ტრანსკრიპტი no_more_ressom. NO_MORE_RANSOM - როგორ გავშიფროთ დაშიფრული ფაილები? აღარ არის გამოსასყიდის მოცილება კვალი

No_more_ransom ვირუსიარის ახალი ransomware ვირუსი, ვირუსების ცნობილი სერიის გაგრძელება, რომელიც მოიცავს better_call_saul და da_vinci_code-ს. მისი წინა ვერსიების მსგავსად, ეს გამოსასყიდი ვირუსი ვრცელდება სპამის შეტყობინებებით. თითოეული ეს ელფოსტა შეიცავს მიმაგრებულ ფაილს - არქივს, რომელიც თავის მხრივ შეიცავს შესრულებად ფაილს. ვირუსი გააქტიურებულია, როცა მის გახსნას ცდილობ. No_more_ransom ვირუსი შიფრავს სხვადასხვა ტიპის ფაილებს (დოკუმენტები, სურათები, მონაცემთა ბაზები, მათ შორის 1C მონაცემთა ბაზები) მსხვერპლის კომპიუტერზე. დაშიფვრის პროცესის დასრულების შემდეგ ყველა ნაცნობი ფაილი ქრება და ახალი ფაილები უცნაური სახელებით და გაფართოებით .no_more_ransom გამოჩნდება საქაღალდეებში, სადაც დოკუმენტები ინახებოდა. გარდა ამისა, დესკტოპზე გამოჩნდება ქვემოთ მოცემულის მსგავსი შეტყობინება:

No_more_ransom ვირუსი აერთიანებს სხვადასხვა ადრე აღმოჩენილი გამოსასყიდის ფუნქციებს. ვირუსის ავტორების თქმით, ადრინდელი ვერსიებისგან განსხვავებით, რომლებიც იყენებდნენ RSA-2048 დაშიფვრის რეჟიმს 2048 ბიტიანი გასაღების სიგრძით, no_more_ransom ვირუსი იყენებს კიდევ უფრო ძლიერ დაშიფვრის რეჟიმს გასაღების უფრო გრძელი სიგრძით (RSA-3072 დაშიფვრის ალგორითმი).

No_more-ransom virus - უკუკავშირის ფორმა

როდესაც კომპიუტერი ინფიცირებულია no_more_ransom ransomware ვირუსით, ეს მავნე პროგრამა აკოპირებს მის სხეულს სისტემის საქაღალდეში და ამატებს ჩანაწერს Windows-ის რეესტრში, რაც უზრუნველყოფს, რომ ის ავტომატურად დაიწყება ყოველ ჯერზე კომპიუტერის გაშვებისას. რის შემდეგაც ვირუსი იწყებს ფაილების დაშიფვრას. გამოსასყიდი პროგრამა ანიჭებს უნიკალურ ID-ს თითოეულ No_more_ransom ინფიცირებულ კომპიუტერს, რომელიც დაზარალებულმა უნდა გაუგზავნოს ვირუსის ავტორებს, რათა მიიღოს საკუთარი გაშიფვრის გასაღები. ამ შემთხვევაში მსხვერპლმა მნიშვნელოვანი თანხა უნდა გადაიხადოს ფაილების გაშიფვრისთვის.no_more_ransom.

ამ დროისთვის, არ არსებობს 100% ჭეშმარიტად ეფექტური გზა დაშიფრული ფაილების უფასოდ აღდგენისთვის. ამიტომ, ჩვენ გირჩევთ გამოიყენოთ უფასო პროგრამები, როგორიცაა ShadowExplorer და PhotoRec დაშიფრული ფაილების ასლების აღდგენის მიზნით. თუ .no_more_ransom ფაილების გაშიფვრის მეთოდი ხელმისაწვდომი გახდება, ჩვენ დაუყოვნებლივ განვაახლებთ ამ ინსტრუქციას.

როგორ მოხვდება no_more_ransom ransom ვირუსი თქვენს კომპიუტერში

No_more_ransom ვირუსი ვრცელდება ელექტრონული ფოსტით. წერილი შეიცავს თანდართულ ინფიცირებულ დოკუმენტს ან არქივს. ასეთი წერილები იგზავნება ელექტრონული ფოსტის მისამართების უზარმაზარ მონაცემთა ბაზაში. ამ ვირუსის ავტორები იყენებენ შეცდომაში შემყვან სათაურებს და ასოების შინაარსს, ცდილობენ მოატყუონ მომხმარებელი წერილზე მიმაგრებული დოკუმენტის გახსნაში. ზოგიერთი წერილი გვაცნობებს გადასახადის გადახდის აუცილებლობას, სხვები გვთავაზობენ უახლესი ფასების სიას, ზოგი გვთავაზობს სასაცილო ფოტოს გახსნას და ა.შ. ნებისმიერ შემთხვევაში, თანდართული ფაილის გახსნის შედეგი იქნება თქვენი კომპიუტერის გამოსასყიდის ვირუსით დაინფიცირება.

