Transkripsiya no_more_ransom. NO_MORE_RANSOM - shifrlangan fayllarni qanday ochish mumkin? Endi to'lov izlarni olib tashlamaydi
No_more_ransom virusi bu yangi ransomware virusi bo'lib, taniqli viruslar seriyasining davomi bo'lib, u better_call_saul va da_vinci_code kiradi. Oldingi versiyalari singari, ushbu to'lov dasturi virusi spam-xabarlar orqali tarqaladi. Ushbu elektron pochta xabarlarining har biri biriktirilgan faylni o'z ichiga oladi - arxiv, o'z navbatida, bajariladigan faylni o'z ichiga oladi. Uni ochishga harakat qilganingizda, virus faollashadi. No_more_ransom virusi jabrlanuvchining kompyuteridagi har xil turdagi fayllarni (hujjatlar, rasmlar, ma'lumotlar bazalari, shu jumladan 1C ma'lumotlar bazalari) shifrlaydi. Shifrlash jarayoni tugagandan so'ng, barcha tanish fayllar yo'qoladi va hujjatlar saqlangan papkalarda g'alati nomlar va .no_more_ransom kengaytmali yangi fayllar paydo bo'ladi. Bundan tashqari, ish stolida quyidagiga o'xshash xabar paydo bo'ladi:
No_more_ransom virusi ilgari topilgan turli xil to'lov dasturlari xususiyatlarini birlashtiradi. Virus mualliflarining fikriga ko'ra, kalit uzunligi 2048 bit bo'lgan RSA-2048 shifrlash rejimidan foydalangan oldingi versiyalardan farqli o'laroq, no_more_ransom virusi uzoqroq kalit uzunligi bilan yanada kuchliroq shifrlash rejimidan foydalanadi (RSA-3072 shifrlash algoritmi).
No_more-ransom virusi - fikr-mulohaza shakli
Kompyuter no_more_ransom ransomware virusi bilan zararlangan bo'lsa, bu zararli dastur o'z tanasini tizim papkasiga ko'chiradi va Windows reestriga yozuv qo'shib, kompyuter har safar ishga tushganda avtomatik ravishda ishga tushishini ta'minlaydi. Shundan so'ng virus fayllarni shifrlashni boshlaydi. To'lov dasturi har bir No_more_ransom virusi yuqtirgan kompyuterga noyob identifikatorni tayinlaydi, jabrlanuvchi o'zining shifrini ochish kalitini olish uchun uni virus mualliflariga yuborishi kerak. Bunday holda, jabrlanuvchi decrypting.no_more_ransom fayllari uchun katta miqdorda to'lashi kerak.
Ayni paytda shifrlangan fayllarni bepul tiklashning 100% haqiqiy usuli yo'q. Shuning uchun shifrlangan fayllarning nusxalarini tiklashga harakat qilish uchun ShadowExplorer va PhotoRec kabi bepul dasturlardan foydalanishni taklif qilamiz. Agar .no_more_ransom fayllari shifrini ochish usuli mavjud bo'lsa, biz bu yo'riqnomani darhol yangilaymiz.
Qanday qilib no_more_ransom ransom virusi kompyuteringizga tushadi
No_more_ransom virusi elektron pochta orqali tarqaladi. Xatda biriktirilgan virusli hujjat yoki arxiv mavjud. Bunday xatlar elektron pochta manzillarining katta ma'lumotlar bazasiga yuboriladi. Ushbu virus mualliflari noto'g'ri sarlavhalar va harflar mazmunidan foydalanib, foydalanuvchini xatga biriktirilgan hujjatni ochishga urinishadi. Ba'zi xatlar hisobni to'lash zarurligi haqida xabar beradi, boshqalari so'nggi narxlar ro'yxatiga qarashni taklif qiladi, boshqalari kulgili fotosuratni ochishni taklif qiladi va hokazo. Qanday bo'lmasin, biriktirilgan faylni ochish natijasi sizning kompyuteringizni to'lov virusi bilan yuqtirish bo'ladi.
