Nuorašas no_more_ransom. NO_MORE_RANSOM – kaip iššifruoti užšifruotus failus? Daugiau jokių išpirkų nepašalina pėdsakų
No_more_ransom virus yra naujas išpirkos reikalaujantis virusas, pagarsėjusios virusų serijos, apimančios better_call_saul ir da_vinci_code, tęsinys. Kaip ir ankstesnės versijos, šis išpirkos reikalaujantis virusas plinta per el. pašto šiukšles. Kiekviename iš šių laiškų yra pridedamas failas – archyvas, kuriame savo ruožtu yra vykdomasis failas. Kai bandote jį atidaryti, virusas suaktyvinamas. Virusas No_more_ransom užšifruoja įvairių tipų failus (dokumentus, paveikslėlius, duomenų bazes, įskaitant 1C duomenų bazes) aukos kompiuteryje. Pasibaigus šifravimo procesui, visi žinomi failai išnyksta, o aplankuose, kuriuose buvo saugomi dokumentai, atsiranda nauji failai keistais pavadinimais ir plėtiniu .no_more_ransom. Be to, darbalaukyje pasirodo pranešimas, panašus į toliau pateiktą:
No_more_ransom virusas sujungia įvairių anksčiau aptiktų išpirkos reikalaujančių programų funkcijas. Pasak viruso autorių, skirtingai nei ankstesnėse versijose, kuriose buvo naudojamas RSA-2048 šifravimo režimas, kurio rakto ilgis yra 2048 bitai, virusas no_more_ransom naudoja dar stipresnį šifravimo režimą su ilgesniu rakto ilgiu (šifravimo algoritmas RSA-3072).
No_more-ransom virus – atsiliepimų forma
Kai kompiuteris yra užkrėstas no_more_ransom ransomware virusu, ši kenkėjiška programa nukopijuoja savo kūną į sistemos aplanką ir prideda įrašą į Windows registrą, užtikrindama, kad jis automatiškai įsijungs kiekvieną kartą paleidus kompiuterį. Po to virusas pradeda šifruoti failus. Išpirkos programa kiekvienam No_more_ransom užkrėstam kompiuteriui priskiria unikalų ID, kurį auka turi išsiųsti viruso autoriams, kad gautų savo iššifravimo raktą. Tokiu atveju auka turi sumokėti nemažą sumą už failų iššifravimą.no_more_ransom.
Šiuo metu nėra 100% tikrai veikiančio būdo nemokamai atkurti užšifruotus failus. Todėl siūlome naudoti nemokamas programas, tokias kaip ShadowExplorer ir PhotoRec, norėdami atkurti šifruotų failų kopijas. Jei pasirodys .no_more_ransom failų iššifravimo metodas, mes nedelsdami atnaujinsime šią instrukciją.
Kaip no_more_ransom ransom virusas patenka į jūsų kompiuterį
No_more_ransom virusas plinta el. Laiške yra pridėtas užkrėstas dokumentas arba archyvas. Tokie laiškai siunčiami į didžiulę elektroninio pašto adresų duomenų bazę. Šio viruso autoriai naudoja klaidinančias laiškų antraštes ir turinį, bandydami išvilioti vartotoją atidaryti prie laiško pridėtą dokumentą. Vieni laiškai informuoja apie būtinybę apmokėti sąskaitą, kituose siūloma pasižiūrėti naujausią kainoraštį, treti – atsiversti smagią nuotrauką ir t.t. Bet kokiu atveju, atidarius pridėtą failą, jūsų kompiuteris bus užkrėstas išpirkos virusu.
Kas yra išpirkos reikalaujantis virusas no_more_ransom
No_more_ransom ransom virusas yra ransomware šeimos, kuri apima daugybę kitų panašių kenkėjiškų programų, tęsinys. Ši kenkėjiška programa užkrečia visas šiuolaikines Windows operacinių sistemų versijas, įskaitant Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Šis virusas naudoja šifravimo režimą, kuris yra stipresnis nei RSA-2048, kurio rakto ilgis yra 2048 bitai, praktiškai pašalina galimybę atspėti failų savaiminio iššifravimo raktą.
Užkrėsdamas kompiuterį no_more_ransom ransom virusas savo failams saugoti gali naudoti kelis skirtingus katalogus. Pavyzdžiui, C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Sistema32. Aplanke sukuriamas failas csrss.exe, kuris yra viruso vykdomojo failo kopija. Tada išpirkos reikalaujanti programa sukuria įrašą „Windows“ registre: HKCU\Software\Microsoft\Windows\CurrentVersion\Run skyriuje raktą, pavadintą Client Server Runtime Subsystem. Tai leidžia virusui tęsti šifravimą. jei vartotojas dėl kokių nors priežasčių išjungia kompiuterį.