რა არის ransomware ვირუსი no_more_ransom

no_more_ransom ransom ვირუსი არის გამოსასყიდი პროგრამების ოჯახის გაგრძელება, რომელიც მოიცავს სხვა მსგავსი მავნე პროგრამების დიდ რაოდენობას. ეს მავნე პროგრამა გავლენას ახდენს Windows ოპერაციული სისტემების ყველა თანამედროვე ვერსიაზე, მათ შორის Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. ეს ვირუსი იყენებს დაშიფვრის რეჟიმს, რომელიც უფრო ძლიერია ვიდრე RSA-2048 გასაღების სიგრძე 2048 ბიტი. პრაქტიკულად გამორიცხავს კლავიშის უხეში იძულების შესაძლებლობას ფაილების თვითგაშიფვრისთვის.

კომპიუტერის ინფიცირებისას, no_more_ransom ransom ვირუსს შეუძლია გამოიყენოს რამდენიმე განსხვავებული დირექტორია თავისი ფაილების შესანახად. მაგალითად C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ System32. საქაღალდეში იქმნება csrss.exe ფაილი, რომელიც წარმოადგენს ვირუსის შესრულებადი ფაილის ასლს. გამოსასყიდი პროგრამა ქმნის ჩანაწერს Windows რეესტრში: HKCU\Software\Microsoft\Windows\CurrentVersion\Run განყოფილებაში, გასაღები სახელად Client Server Runtime Subsystem. ეს საშუალებას აძლევს ვირუსს გააგრძელოს დაშიფვრა. თუ მომხმარებელი რაიმე მიზეზით გამორთავს კომპიუტერს.

გაშვებისთანავე, ვირუსი სკანირებს ყველა ხელმისაწვდომ დისკს, მათ შორის ქსელსა და ღრუბლოვან საცავს, რათა დაადგინოს ფაილები, რომლებიც დაშიფრული იქნება. no_more_ransom ransom ვირუსი იყენებს ფაილის სახელის გაფართოებას, როგორც ფაილების ჯგუფის იდენტიფიცირებისთვის, რომლებიც დაშიფრული იქნება. ვირუსის ეს ვერსია დაშიფვრავს სხვადასხვა ტიპის ფაილების უზარმაზარ რაოდენობას, მათ შორის ისეთი საერთო, როგორიცაა:

3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .hvpl, . , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .განლაგება, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, საფულე, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .web , .wgz,. wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

ფაილის დაშიფვრისთანავე იგი იღებს ახალ სახელს და გაფართოებას.no_more_ransom. რის შემდეგაც ვირუსი ქმნის ტექსტურ დოკუმენტებს ყველა დისკზე და სამუშაო მაგიდაზე სახელებით README.txt, README1.txt, README2.txt..., რომლებიც შეიცავს ინსტრუქციებს დაშიფრული ფაილების გაშიფვრის შესახებ.

no_more_ransom ransomware აქტიურად იყენებს დაშინების ტაქტიკას დესკტოპზე გაფრთხილების ჩვენებით. ამ გზით ცდილობთ აიძულოთ მსხვერპლი, უყოყმანოდ გაუგზავნოთ კომპიუტერის ID ვირუსის ავტორის ელფოსტის მისამართზე, რათა შეეცადოს მისი ფაილების დაბრუნება.

არის თუ არა ჩემი კომპიუტერი ინფიცირებული no_more_ransom ransom ვირუსით?

საკმაოდ მარტივია იმის დადგენა, არის თუ არა თქვენი კომპიუტერი ინფიცირებული no_more_ransom ransom ვირუსით. თუ თქვენი პირადი ფაილების ნაცვლად გამოჩნდება ფაილები უცნაური სახელებით და no_more_ransom გაფართოებით, მაშინ თქვენი კომპიუტერი ინფიცირებულია. გარდა ამისა, ინფექციის ნიშანია თქვენს დირექტორიაში ფაილის სახელწოდებით README არსებობა. ეს ფაილი შეიცავს ინსტრუქციებს no_more_ransom ფაილების გაშიფვრისთვის. ასეთი ფაილის შინაარსის მაგალითი მოცემულია ქვემოთ.

თქვენი ფაილები დაშიფრულია.
მათი გაშიფვრისთვის, თქვენ უნდა გაგზავნოთ კოდი:
(კომპიუტერის ID)
ელექტრონული ფოსტის მისამართზე [ელფოსტა დაცულია].
შემდეგ თქვენ მიიღებთ ყველა საჭირო ინსტრუქციას.
დამოუკიდებლად გაშიფვრის მცდელობა არ გამოიწვევს ინფორმაციის გამოუსწორებელ დაკარგვას.
თუ მაინც გსურთ სცადოთ, ჯერ გააკეთეთ თქვენი ფაილების სარეზერვო ასლები, წინააღმდეგ შემთხვევაში
მათი შეცვლით, გაშიფვრა შეუძლებელი გახდება ნებისმიერ შემთხვევაში.
თუ არ მიიღებთ პასუხს ზემოთ მოცემულ მისამართზე 48 საათის განმავლობაში (და მხოლოდ ამ შემთხვევაში!),
გამოიყენეთ უკუკავშირის ფორმა. ეს შეიძლება გაკეთდეს ორი გზით:
1) ჩამოტვირთეთ და დააინსტალირეთ Tor ბრაუზერი ბმულიდან: https://www.torproject.org/download/download-easy.html.en
Tor ბრაუზერის მისამართის ზოლში შეიყვანეთ მისამართი:

და დააჭირეთ Enter. გვერდი იტვირთება უკუკავშირის ფორმით.
2) ნებისმიერ ბრაუზერში გადადით ერთ-ერთ მისამართზე:

თქვენს კომპიუტერში არსებული ყველა მნიშვნელოვანი ფაილი დაშიფრულია.
ფაილების გასაშიფრად თქვენ უნდა გამოაგზავნოთ შემდეგი კოდი:
(კომპიუტერის ID)
ელექტრონული ფოსტის მისამართზე [ელფოსტა დაცულია].
შემდეგ თქვენ მიიღებთ ყველა საჭირო ინსტრუქციას.
თქვენ მიერ გაშიფვრის ყველა მცდელობა გამოიწვევს მხოლოდ თქვენი მონაცემების გამოუქცევად დაკარგვას.
თუ თქვენ მაინც გსურთ სცადოთ მათი გაშიფვრა, გთხოვთ, თავდაპირველად გააკეთოთ სარეზერვო ასლი, რადგან
ფაილების შიგნით რაიმე ცვლილების შემთხვევაში გაშიფვრა შეუძლებელი გახდება.
თუ პასუხი არ მიგიღიათ ზემოაღნიშნული ელფოსტიდან 48 საათზე მეტი ხნის განმავლობაში (და მხოლოდ ამ შემთხვევაში!),
გამოიყენეთ უკუკავშირის ფორმა. ამის გაკეთება შეგიძლიათ ორი გზით:
1) ჩამოტვირთეთ Tor ბრაუზერი აქედან:
https://www.torproject.org/download/download-easy.html.en
დააინსტალირეთ და ჩაწერეთ შემდეგი მისამართი მისამართების ზოლში:
http://cryptsen7fo43rr6.onion/
დააჭირეთ Enter-ს და შემდეგ ჩაიტვირთება გამოხმაურების ფორმა.
2) ნებისმიერ ბრაუზერში გადადით შემდეგ მისამართებზე:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

როგორ გავაშიფროთ no_more_ransom ransom ვირუსით დაშიფრული ფაილები?

ამჟამად არ არის ხელმისაწვდომი .no_more_ransom ფაილებისთვის დეშიფრატორი. გამოსასყიდი პროგრამის ვირუსი არაერთხელ ეუბნება მსხვერპლს, რომ გამოიყენება დაშიფვრის ძლიერი ალგორითმი. ეს ნიშნავს, რომ პირადი გასაღების გარეშე ფაილების გაშიფვრა თითქმის შეუძლებელია. გასაღების შერჩევის მეთოდის გამოყენება ასევე არ არის ვარიანტი, გასაღების დიდი სიგრძის გამო. ამიტომ, სამწუხაროდ, მხოლოდ ვირუსის ავტორებისთვის მთელი მოთხოვნილი თანხის გადახდა (9000 რუბლი ან მეტი) ერთადერთი გზაა გაშიფვრის გასაღების მისაღებად.

აბსოლუტურად არანაირი გარანტია არ არსებობს, რომ გადახდის შემდეგ ვირუსის ავტორები დაგიკავშირდებიან და მოგაწოდებენ გასაღებს, რომელიც აუცილებელია თქვენი ფაილების გაშიფვრისთვის. გარდა ამისა, თქვენ უნდა გესმოდეთ, რომ ვირუსების დეველოპერებისთვის ფულის გადახდით, თქვენ თავად მოუწოდებთ მათ შექმნან ახალი ვირუსები.

როგორ წავშალოთ no_more_ransom ransom ვირუსი?

სანამ დაიწყებთ, უნდა იცოდეთ, რომ ვირუსის ამოღების დაწყებით და ფაილების თავად აღდგენის მცდელობით, თქვენ ბლოკავთ ფაილების გაშიფვრის უნარს ვირუსის ავტორებს მათ მიერ მოთხოვნილი თანხის გადახდით.

Kaspersky Virus Removal Tool-ს (KVRT) და Malwarebytes Anti-malware-ს (MBAM) შეუძლია აღმოაჩინოს სხვადასხვა ტიპის აქტიური გამოსასყიდი პროგრამის ვირუსები და ადვილად ამოიღოს მათ თქვენი კომპიუტერიდან, მაგრამ მათ არ შეუძლიათ დაშიფრული ფაილების აღდგენა.