No_more_ransom ransomware virusi nima
no_more_ransom ransom virusi ko'plab boshqa shunga o'xshash zararli dasturlarni o'z ichiga olgan ransomware oilasining davomi hisoblanadi. Ushbu zararli dastur Windows operatsion tizimlarining barcha zamonaviy versiyalariga, jumladan Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 ga ta'sir qiladi. Ushbu virus RSA-2048 dan kuchliroq, kalit uzunligi 2048 bit bo'lgan shifrlash rejimidan foydalanadi. fayllarni o'z-o'zidan hal qilish uchun kalitni qo'pol ravishda majburlash imkoniyatini deyarli yo'q qiladi.
Kompyuterni yuqtirganda no_more_ransom ransom virusi o'z fayllarini saqlash uchun bir nechta turli kataloglardan foydalanishi mumkin. Masalan, C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Tizim 32. Papkada csrss.exe fayli yaratiladi, bu virus bajariladigan faylning nusxasi. Keyin to'lov dasturi Windows reestrida yozuv yaratadi: HKCU\Software\Microsoft\Windows\CurrentVersion\Run bo'limida Client Server Runtime Subsystem deb nomlangan kalit. Bu virusga shifrlashni davom ettirish imkonini beradi. agar foydalanuvchi biron sababga ko'ra kompyuterni o'chirsa.
Virus ishga tushirilgandan so'ng darhol shifrlanadigan fayllarni aniqlash uchun barcha mavjud drayverlarni, shu jumladan tarmoq va bulutli xotirani skanerlaydi. no_more_ransom ransom virusi shifrlanadigan fayllar guruhini aniqlash uchun fayl nomi kengaytmasidan foydalanadi. Virusning ushbu versiyasi juda ko'p sonli turli xil fayllarni shifrlaydi, jumladan:
3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hv , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis,. sid, .ncf, .menyu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf,. slm, .bik, .epk, .rgss3a, .pak, .big, hamyon, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf,. dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb,. wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Fayl shifrlangandan so'ng darhol yangi nom va kengaytmani oladi.no_more_ransom. Shundan so'ng virus barcha disklarda va ish stolida README.txt, README1.txt, README2.txt... nomli matnli hujjatlarni yaratadi, ular shifrlangan fayllarni shifrini ochish bo'yicha ko'rsatmalarni o'z ichiga oladi.
no_more_ransom to'lov dasturi ish stolida ogohlantirish ko'rsatish orqali qo'rqitish taktikalaridan faol foydalanadi. Shu tarzda jabrlanuvchini hech ikkilanmasdan kompyuter identifikatorini virus muallifining elektron pochta manziliga yuborishga majburlashga urinib, uning fayllarini qaytarib olishga urinib ko'ring.
Mening kompyuterim no_more_ransom ransom virusi bilan zararlanganmi?
Kompyuteringiz no_more_ransom ransom virusi bilan zararlanganligini aniqlash juda oson. Agar sizning shaxsiy fayllaringiz o'rniga g'alati nomli va no_more_ransom kengaytmali fayllar paydo bo'lsa, u holda sizning kompyuteringiz infektsiyalangan. Bundan tashqari, sizning katalogingizda README nomli fayl mavjudligi infektsiya belgisi hisoblanadi. Bu fayl no_more_ransom fayllarini shifrlash bo'yicha ko'rsatmalarni o'z ichiga oladi. Bunday faylning mazmuniga misol quyida keltirilgan.
Fayllaringiz shifrlangan.
Ularning shifrini ochish uchun siz kodni yuborishingiz kerak:
(kompyuter identifikatori)
elektron pochta manziliga [elektron pochta himoyalangan].
Keyin siz barcha kerakli ko'rsatmalarni olasiz.
O'z-o'zidan shifrni ochishga urinishlar ma'lumotlarning qaytarib bo'lmaydigan yo'qolishiga olib keladi.
Agar siz hali ham sinab ko'rmoqchi bo'lsangiz, avval fayllaringizning zaxira nusxalarini yarating, aks holda
ularni o'zgartirganda, parolni ochish hech qanday sharoitda imkonsiz bo'lib qoladi.