Iš karto po paleidimo virusas nuskaito visus turimus diskus, įskaitant tinklo ir debesies saugyklą, kad nustatytų failus, kurie bus užšifruoti. No_more_ransom ransom virusas naudoja failo pavadinimo plėtinį kaip būdą identifikuoti failų grupę, kuri bus užšifruota. Ši viruso versija užšifruoja daugybę skirtingų tipų failų, įskaitant tokius įprastus kaip:
3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hv , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, piniginė, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, . , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Iškart po to, kai failas yra užšifruotas, jis gauna naują pavadinimą ir plėtinį.no_more_ransom. Po to virusas visuose diskuose ir Darbastalyje sukuria tekstinius dokumentus pavadinimais README.txt, README1.txt, README2.txt..., kuriuose yra instrukcijos, kaip iššifruoti šifruotus failus.
No_more_ransom ransomware aktyviai naudoja bauginimo taktiką, darbalaukyje rodydama įspėjimą. Tokiu būdu bandant priversti auką nedvejodama nusiųsti kompiuterio ID viruso autoriaus el. pašto adresu, kad būtų pamėginta susigrąžinti savo failus.
Ar mano kompiuteris užkrėstas no_more_ransom ransom virusu?
Gana lengva nustatyti, ar jūsų kompiuteris yra užkrėstas no_more_ransom ransom virusu. Jei vietoj jūsų asmeninių failų pasirodo failai keistais pavadinimais ir plėtiniu no_more_ransom, vadinasi, jūsų kompiuteris yra užkrėstas. Be to, infekcijos požymis yra failo README buvimas jūsų kataloguose. Šiame faile bus instrukcijos, kaip iššifruoti no_more_ransom failus. Tokio failo turinio pavyzdys pateikiamas toliau.
Jūsų failai buvo užšifruoti.
Norėdami juos iššifruoti, turite išsiųsti kodą:
(kompiuterio ID)
pašto adresu [apsaugotas el. paštas].
Toliau gausite visas reikalingas instrukcijas.
Bandymai iššifruoti patys nesukels nieko, išskyrus negrįžtamą informacijos praradimą.
Jei vis tiek norite pabandyti, pirmiausia pasidarykite atsargines failų kopijas, kitu atveju
juos pakeitus, iššifravimas taps neįmanomas jokiomis aplinkybėmis.
Jei per 48 valandas negausite atsakymo aukščiau nurodytu adresu (ir tik šiuo atveju!),
naudokite atsiliepimų formą. Tai galima padaryti dviem būdais:
1) Atsisiųskite ir įdiekite „Tor Browser“ iš šios nuorodos: https://www.torproject.org/download/download-easy.html.en
„Tor“ naršyklės adreso juostoje įveskite adresą:
ir paspauskite Enter. Bus įkeltas puslapis su atsiliepimų forma.
2) Bet kurioje naršyklėje eikite į vieną iš adresų:Visi svarbūs failai jūsų kompiuteryje buvo užšifruoti.
Norėdami iššifruoti failus, turėtumėte atsiųsti šį kodą:
(kompiuterio ID)
elektroninio pašto adresu [apsaugotas el. paštas].
Tada gausite visas reikalingas instrukcijas.
Visi jūsų pačių bandymai iššifruoti sukels tik neatšaukiamą jūsų duomenų praradimą.
Jei vis tiek norite pabandyti juos iššifruoti patys, iš pradžių pasidarykite atsarginę kopiją, nes
iššifravimas taps neįmanomas, jei failų viduje bus atlikti pakeitimai.
Jei daugiau nei 48 valandas (ir tik šiuo atveju!) negavote atsakymo iš anksčiau nurodyto el.
naudokite atsiliepimų formą. Tai galite padaryti dviem būdais:
1) Atsisiųskite „Tor“ naršyklę iš čia:
https://www.torproject.org/download/download-easy.html.en
Įdiekite jį ir adreso juostoje įveskite šį adresą:
http://cryptsen7fo43rr6.onion/
Paspauskite Enter ir bus įkeltas puslapis su atsiliepimų forma.
2) Bet kurioje naršyklėje eikite į vieną iš šių adresų:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
Kaip iššifruoti failus, užšifruotus no_more_ransom ransom viruso?
Šiuo metu nėra .no_more_ransom failų iššifravimo priemonės. Išpirkos reikalaujantis virusas ne kartą praneša aukai, kad naudojamas stiprus šifravimo algoritmas. Tai reiškia, kad be privataus rakto failų iššifruoti beveik neįmanoma. Naudoti rakto pasirinkimo metodą taip pat negalima dėl didelio rakto ilgio. Todėl, deja, tik sumokėjus viruso autoriams visą prašomą sumą (9000 ar daugiau rublių) galima pabandyti gauti iššifravimo raktą.