დააჭირეთ Windows და R კლავიშებს თქვენს კლავიატურაზე ერთდროულად. გაიხსნება პატარა ფანჯარა სათაურით Run, რომელშიც შეიყვანეთ:

დააჭირეთ Enter.

დაიწყება რეესტრის რედაქტორი. გახსენით რედაქტირების მენიუ და დააწკაპუნეთ ძებნაზე. შეიყვანეთ:

კლიენტის სერვერის გაშვების ქვესისტემა

დააჭირეთ Enter.

წაშალეთ ეს პარამეტრი მასზე მაუსის მარჯვენა ღილაკით და აირჩიეთ წაშლა, როგორც ეს ნაჩვენებია ქვემოთ მოცემულ ფიგურაში. იყავით ძალიან ფრთხილად!

დახურეთ რეესტრის რედაქტორი.

გადატვირთეთ კომპიუტერი. გახსენით C:\Documents and Settings\All Users\Application Data\Windows\ დირექტორია და წაშალეთ csrss.exe ფაილი.

ჩამოტვირთეთ HijackThis პროგრამა შემდეგ ბმულზე დაწკაპუნებით.

რამდენიმე საბოლოო სიტყვა

ამ ინსტრუქციის დაცვით, თქვენი კომპიუტერი გასუფთავდება no_more_ransom ransom ვირუსისგან. თუ თქვენ გაქვთ რაიმე შეკითხვა ან გჭირდებათ დახმარება, გთხოვთ დაგვიკავშირდეთ.

2016 წლის ბოლოს, მსოფლიოს თავს დაესხა ძალიან არატრივიალური ტროას ვირუსი, რომელიც შიფრავს მომხმარებლის დოკუმენტებს და მულტიმედია კონტენტს, სახელწოდებით NO_MORE_RANSOM. როგორ გავაშიფროთ ფაილები ამ საფრთხის გამოვლენის შემდეგ, შემდგომში განხილული იქნება. თუმცა, დაუყოვნებლივ უნდა გავაფრთხილოთ ყველა მომხმარებელი, რომელსაც თავს დაესხნენ, რომ არ არსებობს ერთიანი ტექნიკა. ეს გამოწვეულია ერთ-ერთი ყველაზე მოწინავე გამოყენებით და ვირუსის შეღწევადობის ხარისხით კომპიუტერულ სისტემაში ან თუნდაც ადგილობრივ ქსელში (თუმცა ის თავდაპირველად არ იყო შექმნილი ქსელის ზემოქმედებისთვის).

რა არის NO_MORE_RANSOM ვირუსი და როგორ მუშაობს იგი?

ზოგადად, თავად ვირუსი ჩვეულებრივ კლასიფიცირდება, როგორც ტროიანების კლასები, როგორიცაა I Love You, რომლებიც შედიან კომპიუტერულ სისტემაში და შიფრავენ მომხმარებლის ფაილებს (ჩვეულებრივ, მულტიმედიას). მართალია, თუ წინამორბედი განსხვავდებოდა მხოლოდ დაშიფვრაში, მაშინ ამ ვირუსმა ბევრი ისესხა ოდესღაც სენსაციური საფრთხისგან, სახელწოდებით DA_VINCI_COD, რომელიც აერთიანებს გამოსასყიდის პროგრამის ფუნქციებს.

ინფექციის შემდეგ, აუდიო, ვიდეო, გრაფიკული ან საოფისე დოკუმენტების ფაილების უმეტესობას ენიჭება გრძელი სახელი გაფართოებით NO_MORE_RANSOM, რომელიც შეიცავს რთულ პაროლს.

როდესაც ცდილობთ მათ გახსნას, ეკრანზე გამოჩნდება შეტყობინება, რომელშიც ნათქვამია, რომ ფაილები დაშიფრულია და მათი გაშიფვრისთვის საჭიროა გარკვეული თანხის გადახდა.

როგორ შედის საფრთხე სისტემაში?

მოდით, მარტო დავტოვოთ კითხვა, თუ როგორ უნდა გაშიფროთ რომელიმე ზემოაღნიშნული ტიპის ფაილი NO_MORE_RANSOM-ის ზემოქმედების შემდეგ და მივმართოთ ტექნოლოგიას, თუ როგორ აღწევს ვირუსი კომპიუტერულ სისტემაში. სამწუხაროდ, როგორც არ უნდა ჟღერდეს, ამისათვის გამოიყენება ძველი აპრობირებული მეთოდი: ელ.წერილი დანართით იგზავნება ელექტრონული ფოსტის მისამართზე და გახსნისთანავე მომხმარებელი იღებს მავნე კოდს.

როგორც ვხედავთ, ეს ტექნიკა არ არის ორიგინალური. თუმცა, შეტყობინება შეიძლება შენიღბული იყოს უაზრო ტექსტად. ან პირიქით, მაგალითად, თუ ვსაუბრობთ მსხვილ კომპანიებზე, რაღაც ხელშეკრულების პირობების შეცვლა. გასაგებია, რომ ჩვეულებრივი კლერკი ხსნის ინვესტიციას და შემდეგ იღებს სავალალო შედეგს. ერთ-ერთი ყველაზე ნათელი აფეთქება იყო პოპულარული 1C პაკეტის მონაცემთა ბაზების დაშიფვრა. და ეს უკვე სერიოზული საკითხია.