Agar siz 48 soat ichida yuqoridagi manzilga javob olmasangiz (va faqat shu holatda!),
fikr-mulohaza shaklidan foydalaning. Bu ikki usulda amalga oshirilishi mumkin:
1) Tor brauzerini quyidagi havoladan yuklab oling va o'rnating: https://www.torproject.org/download/download-easy.html.en
Tor brauzerining manzil satriga manzilni kiriting:
va Enter tugmasini bosing. Fikr-mulohaza shakli bo'lgan sahifa yuklanadi.
2) Har qanday brauzerda manzillardan biriga o'ting:Kompyuteringizdagi barcha muhim fayllar shifrlangan.
Fayllarning shifrini ochish uchun quyidagi kodni yuborishingiz kerak:
(kompyuter identifikatori)
elektron pochta manziliga [elektron pochta himoyalangan].
Keyin siz barcha kerakli ko'rsatmalarni olasiz.
O'z-o'zidan shifrni ochishning barcha urinishlari faqat ma'lumotlaringizning qaytarib bo'lmaydigan yo'qolishiga olib keladi.
Agar siz hali ham ularni o'zingiz hal qilmoqchi bo'lsangiz, avval zaxira nusxasini yarating, chunki
fayllar ichida har qanday o'zgarishlar bo'lsa, shifrni ochish imkonsiz bo'ladi.
Agar siz yuqorida ko'rsatilgan elektron pochtadan 48 soatdan ko'proq vaqt davomida javob olmagan bo'lsangiz (va faqat bu holatda!),
fikr-mulohaza shaklidan foydalaning. Buni ikki yo'l bilan qilishingiz mumkin:
1) Tor brauzerini bu yerdan yuklab oling:
https://www.torproject.org/download/download-easy.html.en
Uni o'rnating va manzil satriga quyidagi manzilni kiriting:
http://cryptsen7fo43rr6.onion/
Enter tugmasini bosing, so'ngra fikr-mulohaza shakli bo'lgan sahifa yuklanadi.
2) Istalgan brauzerda quyidagi manzillardan biriga o'ting:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
no_more_ransom ransom virusi tomonidan shifrlangan fayllarni qanday ochish mumkin?
.no_more_ransom fayllari uchun hozircha hech qanday parol hal qiluvchi mavjud emas. Ransomware virusi jabrlanuvchiga kuchli shifrlash algoritmidan foydalanilayotganligini qayta-qayta aytadi. Bu shuni anglatadiki, shaxsiy kalitsiz fayllarni shifrlash deyarli mumkin emas. Kalitni tanlash usulidan foydalanish ham kalitning katta uzunligi tufayli imkoniyat emas. Shuning uchun, afsuski, faqat virus mualliflariga so'ralgan miqdorni to'lash (9000 rubl yoki undan ko'p) shifrni ochish kalitini olishga harakat qilishning yagona yo'li.
To'lovdan keyin virus mualliflari siz bilan bog'lanib, fayllaringiz shifrini ochish uchun zarur bo'lgan kalitni taqdim etishiga mutlaqo kafolat yo'q. Bundan tashqari, siz virus ishlab chiqaruvchilarga pul to'lash orqali ularni yangi viruslar yaratishga undashingizni tushunishingiz kerak.
no_more_ransom ransom virusini qanday olib tashlash mumkin?
Ishni boshlashdan oldin, virusni olib tashlash va fayllarni o'zingiz tiklashga urinib ko'rish orqali siz virus mualliflariga ular so'ragan miqdorni to'lash orqali fayllarni parolini hal qilish imkoniyatini bloklayotganingizni bilishingiz kerak.
Kaspersky Virus Removal Tool (KVRT) va Malwarebytes Anti-malware (MBAM) har xil turdagi faol ransomware viruslarini aniqlay oladi va ularni kompyuteringizdan osongina olib tashlaydi, LEKIN ular shifrlangan fayllarni tiklay olmaydi.