Nėra jokios garantijos, kad po apmokėjimo viruso autoriai susisieks su jumis ir suteiks raktą, reikalingą failams iššifruoti. Be to, jūs turite suprasti, kad mokėdami pinigus virusų kūrėjams jūs patys skatinate juos kurti naujus virusus.
Kaip pašalinti no_more_ransom ransom virusą?
Prieš pradėdami, turite žinoti, kad pradėdami šalinti virusą ir patys bandydami atkurti failus, blokuojate galimybę iššifruoti failus, sumokėdami viruso autoriams jų prašomą sumą.
„Kaspersky Virus Removal Tool“ (KVRT) ir „Malwarebytes Anti-malware“ (MBAM) gali aptikti įvairių tipų aktyvius išpirkos reikalaujančius virusus ir lengvai juos pašalinti iš jūsų kompiuterio, BET jie negali atkurti užšifruotų failų.
Vienu metu paspauskite klaviatūros „Windows“ ir R klavišus. Atsidarys mažas langas pavadinimu Vykdyti, kuriame įveskite:
Paspausk Enter.
Bus paleista registro rengyklė. Atidarykite meniu Redaguoti ir spustelėkite Rasti. Įveskite:
Kliento serverio vykdymo posistemis
Paspausk Enter.
Ištrinkite šį parametrą dešiniuoju pelės mygtuku spustelėdami jį ir pasirinkdami Ištrinti, kaip parodyta paveikslėlyje žemiau. Būkite labai atsargūs!
Uždarykite registro rengyklę.
Iš naujo paleiskite kompiuterį. Atidarykite katalogą C:\Documents and Settings\All Users\Application Data\Windows\ ir ištrinkite failą csrss.exe.
Atsisiųskite HijackThis programą spustelėdami šią nuorodą.
Keletas paskutinių žodžių
Vykdydami šias instrukcijas, jūsų kompiuteris bus išvalytas nuo no_more_ransom ransom viruso. Jei turite klausimų ar reikia pagalbos, susisiekite su mumis.
2016 metų pabaigoje pasaulį užpuolė labai nebanalus Trojos arklys, šifruojantis vartotojų dokumentus ir daugialypės terpės turinį, vadinamas NO_MORE_RANSOM. Toliau bus aptarta, kaip iššifruoti failus susidūrus su šia grėsme. Tačiau verta nedelsiant įspėti visus užpultus vartotojus, kad nėra vienodos technikos. Taip yra dėl vieno iš pažangiausių naudojimo ir viruso įsiskverbimo į kompiuterinę sistemą ar net į vietinį tinklą laipsnio (nors iš pradžių jis nebuvo skirtas tinklo poveikiui).
Kas yra NO_MORE_RANSOM virusas ir kaip jis veikia?
Apskritai, pats virusas paprastai priskiriamas prie Trojos arklių, tokių kaip I Love You, klasei, kurie prasiskverbia į kompiuterio sistemą ir užšifruoja vartotojo failus (dažniausiai daugialypės terpės). Tiesa, jei pirmtakas skyrėsi tik šifravimu, tai šis virusas daug pasiskolino iš kadaise sensacingos grėsmės, pavadintos DA_VINCI_COD, apjungiančios išpirkos reikalaujančios programos funkcijas.
Po užsikrėtimo daugumai garso, vaizdo, grafikos ar biuro dokumentų failų priskiriamas ilgas pavadinimas su plėtiniu NO_MORE_RANSOM, kuriame yra sudėtingas slaptažodis.
Bandant juos atidaryti, ekrane pasirodo pranešimas, kad failai yra užšifruoti, o norint juos iššifruoti reikia sumokėti tam tikrą sumą.
Kaip grėsmė patenka į sistemą?
Kol kas palikime ramybėje klausimą, kaip iššifruoti bet kurio iš aukščiau išvardytų tipų failus po NO_MORE_RANSOM poveikio, o pažiūrėkime į technologiją, kaip virusas prasiskverbia į kompiuterinę sistemą. Deja, kad ir kaip tai skambėtų, tam naudojamas senas patikrintas būdas: elektroninio pašto adresu išsiunčiamas laiškas su priedu, kurį atidarius vartotojas gauna kenkėjišką kodą.