NO_MORE_RANSOM: როგორ გავშიფროთ დოკუმენტები?

მაგრამ მაინც ღირს მთავარი საკითხის განხილვა. რა თქმა უნდა, ყველას აინტერესებს ფაილების გაშიფვრა. NO_MORE_RANSOM ვირუსს აქვს მოქმედებების საკუთარი თანმიმდევრობა. თუ მომხმარებელი შეეცდება გაშიფვრას დაინფიცირებისთანავე, ამის გაკეთება ჯერ კიდევ არსებობს. თუ საფრთხე მყარად დაიმკვიდრა სისტემაში, სამწუხაროდ, ეს შეუძლებელია სპეციალისტების დახმარების გარეშე. მაგრამ ისინი ხშირად უძლურები აღმოჩნდებიან.

თუ საფრთხე დროულად იქნა აღმოჩენილი, არსებობს მხოლოდ ერთი გზა - დაუკავშირდით ანტივირუსული კომპანიების მხარდაჭერის სამსახურებს (ჯერ ყველა დოკუმენტი არ არის დაშიფრული), გაგზავნეთ რამდენიმე მიუწვდომელი ფაილი და ორიგინალების ანალიზის საფუძველზე. შენახული მოსახსნელ მედიაზე, შეეცადეთ აღადგინოთ უკვე ინფიცირებული დოკუმენტები, ჯერ იმავე ფლეშ დისკზე დააკოპირეთ ყველაფერი, რაც ჯერ კიდევ ხელმისაწვდომია გასახსნელად (თუმცა ასევე არ არსებობს სრული გარანტია, რომ ვირუსი არ შეაღწია ასეთ დოკუმენტებში). ამის შემდეგ, დარწმუნებული უნდა იყოს, მედია უნდა შემოწმდეს მინიმუმ ანტივირუსული სკანერით (თქვენ არასოდეს იცით).

ალგორითმი

აღსანიშნავია ისიც, რომ ვირუსი იყენებს RSA-3072 ალგორითმს დაშიფვრისთვის, რომელიც, ადრე გამოყენებული RSA-2048 ტექნოლოგიისგან განსხვავებით, იმდენად რთულია, რომ სწორი პაროლის არჩევა, თუნდაც ანტივირუსული ლაბორატორიების მთელი კონტინგენტი იყოს ჩართული. ამას შეიძლება თვეები ან წლები დასჭირდეს. ამრიგად, კითხვა, თუ როგორ უნდა გაშიფროთ NO_MORE_RANSOM, საკმაოდ დიდ დროს მოითხოვს. მაგრამ რა მოხდება, თუ დაუყოვნებლივ გჭირდებათ ინფორმაციის აღდგენა? პირველ რიგში, ამოიღეთ ვირუსი.

შესაძლებელია თუ არა ვირუსის მოცილება და როგორ გავაკეთოთ ეს?

სინამდვილეში, ამის გაკეთება არ არის რთული. ვიმსჯელებთ ვირუსის შემქმნელთა თავხედობით, კომპიუტერულ სისტემაში საფრთხე არ არის შენიღბული. პირიქით, მისთვის სასარგებლოა კიდეც "თავის მოშორება" შესრულებული მოქმედებების დასრულების შემდეგ.

მიუხედავად ამისა, თავდაპირველად, ვირუსის შემდეგ, მაინც უნდა განეიტრალდეს. პირველი ნაბიჯი არის პორტატული უსაფრთხოების საშუალებების გამოყენება, როგორიცაა KVRT, Malwarebytes, Dr. ვებ CureIt! და მსგავსი. გთხოვთ გაითვალისწინოთ: ტესტირებისთვის გამოყენებული პროგრამები უნდა იყოს პორტატული ტიპის (მყარ დისკზე ინსტალაციის გარეშე და, ოპტიმალურად, გაშვებული მოსახსნელი მედიიდან). თუ საფრთხე აღმოჩენილია, ის დაუყოვნებლივ უნდა მოიხსნას.

თუ ასეთი ქმედებები არ არის გათვალისწინებული, ჯერ უნდა გადახვიდეთ "სამუშაო მენეჯერთან" და დაასრულოთ მასში ვირუსთან დაკავშირებული ყველა პროცესი, დაალაგოთ სერვისები სახელების მიხედვით (ჩვეულებრივ, ეს არის Runtime Broker პროცესი).

ამოცანის ამოღების შემდეგ, თქვენ უნდა გამოიძახოთ სისტემის რეესტრის რედაქტორი (regedit "Run" მენიუში) და მოძებნოთ სახელი "Client Server Runtime System" (ციტატების გარეშე), შემდეგ კი გამოიყენოთ მენიუ შედეგების გადასაადგილებლად "ძებნა". შემდეგი...“ ყველა ნაპოვნი ელემენტის წასაშლელად. შემდეგი, თქვენ უნდა გადატვირთოთ კომპიუტერი და შეამოწმოთ "სამუშაო მენეჯერი", რათა ნახოთ, არის თუ არა პროცესი, რომელსაც ეძებთ.