Klaviaturadagi Windows va R tugmachalarini bir vaqtning o'zida bosing. Run sarlavhasi bilan kichik oyna ochiladi, unda quyidagilarni kiriting:
Enter tugmasini bosing.
Ro'yxatga olish kitobi muharriri ishga tushadi. Tahrirlash menyusini oching va Top-ni bosing. Kiriting:
Mijoz serverining ishlash vaqti quyi tizimi
Enter tugmasini bosing.
Quyidagi rasmda ko'rsatilganidek, ushbu parametrni sichqonchaning o'ng tugmasi bilan bosing va "O'chirish" ni tanlang. Juda ehtiyot bo'ling!
Ro'yxatga olish kitobi muharririni yoping.
Kompyuteringizni qayta ishga tushiring. C:\Documents and Settings\All Users\Application Data\Windows\ katalogini oching va csrss.exe faylini o'chirib tashlang.
HijackThis dasturini quyidagi havolani bosish orqali yuklab oling.
Bir necha yakuniy so'zlar
Ushbu ko'rsatmalarga rioya qilish orqali kompyuteringiz no_more_ransom ransom virusidan tozalanadi. Agar sizda biron bir savol bo'lsa yoki yordam kerak bo'lsa, biz bilan bog'laning.
2016-yil oxirida dunyoga NO_MORE_RANSOM deb nomlangan foydalanuvchi hujjatlari va multimedia kontentini shifrlaydigan juda ahamiyatsiz troyan virusi hujum qildi. Ushbu tahdidga duchor bo'lgandan keyin fayllarni qanday shifrlash haqida batafsilroq muhokama qilinadi. Biroq, hujumga uchragan barcha foydalanuvchilarni yagona texnika yo'qligi haqida darhol ogohlantirishga arziydi. Bu eng ilg'orlardan birini qo'llash va virusning kompyuter tizimiga yoki hatto mahalliy tarmoqqa kirish darajasi bilan bog'liq (garchi u dastlab tarmoqqa ta'sir qilish uchun mo'ljallanmagan bo'lsa ham).
NO_MORE_RANSOM virusi nima va u qanday ishlaydi?
Umuman olganda, virusning o'zi odatda I Love You kabi troyan sifatida tasniflanadi, u kompyuter tizimiga kirib, foydalanuvchi fayllarini shifrlaydi (odatda multimedia). To'g'ri, agar progenitor faqat shifrlashda farq qilsa, bu virus bir paytlar DA_VINCI_COD deb nomlangan shov-shuvli tahdiddan ko'p qarz oldi va to'lov dasturining funktsiyalarini birlashtirdi.
INFEKTSION so'ng, audio, video, grafik yoki ofis hujjatlarining aksariyat fayllari murakkab parolni o'z ichiga olgan NO_MORE_RANSOM kengaytmali uzun nom bilan belgilanadi.
Ularni ochmoqchi bo'lganingizda, ekranda fayllar shifrlanganligi haqida xabar paydo bo'ladi va ularning shifrini ochish uchun siz ma'lum miqdorni to'lashingiz kerak.
Tahdid tizimga qanday kiradi?
Keling, NO_MORE_RANSOM ta'siridan keyin yuqoridagi har qanday turdagi fayllarni qanday shifrlash masalasini yolg'iz qoldiraylik va virusning kompyuter tizimiga qanday kirib borishi texnologiyasiga murojaat qilaylik. Afsuski, bu qanday ko'rinmasin, buning uchun eski tasdiqlangan usul qo'llaniladi: elektron pochta manziliga ilova bilan xat yuboriladi va uni ochgandan so'ng, foydalanuvchi zararli kodni oladi.
Ko'rib turganimizdek, bu texnika asl emas. Biroq, xabar ma'nosiz matn sifatida yashirin bo'lishi mumkin. Yoki, aksincha, masalan, agar biz yirik kompaniyalar haqida gapiradigan bo'lsak, ba'zi shartnoma shartlarini o'zgartirish uchun. Oddiy kotib investitsiya ochadi va keyin halokatli natijaga erishadi. Eng yorqin epidemiyalardan biri mashhur 1C paketining ma'lumotlar bazalarini shifrlash edi. Va bu allaqachon jiddiy masala.