Kaip matome, ši technika nėra originali. Tačiau pranešimas gali būti užmaskuotas kaip beprasmis tekstas. Arba priešingai, pavyzdžiui, jei kalbame apie dideles įmones, pakeisti kokios nors sutarties sąlygas. Aišku, kad paprastas klerkas atidaro investiciją, o tada gauna pražūtingą rezultatą. Vienas ryškiausių protrūkių buvo populiaraus 1C paketo duomenų bazių šifravimas. O tai jau rimtas reikalas.
NO_MORE_RANSOM: kaip iššifruoti dokumentus?
Tačiau vis tiek verta išspręsti pagrindinę problemą. Žinoma, visi domisi, kaip iššifruoti failus. NO_MORE_RANSOM virusas turi savo veiksmų seką. Jei vartotojas bando iššifruoti iškart po užsikrėtimo, vis tiek yra tam tikras būdas tai padaryti. Jei grėsmė tvirtai įsitvirtino sistemoje, deja, be specialistų pagalbos to padaryti nepavyks. Tačiau jie dažnai pasirodo bejėgiai.
Jei grėsmė buvo aptikta laiku, yra tik vienas būdas – kreiptis į antivirusinių kompanijų palaikymo tarnybas (dar ne visi dokumentai užšifruoti), išsiųsti porą nepasiekiamų failų ir, remiantis originalų analize Išsaugotus keičiamojoje laikmenoje, pabandykite atkurti jau užkrėstus dokumentus, pirmiausia nukopijuodami į tą patį „flash drive“ viską, ką dar galima atidaryti (nors taip pat nėra visiškos garantijos, kad virusas nepateko į tokius dokumentus). Po to, norėdami įsitikinti, laikmeną reikia patikrinti bent jau antivirusiniu skaitytuvu (niekada nežinote).
Algoritmas
Taip pat verta paminėti, kad virusas šifravimui naudoja RSA-3072 algoritmą, kuris, skirtingai nei anksčiau naudota RSA-2048 technologija, yra toks sudėtingas, kad pasirenkant tinkamą slaptažodį, net jei tame dalyvauja visas antivirusinių laboratorijų kontingentas. tai gali užtrukti mėnesius ar metus. Taigi, klausimas, kaip iššifruoti NO_MORE_RANSOM, užtruks gana daug laiko. Bet ką daryti, jei reikia nedelsiant atkurti informaciją? Pirmiausia pašalinkite patį virusą.
Ar įmanoma pašalinti virusą ir kaip tai padaryti?
Tiesą sakant, tai padaryti nėra sunku. Sprendžiant iš viruso kūrėjų įžūlumo, grėsmė kompiuterinėje sistemoje nėra užmaskuota. Atvirkščiai, jai netgi naudinga „pašalinti save“ atlikus atliktus veiksmus.
Nepaisant to, iš pradžių, sekant viruso pavyzdžiu, jis vis tiek turėtų būti neutralizuotas. Pirmas žingsnis yra naudoti nešiojamas saugos priemones, tokias kaip KVRT, Malwarebytes, Dr. Web CureIt! ir panašiai. Atkreipkite dėmesį: testavimui naudojamos programos turi būti nešiojamojo tipo (neįdiegtos standžiajame diske ir, optimaliausia, paleidžiamos iš keičiamosios laikmenos). Jei aptinkama grėsmė, ji turi būti nedelsiant pašalinta.
Jei tokie veiksmai nepateikiami, pirmiausia turite eiti į „Task Manager“ ir jame baigti visus su virusu susijusius procesus, rūšiuodami paslaugas pagal pavadinimą (paprastai tai yra „Runtime Broker“ procesas).
Pašalinus užduotį, reikia iškviesti sistemos registro rengyklę (regedit meniu „Vykdyti“) ir ieškoti pavadinimo „Client Server Runtime System“ (be kabučių), o tada naudokite meniu, kad pereitumėte per rezultatus „Rasti“. kitas ...“, kad ištrintumėte visus rastus elementus. Tada turite iš naujo paleisti kompiuterį ir patikrinti „Task Manager“, kad pamatytumėte, ar ten yra ieškomas procesas.
Iš esmės klausimas, kaip iššifruoti NO_MORE_RANSOM virusą infekcijos stadijoje, gali būti išspręstas naudojant šį metodą. Jo neutralizavimo tikimybė, žinoma, maža, tačiau tikimybė yra.
Kaip iššifruoti failus, užšifruotus naudojant NO_MORE_RANSOM: atsarginės kopijos
Tačiau yra ir kita technika, apie kurią mažai kas žino ar net spėja. Faktas yra tas, kad pati operacinė sistema nuolat kuria savo šešėlines atsargines kopijas (pavyzdžiui, atkūrimo atveju), arba vartotojas sąmoningai sukuria tokius vaizdus. Kaip rodo praktika, virusas neturi įtakos būtent šioms kopijoms (tai tiesiog nenumatyta jo struktūroje, nors tai ir neatmetama).