პრინციპში, საკითხი, თუ როგორ უნდა გაშიფროთ NO_MORE_RANSOM ვირუსი ინფექციის ეტაპზე, შეიძლება გადაწყდეს ამ მეთოდის გამოყენებით. მისი განეიტრალების ალბათობა, რა თქმა უნდა, მცირეა, მაგრამ არის შანსი.

როგორ გავაშიფროთ NO_MORE_RANSOM-ით დაშიფრული ფაილები: სარეზერვო ასლები

მაგრამ არსებობს კიდევ ერთი ტექნიკა, რომლის შესახებაც ცოტამ თუ იცის ან თუნდაც გამოიცნობს. ფაქტია, რომ თავად ოპერაციული სისტემა მუდმივად ქმნის საკუთარ ჩრდილოვან სარეზერვო ასლებს (მაგალითად, აღდგენის შემთხვევაში), ან მომხმარებელი განზრახ ქმნის ასეთ სურათებს. როგორც პრაქტიკა გვიჩვენებს, ვირუსი არ მოქმედებს ზუსტად ამ ასლებზე (ეს უბრალოდ არ არის გათვალისწინებული მის სტრუქტურაში, თუმცა არ არის გამორიცხული).

ასე რომ, NO_MORE_RANSOM-ის გაშიფვრის პრობლემა მათ გამოყენებამდე მოდის. ამასთან, არ არის რეკომენდებული ამისთვის სტანდარტული Windows ინსტრუმენტების გამოყენება (და ბევრ მომხმარებელს საერთოდ არ ექნება წვდომა ფარულ ასლებზე). ამიტომ, თქვენ უნდა გამოიყენოთ ShadowExplorer პროგრამა (ის პორტატულია).

აღსადგენად, თქვენ უბრალოდ უნდა გაუშვათ შესრულებადი, დაალაგოთ ინფორმაცია თარიღების ან სექციების მიხედვით, აირჩიოთ სასურველი ასლი (ფაილის, საქაღალდის ან მთელი სისტემის) და გამოიყენოთ ექსპორტის ხაზი RMB მენიუში. შემდეგი, თქვენ უბრალოდ აირჩიეთ დირექტორია, რომელშიც შეინახება მიმდინარე ასლი და შემდეგ გამოიყენეთ აღდგენის სტანდარტული პროცესი.

მესამე მხარის კომუნალური მომსახურება

რა თქმა უნდა, NO_MORE_RANSOM-ის გაშიფვრის პრობლემასთან დაკავშირებით, ბევრი ლაბორატორია გვთავაზობს საკუთარ გადაწყვეტილებებს. მაგალითად, კასპერსკის ლაბორატორია გვირჩევს გამოიყენოს საკუთარი პროგრამული პროდუქტი Kaspersky Decryptor, რომელიც წარმოდგენილია ორ მოდიფიკაციაში - რახინი და რექტორი.

არანაკლებ საინტერესოდ გამოიყურება მსგავსი განვითარება, როგორიცაა NO_MORE_RANSOM დეკოდერი Dr. ვებ. მაგრამ აქ დაუყოვნებლივ უნდა გავითვალისწინოთ, რომ ასეთი პროგრამების გამოყენება გამართლებულია მხოლოდ იმ შემთხვევაში, თუ საფრთხე სწრაფად გამოვლინდება, სანამ ყველა ფაილი დაინფიცირდება. თუ ვირუსი მტკიცედ არის დამკვიდრებული სისტემაში (როდესაც დაშიფრული ფაილები უბრალოდ შეუძლებელია მათი დაშიფრული ორიგინალების შედარება), ასეთი აპლიკაციები შეიძლება ასევე უსარგებლო იყოს.

Როგორც შედეგი

სინამდვილეში, მხოლოდ ერთი დასკვნა გვთავაზობს თავის თავს: აუცილებელია ამ ვირუსთან ბრძოლა ექსკლუზიურად ინფექციის ეტაპზე, როდესაც მხოლოდ პირველი ფაილებია დაშიფრული. ზოგადად, უმჯობესია არ გახსნათ დანართები საეჭვო წყაროებიდან მიღებულ ელ.ფოსტის შეტყობინებებში (ეს ეხება ექსკლუზიურად პირდაპირ კომპიუტერზე დაინსტალირებულ კლიენტებს - Outlook, Oulook Express და ა.შ.). გარდა ამისა, თუ კომპანიის თანამშრომელს ხელთ აქვს კლიენტებისა და პარტნიორების მისამართების სია, „არასათანადო“ შეტყობინებების გახსნა სრულიად არაპრაქტიკული ხდება, რადგან სამუშაოზე განაცხადის დროს ადამიანების უმეტესობა ხელს აწერს კომერციულ საიდუმლოებასა და კიბერუსაფრთხოების შესახებ შეთანხმებებს.

