılan deşifrələr haqqında məlumat ümumiləşdirilib. Bütün təsvirlər və təlimatlar ilk dəfə rus dilində dərc olunub. Müntəzəm olaraq yoxlayın.
Peşəkar yardım məqsədi ilə 2016-cı ilin yayında Kaspersky Lab, Intel Security, Europol və Hollandiya polisi birgə layihə təşkil etdilər. Artıq fidyə yoxdur", ransomware ilə mübarizə məqsədi daşıyır. Layihə iştirakçıları vebsayt yaradıblaroMoreRansom.org, ransomware haqqında ümumi məlumatı (ingilis dilində), həmçinin şifrələnmiş məlumatların bərpası üçün pulsuz alətləri ehtiva edir. Əvvəlcə LC və McAfee-dən cəmi 4 belə alət var idi.Bu məqalənin yazıldığı gün artıq 7-si var idivə funksionallıq daha da genişləndirildi.
Maraqlıdır ki, bu layihə yalnız dekabr ayında olubəlavə edilmişdir "Ransomware Encryptors" və "File Decryptors" bloqlarımda çoxdan təsvir edilmiş bir qrup deşifrəçi.
Daha Fidyə Yox!
15 dekabr 2016-cı il yeniləməsi:
Layihəyə əvvəllər digər deşifrələri buraxan digər şirkətlər də qoşuldu. İndi artıq 20 kommunal xidmət var (bəziləri hətta iki):
WildFire Decryptor - Kaspersky Lab və Intel Security-dən
Chimera Decryptor - Kaspersky Lab-dan
Teslacrypt Decryptor - Kaspersky Lab və Intel Security-dən
Shade Decryptor - Kaspersky Lab və Intel Security-dən
CoinVault Decryptor - Kaspersky Lab-dan
Rannoh Decryptor - Kaspersky Lab-dan
Rakhni Decryptor - Kaspersky Lab-dan
Jigsaw Decryptor - Check Point-dən
Trend Micro Ransomware File Decryptor - Trend Micro tərəfindən
NMoreira Decryptor - Emsisoft-dan
Ozozalocker Decryptor - Emsisoft-dan
Globe Decryptor - Emsisoft-dan
Globe2 Decryptor - Emsisoft-dan
FenixLocker Decryptor - Emsisoft-dan
Philadelphia Decryptor - Emsisoft tərəfindən
Stampado Decryptor - Emsisoft-dan
Xorist Decryptor - Emsisoft-dan
Nemucod Decryptor - Emsisoft-dan
Gomasom Decryptor - Emsisoft-dan
Linux.Encoder Decryptor - BitDefender-dən
İndi "No More Ransom" 22 ölkədən nümayəndələrdən ibarətdir.
Şifrənin açılmasında uğurlar!!!
Fidyə ödəməyin! Hazır ol! Məlumatlarınızı qoruyun! Yedəkləmələr edin! Bu dəqiqədən istifadə edərək sizə xatırladıram: Qəsb oyun deyil, cinayətdir! Bu oyunları oynamayın.
© Amigo-A (Andrew İvanov): Bütün blog məqalələri
2016-cı ilin sonunda yeni bir ransomware virusu qeyd edildi - NO_MORE_RANSOM. İstifadəçi fayllarına təyin etdiyi uzantıya görə o qədər uzun bir ad aldı.
Mən digər viruslardan, məsələn da_vinci_cod-dan çox şey qəbul etdim. Bu yaxınlarda internetdə göründüyü üçün antivirus laboratoriyaları hələ də onun kodunu deşifrə edə bilməyib. Və çətin ki, yaxın gələcəkdə bunu edə bilsinlər - təkmilləşdirilmiş şifrələmə alqoritmi istifadə olunur. Beləliklə, fayllarınız “no_more_ransom” uzantısı ilə şifrələnibsə, nə edəcəyinizi anlayaq.
Təsvir və fəaliyyət prinsipi
2017-ci ilin əvvəlində bir çox forumlar istifadəçilərin təhlükəni aradan qaldırmaq üçün kömək istədikləri “no_more_ransom virusu faylları şifrələdi” mesajları ilə dolu idi. Təkcə şəxsi kompüterlər deyil, bütün təşkilatlar (xüsusilə 1C verilənlər bazasından istifadə edənlər) hücuma məruz qalıb. Bütün qurbanlar üçün vəziyyət təxminən eynidir: onlar e-poçtdan əlavə açdılar və bir müddət sonra fayllar No_more_ransom uzantısını aldılar. Ransomware virusu heç bir problem olmadan bütün məşhur antivirus proqramlarından yan keçdi.