NO_MORE_RANSOM: hujjatlarni qanday shifrlash mumkin?
Ammo baribir asosiy muammoni hal qilishga arziydi. Albatta, hamma fayllarni qanday shifrlash bilan qiziqadi. NO_MORE_RANSOM virusi o'ziga xos harakatlar ketma-ketligiga ega. Agar foydalanuvchi infektsiyadan so'ng darhol shifrni ochishga harakat qilsa, buni qilishning ba'zi yo'llari hali ham mavjud. Agar tahdid tizimda mustahkam o'rnashgan bo'lsa, afsuski, buni mutaxassislar yordamisiz amalga oshirish mumkin emas. Ammo ular ko'pincha kuchsiz bo'lib chiqadi.
Agar tahdid o'z vaqtida aniqlangan bo'lsa, faqat bitta yo'l bor - virusga qarshi kompaniyalarning qo'llab-quvvatlash xizmatlariga murojaat qiling (barcha hujjatlar hali shifrlanmagan), bir nechta kirish mumkin bo'lmagan fayllarni yuboring va asl nusxalar tahlili asosida. olinadigan tashuvchida saqlangan bo'lsa, avval infektsiyalangan hujjatlarni qayta tiklashga harakat qiling, avval ochish uchun mavjud bo'lgan barcha narsalarni bir xil flesh-diskga nusxalash (garchi virus bunday hujjatlarga kirmaganligiga to'liq kafolat yo'q). Shundan so'ng, ishonch hosil qilish uchun ommaviy axborot vositalarini hech bo'lmaganda virusga qarshi skaner bilan tekshirish kerak (hech qachon bilmaysiz).
Algoritm
Shuni ham ta'kidlash joizki, virus shifrlash uchun RSA-3072 algoritmidan foydalanadi, bu ilgari qo'llanilgan RSA-2048 texnologiyasidan farqli o'laroq, shu qadar murakkabki, to'g'ri parolni tanlash, hatto virusga qarshi laboratoriyalarning butun kontingenti shifrlashda ishtirok etsa ham. bu oylar yoki yillar olishi mumkin. Shunday qilib, NO_MORE_RANSOM shifrini qanday ochish masalasi juda ko'p vaqtni talab qiladi. Ammo ma'lumotni darhol tiklashingiz kerak bo'lsa-chi? Avvalo, virusni o'zi olib tashlang.
Virusni olib tashlash mumkinmi va buni qanday qilish kerak?
Aslida, buni qilish qiyin emas. Virus yaratuvchilarning beadabligiga qaraganda, kompyuter tizimidagi tahdid yashirin emas. Aksincha, bajarilgan harakatlarni tugatgandan so'ng, uning "o'zini olib tashlashi" ham foydalidir.
Shunga qaramay, birinchi navbatda, virusga ergashgan holda, u hali ham zararsizlantirilishi kerak. Birinchi qadam - KVRT, Malwarebytes, Dr. Web CureIt! va shunga o'xshashlar. Iltimos, diqqat qiling: sinov uchun ishlatiladigan dasturlar portativ turdagi bo'lishi kerak (qattiq diskda o'rnatilmagan va eng maqbul tarzda olinadigan muhitdan ishga tushirilgan). Agar tahdid aniqlansa, uni darhol olib tashlash kerak.
Agar bunday harakatlar ta'minlanmagan bo'lsa, siz avval "Vazifa menejeri" ga o'tishingiz va undagi virus bilan bog'liq barcha jarayonlarni tugatishingiz kerak, xizmatlarni nomi bo'yicha saralashingiz kerak (odatda bu Runtime Broker jarayoni).