როდესაც კრიპტო-გამოსყიდვის შეტევის წინაშე დგანან, მსხვერპლს უჩნდება რთული კითხვა: უნდა გადაიხადონ თუ არა გამოსასყიდი? ან დაემშვიდობე ფაილებს? მათი ანონიმურობის უზრუნველსაყოფად, კიბერკრიმინალები იყენებენ Tor ქსელს და ითხოვენ გამოსასყიდს ბიტკოინის კრიპტოვალუტაში. 2016 წლის ივნისის მდგომარეობით, 1 BTC-ის ფულადი ექვივალენტი უკვე აღემატება 60 ათას რუბლს და არ გახდება ნაკლები. სამწუხაროდ, გადახდის გადაწყვეტის შემდეგ, დაზარალებულები უნებურად აფინანსებენ კიბერკრიმინალების შემდგომ გამოძალვას, რომელთა მადაც ნახტომით იზრდება და ყოველი ახალი გადახდისას ისინი რწმუნდებიან თავიანთ დაუსჯელობაში.

Შეხედე " ტოპ 100 ყველაზე მდიდარი ბიტკოინის მისამართი და ბიტკოინის დისტრიბუცია„კრიპტოვალუტით მდიდარი მილიონერების უმეტესობა იქ გახდა ასეთი არალეგალური და თუნდაც კრიმინალური მეთოდებით.

წარმატებებს გისურვებთ გაშიფვრაში!!!

2016 წლის ბოლოს, ახალი ransomware ვირუსი შენიშნა - NO_MORE_RANSOM. მან მიიღო ასეთი გრძელი სახელი გაფართოების გამო, რომელსაც ანიჭებს მომხმარებლის ფაილებს.

ბევრი სხვა ვირუსებიდან მივიღე, მაგალითად da_vinci_cod-დან. მას შემდეგ, რაც ის ახლახან გამოჩნდა ინტერნეტში, ანტივირუსულმა ლაბორატორიებმა ჯერ ვერ შეძლეს მისი კოდის გაშიფვრა. და ნაკლებად სავარაუდოა, რომ მათ ამის გაკეთება უახლოეს მომავალში შეძლებენ - გამოიყენება დაშიფვრის გაუმჯობესებული ალგორითმი. მოდით გავარკვიოთ, რა უნდა გავაკეთოთ, თუ თქვენი ფაილები დაშიფრულია "no_more_ransom" გაფართოებით.

მოქმედების აღწერა და პრინციპი

2017 წლის დასაწყისში ბევრი ფორუმი სავსე იყო შეტყობინებებით „no_more_ransom virus has encrypted files“, რომელშიც მომხმარებლები დახმარებას ითხოვდნენ საფრთხის მოსაშორებლად. თავს დაესხნენ არა მხოლოდ კერძო კომპიუტერებს, არამედ მთელ ორგანიზაციებს (განსაკუთრებით მათ, ვინც იყენებს 1C მონაცემთა ბაზას). სიტუაცია ყველა მსხვერპლისთვის დაახლოებით იგივეა: მათ გახსნეს დანართი ელფოსტიდან და გარკვეული პერიოდის შემდეგ ფაილებმა მიიღეს No_more_ransom გაფართოება. ransomware ვირუსმა უპრობლემოდ გადალახა ყველა პოპულარული ანტივირუსული პროგრამა.

ზოგადად, ინფექციის პრინციპიდან გამომდინარე, No_more_ransom არ განსხვავდება მისი წინამორბედებისგან:

როგორ განვკურნოთ ან მოვიშოროთ No_more_ransom ვირუსი

მნიშვნელოვანია გვესმოდეს, რომ მას შემდეგ რაც თავად დაიწყებთ No_more_ransom-ს, თქვენ დაკარგავთ შესაძლებლობას აღადგინოთ წვდომა ფაილებზე თავდამსხმელთა პაროლის გამოყენებით. შესაძლებელია თუ არა ფაილის აღდგენა No_more_ransom-ის შემდეგ? დღემდე, არ არსებობს 100% სამუშაო ალგორითმი მონაცემების გაშიფვრისთვის. ერთადერთი გამონაკლისი არის კომუნალური საშუალებები ცნობილი ლაბორატორიებიდან, მაგრამ პაროლის შერჩევას ძალიან დიდი დრო სჭირდება (თვეები, წლები). მაგრამ უფრო მეტი აღდგენის შესახებ ქვემოთ. პირველ რიგში, მოდით გავარკვიოთ, როგორ ამოვიცნოთ ტროას გამოსყიდვა, რომელიც აღარ არის გამოსასყიდი (თარგმანი - "აღარ გამოსასყიდი") და დავამარცხოთ იგი.