Taigi problema, kaip iššifruoti NO_MORE_RANSOM, kyla dėl jų naudojimo. Tačiau tam nerekomenduojama naudoti standartinių „Windows“ įrankių (o daugelis vartotojų iš viso neturės prieigos prie paslėptų kopijų). Todėl turite naudoti „ShadowExplorer“ įrankį (ji yra nešiojama).
Norėdami atkurti, tereikia paleisti vykdomąjį failą, surūšiuoti informaciją pagal datas ar skyrius, pasirinkti norimą kopiją (failo, aplanko ar visos sistemos) ir naudoti eksporto eilutę per RMB meniu. Tada tiesiog pasirinkite katalogą, kuriame bus išsaugota dabartinė kopija, ir naudokite standartinį atkūrimo procesą.
Trečiųjų šalių komunalinės paslaugos
Žinoma, daugelis laboratorijų siūlo savo sprendimus, kaip iššifruoti NO_MORE_RANSOM. Pavyzdžiui, „Kaspersky Lab“ rekomenduoja naudoti savo programinės įrangos produktą „Kaspersky Decryptor“, pateiktą dviem modifikacijomis – „Rakhini“ ir „Rector“.
Panašūs patobulinimai, tokie kaip NO_MORE_RANSOM dekoderis iš Dr., atrodo ne mažiau įdomiai. Žiniatinklis. Tačiau čia verta nedelsiant atsižvelgti į tai, kad tokių programų naudojimas yra pateisinamas tik tuo atveju, jei grėsmė greitai aptinkama, kol visi failai nebuvo užkrėsti. Jei virusas yra tvirtai įsitvirtinęs sistemoje (kai užšifruotų failų tiesiog negalima palyginti su nešifruotais originalais), tokios programos taip pat gali būti nenaudingos.
Kaip rezultatas
Tiesą sakant, išplaukia tik viena išvada: su šiuo virusu reikia kovoti tik užsikrėtimo stadijoje, kai užšifruojami tik pirmieji failai. Apskritai geriausia neatidaryti iš abejotinų šaltinių gautų el. laiškų priedų (tai taikoma išskirtinai klientams, įdiegtiems tiesiai kompiuteryje – Outlook, Oulook Express ir kt.). Be to, jei įmonės darbuotojas disponuoja klientų ir partnerių adresų sąrašu, atverti „netinkamus“ pranešimus tampa visiškai nepraktiška, nes dauguma žmonių, kreipdamiesi į darbą, pasirašo neatskleidimo sutartis dėl komercinių paslapčių ir kibernetinio saugumo.
Dabar niekam ne paslaptis, kad visi esami nusikaltimų tipai buvo perkelti į internetą. Tai apima kibernetinį šnipinėjimą, kibernetinį terorizmą, kibernetinį sukčiavimą, kibernetinę vagystę ir, atsižvelgiant į šio tinklaraščio temą, kibernetinį turto prievartavimą ir kibernetinį šantažą.
Jie jau seniai norėjo sutapatinti kibernetinius nusikaltimus Rusijoje su vagystėmis, griežtindami bausmes, tačiau šis klausimas buvo iškeltas bankų struktūrų, kurioms esą neleidžia gyventi įsilaužėliai, kurstymu. Gal taip ir yra. Kas apie ką kalba, o bankai apie programišius...
Būsimame įstatymo projekte kalbama ir apie šiuolaikinės „šedevrų“ pramonės nelicencijuotų programų ir garso-vaizdo „šedevrų“ parsisiuntimą, kuris mums jau liejasi kaip nešvaraus vandens kubilas. Vėl ieškoma raganų, o ne tikrų kibernetinių nusikaltėlių, kurie kaip maras išplito visame pasauliniame tinkle ir paveikė kiekvieną šeimą kiekvienoje pasaulio šalyje, turinčioje prieigą prie interneto.
Taip, aš kalbu apie turto prievartavimo marą: kriptografines išpirkos programas, šifruotojus, blokatorius ir visokius klastotes, t.y. programas, kurios apsimeta šifruotojais, blokatoriais, programos, siūlančios „valymą“ už tam tikrą mokestį, tačiau tai netrukdo jiems būti turto prievartautojais. Jų kūrėjai atvirai skelbia savo „kūrybą“ internete, nebijodami teisėsaugos pareigūnų, kriminalinės mafijos, vietos policijos, Europolo ir Interpolo. Jie reklamuojasi, yra reklamuojami ir reklamuojami automatizuotų Google ir Yandex sistemų paieškos rezultatuose.