Ümumiyyətlə, yoluxma prinsipinə əsaslanaraq, No_more_ransom öz sələflərindən fərqlənmir:
No_more_ransom virusunu necə müalicə etmək və ya aradan qaldırmaq olar
No_more_ransom proqramını özünüz işə saldıqdan sonra təcavüzkarların parolundan istifadə edərək fayllara girişi bərpa etmək imkanınızı itirəcəyinizi başa düşmək vacibdir. No_more_ransom-dan sonra faylı bərpa etmək mümkündürmü? Bu günə qədər məlumatların şifrəsini açmaq üçün 100% işləyən alqoritm yoxdur. İstisnalar yalnız tanınmış laboratoriyaların kommunal proqramlarıdır, lakin parol seçimi çox uzun vaxt aparır (aylar, illər). Ancaq aşağıda bərpa haqqında daha çox. Əvvəlcə fidyə verilməyən troyanı (tərcümə - “artıq fidyə yoxdur”) necə müəyyən edəcəyimizi və onu məğlub edəcəyimizi anlayaq. 
Bir qayda olaraq, quraşdırılmış antivirus proqramı ransomware kompüterə daxil olmağa imkan verir - yeni versiyalar tez-tez buraxılır, bunun üçün verilənlər bazalarını buraxmaq üçün sadəcə vaxt yoxdur. Bu tip viruslar kompüterdən olduqca asanlıqla çıxarılır, çünki fırıldaqçılar öz tapşırıqlarını yerinə yetirdikdən (şifrələmə) sonra onların sistemdə qalmasına ehtiyac duymurlar. Onu aradan qaldırmaq üçün pulsuz paylanan hazır yardım proqramlarından istifadə edə bilərsiniz:
Onlardan istifadə etmək çox sadədir: işə salın, diskləri seçin, "Skanı başla" düyməsini basın. Yalnız gözləmək qalır. Bundan sonra, bütün təhdidlərin göstərildiyi bir pəncərə görünəcək. "Sil" düyməsini basın.
Çox güman ki, bu yardım proqramlarından biri ransomware virusunu siləcək. Bu baş vermirsə, əl ilə silmək lazımdır:
Əgər tez bir zamanda bir virus görsəniz və onu aradan qaldırmağı bacarsanız, bəzi məlumatların şifrələnməyəcəyi şansı var. Hücuma məruz qalmamış faylları ayrı bir sürücüdə saxlamaq daha yaxşıdır.
“No_more_ransom” fayllarının şifrəsini açmaq üçün deşifrə yardım proqramları
Qabaqcıl bir haker olmasanız, kodu özünüz tapmaq sadəcə mümkün deyil. Şifrənin açılması xüsusi yardım proqramları tələb edir. Dərhal deyim ki, hər kəs “No_more_ransom” kimi şifrələnmiş faylın şifrəsini aça bilməyəcək. Virus yenidir, ona görə də parolu təxmin etmək çox çətin işdir.
Beləliklə, ilk növbədə, kölgə nüsxələrindən məlumatları bərpa etməyə çalışırıq. Varsayılan olaraq, Windows 7-dən başlayaraq əməliyyat sistemi sənədlərinizin surətlərini müntəzəm olaraq saxlayır. Bəzi hallarda virus nüsxələri silə bilmir. Buna görə pulsuz ShadowExplorer proqramını yükləyirik. Heç bir şey quraşdırmaq lazım deyil - sadəcə onu çıxarmaq lazımdır.
Əgər virus nüsxələri silmirsə, o zaman şifrələnmiş məlumatın təxminən 80-90%-ni bərpa etmək şansı var.
Tanınmış antivirus laboratoriyaları No_more_ransom virusundan sonra faylları bərpa etmək üçün deşifrə proqramları da təklif edir. Bununla belə, bu yardım proqramlarının məlumatlarınızı bərpa edə biləcəyini gözləməməlisiniz. Şifrələyicilər daim təkmilləşdirilir və mütəxəssislərin hər versiya üçün yeniləmələri buraxmağa vaxtı yoxdur. Tərtibatçılara kömək etmək üçün nümunələri antivirus laboratoriyasının texniki dəstəyinə təqdim edin.
No_more_ransom ilə mübarizə aparmaq üçün Kaspersky Decryptor var. Utilit prefiks və Rakhni ilə iki versiyada təqdim olunur (saytımızda onlar haqqında ayrıca məqalələr var). Virusla mübarizə aparmaq və faylların şifrəsini açmaq üçün sadəcə tarama yerlərini seçərək proqramı işə salmaq lazımdır.
Bundan əlavə, parolu təxmin etməyə başlamaq üçün yardım proqramı üçün bloklanmış sənədlərdən birini göstərməlisiniz.
Siz həmçinin Dr.-dan ən yaxşı deşifredici No_more_ransom-u pulsuz yükləyə bilərsiniz. Veb. Utilit matsnu1decrypt adlanır. O, Kaspersky proqramları ilə oxşar ssenari üzrə işləyir. Etməli olduğunuz tək şey skan etmək və onun bitməsini gözləməkdir.