როგორც წესი, დაინსტალირებული ანტივირუსული პროგრამა საშუალებას აძლევს გამოსასყიდ პროგრამას შევიდეს კომპიუტერში - ხშირად გამოდის ახალი ვერსიები, რისთვისაც უბრალოდ დრო არ არის მონაცემთა ბაზების გამოშვებისთვის. ამ ტიპის ვირუსები საკმაოდ მარტივად იშლება კომპიუტერიდან, რადგან თაღლითებს არ სჭირდებათ ისინი დარჩენა სისტემაში დავალების შესრულების შემდეგ (დაშიფვრა). მის მოსაშორებლად შეგიძლიათ გამოიყენოთ მზა კომუნალური საშუალებები, რომლებიც ნაწილდება უფასოდ:

მათი გამოყენება ძალიან მარტივია: გაშვება, აირჩიეთ დისკები, დააწკაპუნეთ სკანირების დაწყებაზე. რჩება მხოლოდ ლოდინი. ამის შემდეგ გამოჩნდება ფანჯარა, რომელშიც ყველა საფრთხე გამოჩნდება. დააჭირეთ "წაშლა".

სავარაუდოდ, ერთ-ერთი ამ კომუნალური პროგრამა ამოიღებს გამოსასყიდის ვირუსს. თუ ეს არ მოხდა, მაშინ აუცილებელია ხელით ამოღება:

თუ სწრაფად შეამჩნევთ ვირუსს და მოახერხებთ მის ამოღებას, მაშინ არის შანსი, რომ ზოგიერთი მონაცემი არ იყოს დაშიფრული. უმჯობესია შეინახოთ ფაილები, რომლებიც არ განხორციელებულა თავდასხმა ცალკეულ დისკზე.

გაშიფვრის საშუალებები "No_more_ransom" ფაილების გაშიფვრისთვის

უბრალოდ შეუძლებელია კოდის პოვნა თავად, თუ არ ხართ მოწინავე ჰაკერი. გაშიფვრა მოითხოვს სპეციალურ კომუნალურ პროგრამებს. მაშინვე ვიტყვი, რომ ყველას არ შეეძლება დაშიფრული ფაილის გაშიფვრა, როგორიცაა "No_more_ransom". ვირუსი ახალია, ამიტომ პაროლის გამოცნობა ძალიან რთული ამოცანაა.

ასე რომ, პირველ რიგში, ჩვენ ვცდილობთ აღვადგინოთ მონაცემები ჩრდილოვანი ასლებიდან. სტანდარტულად, ოპერაციული სისტემა, დაწყებული Windows 7-ით, რეგულარულად ინახავს თქვენი დოკუმენტების ასლებს. ზოგიერთ შემთხვევაში, ვირუსს არ შეუძლია ასლების წაშლა. ამიტომ, ჩვენ ჩამოტვირთეთ უფასო პროგრამა ShadowExplorer. თქვენ არ გჭირდებათ არაფრის დაყენება - თქვენ უბრალოდ უნდა გახსნათ იგი.

თუ ვირუსი არ წაშლის ასლებს, მაშინ არის დაშიფრული ინფორმაციის დაახლოებით 80-90% აღდგენის შანსი.

ცნობილი ანტივირუსული ლაბორატორიები ასევე გვთავაზობენ გაშიფვრის პროგრამებს No_more_ransom ვირუსის შემდეგ ფაილების აღდგენისთვის. თუმცა, არ უნდა ელოდოთ, რომ ეს კომუნალური საშუალებები შეძლებენ თქვენი მონაცემების აღდგენას. შიფრატორები მუდმივად იხვეწება და სპეციალისტებს უბრალოდ არ აქვთ დრო, რომ გამოაქვეყნონ განახლებები თითოეული ვერსიისთვის. გაგზავნეთ ნიმუშები ანტივირუსული ლაბორატორიის ტექნიკურ მხარდაჭერაში დეველოპერების დასახმარებლად.

No_more_ransom-თან საბრძოლველად არის Kaspersky Decryptor. პროგრამა წარმოდგენილია ორ ვერსიაში პრეფიქსებით და რახნით (მათ შესახებ ცალკე სტატიებია ჩვენს ვებგვერდზე). ვირუსთან საბრძოლველად და ფაილების გაშიფვრისთვის, თქვენ უბრალოდ უნდა გაუშვათ პროგრამა, შეარჩიოთ სკანირების ადგილები.

გარდა ამისა, თქვენ უნდა მიუთითოთ ერთ-ერთი დაბლოკილი დოკუმენტი, რომ პროგრამამ პაროლის გამოცნობა დაიწყოს.

ასევე შეგიძლიათ უფასოდ ჩამოტვირთოთ საუკეთესო დეშიფრატორი No_more_ransom Dr. ვებ. პროგრამას ეწოდება matsnu1decrypt. ის მუშაობს მსგავსი სცენარის მიხედვით კასპერსკის პროგრამებთან. ყველაფერი რაც თქვენ უნდა გააკეთოთ არის სკანირების გაშვება და დაელოდეთ მის დასრულებას.