Štai su kuo turėtų kovoti įstatymai dėl elektroninių nusikaltimų, ką pirmiausia turėtų patraukti policija, tai turėtų išsiaiškinti Europolas, Interpolas ir „K“ direktoratas! Norėtųsi tikėti, kad šia kryptimi dirbama dieną ir naktį, tačiau faktas aiškus: turto prievartavimas ir kriptovaliutų turto prievartavimas tapo interneto rykšte ir maru, tarsi garo riedulys, triuškinantis klasikines virusines epidemijas.
Beje, mano turimais duomenimis, didžiausias Ransomware kiekis gaminamas iš Ukrainos, Moldovos ir Rumunijos, jei neskaičiuoti Rytų ir Pietų Azijos regionų, kur yra visiškai kitoks, didesnis procentas ir lygis. turto prievartavimą ir įsilaužėlių atakas. Kai kurios prievartavimo atakos iš Ukrainos, Moldovos ir Rumunijos nukreiptos prieš Rusiją, rusakalbius verslus ir vartotojus, o kitos nukreiptos į JAV, Europą ir angliškai kalbančius vartotojus.
Per pastaruosius porą metų kompiuterių vartotojai daug dažniau susiduria su išpirkos reikalaujančiomis programomis, netikrais išpirkos reikalaujančiais programine įranga, išpirkos programų blokatoriais ir kitais, kurie reikalauja išpirkos už tai, kad sugrąžintų prieigą prie failų, kuriuos jie užšifravo ir padarė neįskaitomais, užblokavo ir padarė nepasiekiamus, perkėlė, paslėpė, ištrinta ... Kaip tai tapo įmanoma?
Seniai praėjo tie laikai, kai už kenkėjiškų programų platinimą buvo atsakingas vienas nusikaltėlis ar pradedantysis programuotojas.Šiais laikais kibernetiniai nusikaltėliai dažniausiai dirba kaip komanda, nes... toks bendras darbas atneša daugiau pelno. Pavyzdžiui, sukūrus turto prievartavimo verslo modelį (RaaS), pagrįstą išpirkos mokėjimu bitkoinais, viena grupė gali teikti techninę pagalbą, rašyti rekomendacijas ir per pokalbį ar el. paštą naujoms aukoms pasakyti, kaip ir kur jos gali pirkti, keistis, pervesti. bitkoinų už vėlesnį mokėjimo išpirką. Kita grupė kuria, atnaujina ir derina išpirkos reikalaujančias programas. Trečioji grupė suteikia priedangą ir apgyvendinimą. Ketvirtoji grupė dirba su C&C ir administruoja dirbti iš komandų centro. Penktasis sprendžia finansinius klausimus ir dirba su partneriais. Šeštasis kompromituoja ir užkrečia svetaines... Tobulėjant RaaS, kuo sudėtingesnė ir labiau paplitusi išpirkos reikalaujanti programinė įranga, tuo daugiau dalyvauja komandų ir jų atliekamų procesų.
Kai susiduria su kriptovaliutų išpirkos programinės įrangos ataka, aukos susiduria su sudėtingu klausimu: ar jie turėtų sumokėti išpirką? arba atsisveikinti su failais? Siekdami užtikrinti savo anonimiškumą, kibernetiniai nusikaltėliai naudojasi Tor tinklu ir reikalauja išpirkos Bitcoin kriptovaliuta. 2016 m. birželio mėn. 1 BTC piniginis ekvivalentas jau viršija 60 tūkstančių rublių ir netaps mažesnis. Deja, nusprendusios susimokėti aukos nejučiomis finansuoja tolesnę kibernetinių nusikaltėlių prievartavimo veiklą, kurių apetitas auga didžiuliais šuoliais ir su kiekvienu nauju mokėjimu įsitikina savo nebaudžiamumu.
Žiūrėti į " 100 turtingiausių Bitcoin adresų ir Bitcoin platinimo„Dauguma ten kriptovaliutų turtingų milijonierių tokiais tapo nelegaliais ir net nusikalstamais metodais.
Kaip būti?Šiandien nėra universalaus duomenų iššifravimo įrankio, yra tik sukurtos atskiros komunalinės paslaugos, tinkamos konkretiems šifruotojams. Todėl kaip pagrindinę apsaugą rekomenduojamos priemonės, apsaugančios nuo išpirkos reikalaujančių programų, kurių pagrindinė yraNaujausia antivirusinė apsauga. Taip pat labai svarbu didinti vartotojų informuotumą apie šias priemones ir išpirkos reikalaujančių programų bei išpirkos reikalaujančių programų keliamas grėsmes.Mūsų tinklaraštis buvo sukurtas tam tikslui.Čia renkama informacija apie kiekvieną išpirkos reikalaujančią programinę įrangą, netikrą kriptografą ar blokatorių, apsimetantį kaip išpirkos reikalaujančią programinę įrangą.