Vazifani olib tashlaganingizdan so'ng, tizim ro'yxatga olish kitobi muharririga qo'ng'iroq qilishingiz kerak ("Ishga tushirish" menyusida regedit) va "Mijoz serverining ish vaqti tizimi" nomini (tirnoqsiz) qidirishingiz kerak, so'ngra natijalar bo'yicha harakat qilish uchun menyudan foydalaning "Topish" keyingi...” barcha topilgan elementlarni oʻchirish uchun. Keyinchalik, kompyuterni qayta ishga tushirishingiz va siz izlayotgan jarayon mavjudligini tekshirish uchun "Vazifa menejeri" ni tekshirishingiz kerak.
Asosan, NO_MORE_RANSOM virusini infektsiya bosqichida qanday shifrlash masalasi ushbu usul yordamida hal qilinishi mumkin. Uni zararsizlantirish ehtimoli, albatta, kichik, lekin imkoniyat bor.
NO_MORE_RANSOM bilan shifrlangan fayllarni qanday shifrlash mumkin: zaxira nusxalari
Ammo kam odam biladigan yoki hatto taxmin qiladigan yana bir texnika bor. Haqiqat shundaki, operatsion tizimning o'zi doimiy ravishda o'zining soyali zaxira nusxalarini yaratadi (masalan, tiklanish holatida) yoki foydalanuvchi ataylab bunday tasvirlarni yaratadi. Amaliyot shuni ko'rsatadiki, virus aynan shu nusxalarga ta'sir qilmaydi (bu shunchaki uning tarkibida ko'zda tutilmagan, garchi u chiqarib tashlanmasa ham).
Shunday qilib, NO_MORE_RANSOM shifrini qanday ochish muammosi ulardan foydalanish bilan bog'liq. Biroq, buning uchun standart Windows vositalaridan foydalanish tavsiya etilmaydi (va ko'p foydalanuvchilar umuman yashirin nusxalarga kirish imkoniga ega bo'lmaydi). Shuning uchun siz ShadowExplorer yordam dasturidan foydalanishingiz kerak (u ko'chma).
Qayta tiklash uchun siz bajariladigan faylni ishga tushirishingiz, ma'lumotlarni sanalar yoki bo'limlar bo'yicha saralashingiz, kerakli nusxasini (fayl, papka yoki butun tizim) tanlashingiz va RMB menyusi orqali eksport chizig'idan foydalanishingiz kerak. Keyinchalik, siz shunchaki joriy nusxa saqlanadigan katalogni tanlaysiz va keyin standart tiklash jarayonidan foydalaning.
Uchinchi tomon yordam dasturlari
Albatta, NO_MORE_RANSOM shifrini qanday ochish masalasiga ko'plab laboratoriyalar o'zlarining echimlarini taklif qilishadi. Masalan, Kasperskiy laboratoriyasi ikkita modifikatsiyada taqdim etilgan o'zining Kasperskiy Decryptor dasturiy mahsulotidan foydalanishni tavsiya qiladi - Rakhini va Rector.
Doktorning NO_MORE_RANSOM dekoderi kabi o'xshash ishlanmalar unchalik qiziq emas. Veb. Ammo bu erda darhol e'tiborga olish kerakki, bunday dasturlardan foydalanish faqat tahdid tezda aniqlangan taqdirdagina, barcha fayllar yuqtirilishidan oldin oqlanadi. Agar virus tizimda mustahkam o'rnatilgan bo'lsa (agar shifrlangan fayllarni ularning shifrlanmagan asl nusxalari bilan taqqoslab bo'lmasa), bunday ilovalar ham foydasiz bo'lishi mumkin.
Natijada
Aslida, faqat bitta xulosa o'zini ko'rsatadi: bu virus bilan faqat infektsiya bosqichida, faqat birinchi fayllar shifrlanganda kurashish kerak. Umuman olganda, shubhali manbalardan olingan elektron pochta xabarlarida qo'shimchalarni ochmaslik yaxshiroqdir (bu faqat to'g'ridan-to'g'ri kompyuterda o'rnatilgan mijozlarga tegishli - Outlook, Oulook Express va boshqalar). Bundan tashqari, agar kompaniya xodimining ixtiyorida mijozlar va hamkorlar manzillari ro'yxati bo'lsa, "nomaqbul" xabarlarni ochish mutlaqo amaliy bo'lmaydi, chunki ko'pchilik ishga kirishda tijorat sirlari va kiberxavfsizlikni oshkor etmaslik to'g'risida shartnoma imzolaydi.