Mano antrame tinklaraštyje " Failų iššifruotojai„Nuo 2016 metų gegužės mėnesio apibendrinama informacija apie iššifruotojus, kurie yra sukurti nemokamai iššifruoti „Crypto-Ransomware“ užšifruotus failus. Visi aprašymai ir instrukcijos pirmą kartą publikuojami rusų kalba. Tikrinkite reguliariai.
Siekdami profesionalios pagalbos 2016 m. vasarą „Kaspersky Lab“, „Intel Security“, Europolas ir Nyderlandų policija surengė bendrą projektą „ Daugiau jokios išpirkos“, skirtas kovoti su išpirkos programomis. Projekto dalyviai sukūrė interneto svetainęoMoreRansom.org, kuriame yra bendra informacija apie išpirkos reikalaujančias programas (anglų kalba), taip pat nemokami įrankiai, skirti atkurti užšifruotus duomenis. Iš pradžių buvo tik 4 tokie LC ir McAfee įrankiai.Šio straipsnio rašymo dieną jų buvo jau 7ir funkcionalumas buvo toliau išplėstas.
Pastebėtina, kad šis projektas buvo tik gruodžio mėn papildyta iššifruotojų grupė, kuri ilgą laiką buvo aprašyta mano tinklaraščiuose „Ransomware Encryptors“ ir „File Decryptors“.
Daugiau jokios išpirkos!
Atnaujinimas 2016 m. gruodžio 15 d.:
Prie projekto prisijungė ir kitos įmonės, kurios anksčiau buvo išleidusios kitus iššifruotojus. Dabar jau yra 20 komunalinių paslaugų (kai kurios net dvi):
WildFire Decryptor – iš Kaspersky Lab ir Intel Security
Chimera Decryptor – iš Kaspersky Lab
Teslacrypt Decryptor – iš Kaspersky Lab ir Intel Security
„Shade Decryptor“ – iš „Kaspersky Lab“ ir „Intel Security“.
CoinVault Decryptor – iš Kaspersky Lab
Rannoh Decryptor – iš Kaspersky Lab
Rakhni Decryptor – iš Kaspersky Lab
Jigsaw Decryptor – iš „Check Point“.
„Trend Micro“ Ransomware failų iššifravimo priemonė – „Trend Micro“.
NMoreira Decryptor – iš Emsisoft
Ozozalocker Decryptor – iš Emsisoft
Globe Decryptor – iš Emsisoft
Globe2 Decryptor – iš Emsisoft
FenixLocker Decryptor – iš Emsisoft
Philadelphia Decryptor – Emsisoft
Stampado Decryptor – iš Emsisoft
Xorist Decryptor – iš Emsisoft
Nemucod Decryptor – iš Emsisoft
Gomasom Decryptor – iš Emsisoft
Linux.Encoder Decryptor – iš BitDefender
Dabar „No More Ransom“ sudaro atstovai iš 22 šalių.
Sėkmės iššifruojant!!!
Nemokėkite išpirkos! Pasiruošk! Apsaugokite savo duomenis! Padarykite atsargines kopijas! Šia akimirka primenu: turto prievartavimas yra nusikaltimas, o ne žaidimas! Nežaisk šių žaidimų.
© Amigo-A (Andrew Ivanov): Visi tinklaraščio straipsniai
2016 metų pabaigoje buvo pastebėtas naujas ransomware virusas – NO_MORE_RANSOM. Jis gavo tokį ilgą pavadinimą dėl plėtinio, kurį priskiria vartotojo failams.
Aš perėmiau daug kitų virusų, pavyzdžiui, iš da_vinci_cod. Kadangi ji neseniai pasirodė internete, antivirusinės laboratorijos dar negalėjo iššifruoti jos kodo. Ir vargu ar jiems pavyks tai padaryti artimiausiu metu – naudojamas patobulintas šifravimo algoritmas. Taigi, išsiaiškinkime, ką daryti, jei jūsų failai yra užšifruoti naudojant plėtinį „no_more_ransom“.
Aprašymas ir veikimo principas
2017 metų pradžioje daug forumų buvo užtvindytas žinutėmis „no_more_ransom virus has encrypted files“, kuriuose vartotojai prašė pagalbos pašalinti grėsmę. Buvo užpulti ne tik privatūs kompiuteriai, bet ir ištisos organizacijos (ypač naudojančios 1C duomenų bazes). Visų aukų situacija yra maždaug vienoda: jie atidarė priedą iš el. laiško, o po kurio laiko failai gavo No_more_ransom plėtinį. Išpirkos reikalaujantis virusas be problemų aplenkė visas populiarias antivirusines programas.