Endi mavjud jinoyatlarning barcha turlari Internetga o'tkazilgani hech kimga sir emas. Bularga kiber josuslik, kiberterrorizm, kiberfiribgarlik, kibero'g'irlik va ushbu blog mavzusiga ko'ra kibertovlamachilik va kibershantaj kiradi.
Ular uzoq vaqtdan beri Rossiyadagi kiberjinoyatlarni o'g'irlik bilan tenglashtirishni, jazolarni kuchaytirishni xohlashgan, ammo bu masala bank tuzilmalari tashabbusi bilan ko'tarilgan, ular go'yoki xakerlar tomonidan yashashga ruxsat bermaydi. Balki shundaydir. Kim nima haqida gapiryapti, banklar esa xakerlar haqida...
Bo‘lajak qonun loyihasida, shuningdek, ustimizga iflos suvdek to‘kilib borayotgan zamonaviy “shedevr” sanoatining litsenziyasiz dasturlari va audio-video “shedevrlari”ni yuklab olish haqida ham so‘z boradi. Yana bir bor, butun dunyo bo'ylab vabo kabi tarqalib ketgan va dunyoning har bir mamlakatida Internetga kirish imkoniga ega bo'lgan har bir oilaga ta'sir qilgan haqiqiy kiberjinoyatchilar uchun emas, balki jodugarlar uchun ov bor.
Ha, men tovlamachilik vabosi haqida gapiryapman: kripto-ransomware, shifrlovchilar, blokerlar va har xil soxta narsalar, ya'ni. shifrlovchilar, blokerlar, haq evaziga "tozalash" ni taklif qiladigan dasturlar, ammo bu ularni tovlamachilar bo'lishdan to'xtatmaydi. Ularning yaratuvchilari huquq-tartibot xodimlari, jinoiy mafiya, mahalliy politsiya, Europol va Interpoldan qo'rqmasdan o'zlarining "ijodlarini" Internetda ochiqchasiga joylashtiradilar. Ular reklama qiladilar, ular Google va Yandex avtomatlashtirilgan tizimlarining qidiruv natijalarida reklama qilinadi va targ'ib qilinadi.
Kiberjinoyatlar to'g'risidagi qonunlar kim bilan kurashishi kerak, politsiya kimni birinchi bo'lib qo'lga olishi kerak, Europol, Interpol va "K" direksiyasi aniqlashi kerak! Bu yo‘nalishdagi ishlar kechayu kunduz olib borilayotganiga ishonmoqchiman, lekin haqiqat aniq: tovlamachilik va kripto tovlamachilik klassik virusli epidemiyalarni maydalovchi bug‘li rolik kabi internetning ofati va vabosiga aylandi.
Aytgancha, mening ma'lumotlarimga ko'ra, eng katta miqdordagi Ransomware Ukraina, Moldova va Ruminiyadan ishlab chiqariladi, agar siz Osiyoning Sharqiy va Janubiy mintaqalarini hisobga olmasangiz, bu erda butunlay boshqacha, yuqori foiz va daraja mavjud. tovlamachilik va xakerlik hujumlari. Ukraina, Moldova va Ruminiyadan tovlamachilik xurujlarining bir qismi Rossiya, rusiyzabon biznes va foydalanuvchilarga qaratilgan bo‘lsa, boshqalari AQSh, Yevropa va ingliz tilida so‘zlashuvchi foydalanuvchilarga qaratilgan.