Apskritai, remiantis infekcijos principu, No_more_ransom nesiskiria nuo savo pirmtakų:
Kaip išgydyti arba pašalinti No_more_ransom virusą
Svarbu suprasti, kad patys paleidę No_more_ransom prarasite galimybę atkurti prieigą prie failų naudodami užpuoliko slaptažodį. Ar įmanoma atkurti failą po No_more_ransom? Iki šiol nėra 100% veikiančio duomenų iššifravimo algoritmo. Vienintelės išimtys yra žinomų laboratorijų komunalinės paslaugos, tačiau slaptažodžio parinkimas užtrunka labai ilgai (mėnesius, metus). Bet daugiau apie atkūrimą žemiau. Pirmiausia išsiaiškinkime, kaip atpažinti nebeišpirką Trojos arklį (vertimas - „nebeišpirkos“) ir jį nugalėti. 
Paprastai įdiegta antivirusinė programinė įranga leidžia į kompiuterį patekti išpirkos reikalaujančioms programoms – dažnai išleidžiamos naujos versijos, kurių duomenų bazes išleisti tiesiog nėra laiko. Šio tipo virusai gana nesunkiai pašalinami iš kompiuterio, nes sukčiams nereikia, kad jie liktų sistemoje, atlikę savo užduotį (šifravimą). Norėdami jį pašalinti, galite naudoti paruoštas komunalines paslaugas, kurios platinamos nemokamai:
Naudoti juos labai paprasta: paleiskite, pasirinkite diskus, spustelėkite „Pradėti nuskaitymą“. Belieka tik laukti. Po to pasirodys langas, kuriame bus rodomos visos grėsmės. Spustelėkite „Ištrinti“.
Labiausiai tikėtina, kad viena iš šių paslaugų pašalins išpirkos reikalaujantį virusą. Jei taip neatsitiks, būtina rankiniu būdu pašalinti:
Jei greitai pastebėsite virusą ir pavyks jį pašalinti, tuomet yra tikimybė, kad dalis duomenų nebus užšifruoti. Failus, kurie nebuvo užpulti, geriau išsaugoti atskirame diske.
Iššifravimo priemonės, skirtos „No_more_ransom“ failams iššifruoti
Pačiam kodo rasti tiesiog neįmanoma, nebent esate pažengęs įsilaužėlis. Iššifruoti reikia specialių paslaugų. Iš karto pasakysiu, kad ne visi galės iššifruoti užšifruotą failą, pvz., „No_more_ransom“. Virusas naujas, todėl atspėti slaptažodį – labai sunki užduotis.
Taigi, visų pirma, bandome atkurti duomenis iš šešėlinių kopijų. Pagal numatytuosius nustatymus operacinė sistema, pradedant nuo „Windows 7“, reguliariai išsaugo jūsų dokumentų kopijas. Kai kuriais atvejais virusas negali ištrinti kopijų. Todėl atsisiunčiame nemokamą ShadowExplorer programą. Jums nereikia nieko įdiegti – tereikia jį išpakuoti.
Jei virusas neištrina kopijų, tada yra tikimybė atkurti apie 80-90% užšifruotos informacijos.
Gerai žinomos antivirusinės laboratorijos taip pat siūlo iššifravimo programas failams atkurti po No_more_ransom viruso. Tačiau neturėtumėte tikėtis, kad šios komunalinės paslaugos galės atkurti jūsų duomenis. Šifruotojai nuolat tobulinami, o specialistai tiesiog neturi laiko išleisti kiekvienos versijos naujinimų. Pateikite pavyzdžius antivirusinės laboratorijos techninei pagalbai, kad padėtumėte kūrėjams.
Norėdami kovoti su „No_more_ransom“, yra „Kaspersky Decryptor“. Naudingumas pateikiamas dviem versijomis su priešdėliais ir Rakhni (mūsų svetainėje yra atskiri straipsniai apie juos). Norėdami kovoti su virusu ir iššifruoti failus, tereikia paleisti programą, pasirinkdami nuskaitymo vietas.
Be to, turite nurodyti vieną iš užblokuotų dokumentų, kad programa pradėtų spėlioti slaptažodį.
Taip pat galite nemokamai atsisiųsti geriausią iššifruotoją No_more_ransom iš Dr. Žiniatinklis. Priemonė vadinama matsnu1decrypt. Jis veikia pagal panašų scenarijų su Kaspersky programomis. Viskas, ką jums reikia padaryti, tai paleisti nuskaitymą ir palaukti, kol jis bus baigtas.