So'nggi bir necha yil ichida kompyuter foydalanuvchilari shifrlangan va o'qib bo'lmaydigan, bloklangan va kirish imkoni bo'lmagan, ko'chirilgan, yashirilgan fayllarga kirishni qaytarish uchun to'lov talab qiladigan to'lov dasturlari, soxta to'lov dasturlari, to'lov dasturlarini bloklovchilar va boshqalarga duch kelish ehtimoli ko'proq bo'ldi. o'chirildi ... Qanday qilib bu mumkin bo'ldi?
Zararli dasturlarni tarqatish bitta jinoyatchi yoki yangi dasturchining zimmasida bo'lgan vaqtlar o'tib ketdi.Hozirgi kunda kiberjinoyatchilar ko'pincha jamoa bo'lib ishlaydi, chunki... bunday qo'shma ish ko'proq foyda keltiradi. Masalan, bitkoinlarda to‘lovni to‘lashga asoslangan tovlamachilik biznes modelini (RaaS) ishlab chiqish bilan bir guruh texnik yordam ko‘rsatishi, tavsiyalar yozishi va chat yoki elektron pochta orqali yangi qurbonlarga qanday va qayerdan sotib olishi, almashishi, o‘tkazishi mumkinligi haqida xabar berishi mumkin. keyingi to'lov uchun bitcoins. Yana bir guruh to'lov dasturini ishlab chiqish, yangilash va tuzatish bilan shug'ullanadi. Uchinchi guruh qop va turar joy bilan ta'minlaydi. To'rtinchi guruh C&C va boshqaruvchilar bilan ishlaydi ish buyruq markazidan. Beshinchisi moliyaviy masalalar bilan shug'ullanadi va hamkorlar bilan ishlaydi. Oltinchisi saytlarni buzadi va zararlaydi... RaaS rivojlanishi bilan to'lov dasturi qanchalik murakkab va keng tarqalgan bo'lsa, shunchalik ko'p jamoalar ishtirok etadi va ular bajaradigan jarayonlar.
Kripto-ransomware hujumiga duch kelganda, qurbonlar qiyin savolga duch kelishadi: ular to'lovni to'lashlari kerakmi? yoki fayllar bilan xayrlashasizmi? Kiberjinoyatchilar o'zlarining anonimligini ta'minlash uchun Tor tarmog'idan foydalanadilar va Bitcoin kriptovalyutasida to'lov talab qiladilar. 2016 yil iyun holatiga ko'ra, 1 BTC ning pul ekvivalenti allaqachon 60 ming rubldan oshadi va kamroq bo'lmaydi. Afsuski, jabrlanuvchilar to'lashga qaror qilib, ishtahasi keskin oshib borayotgan kiberjinoyatchilarning keyingi tovlamachilik faoliyatini beixtiyor moliyalashtiradilar va har bir yangi to'lov bilan ularning jazosiz qolishiga amin bo'lishadi.
Qaramoq " 100 ta eng boy bitkoin manzillari va bitkoin taqsimoti“U yerdagi kriptovalyutaga boy millionerlarning aksariyati noqonuniy va hatto jinoiy usullar bilan shunday bo‘lishgan.
Qanday bo'lish kerak? Bugungi kunda ma'lumotlarni shifrlash uchun universal vosita yo'q, faqat maxsus shifrlovchilar uchun yaratilgan va mos keladigan alohida yordamchi dasturlar mavjud. Shuning uchun, asosiy himoya sifatida, ransomware tomonidan infektsiyani oldini olish choralari tavsiya etiladi, ulardan asosiysiZamonaviy antivirus himoyasi. Foydalanuvchilarning ushbu choralar va to'lov dasturlari va to'lov dasturlari tahdidlari haqida xabardorligini oshirish ham juda muhimdir.Bizning blogimiz shu maqsadda yaratilgan.Bu erda ma'lumotlar to'lov dasturi sifatida namoyon bo'lgan har bir to'lov dasturi, soxta kriptograf yoki bloker haqida to'planadi.
Mening ikkinchi blogimda " Fayl shifrlash vositalari"2016-yilning may oyidan boshlab Crypto-Ransomware tomonidan shifrlangan fayllarni bepul dekodlash uchun yaratilgan shifrlovchilar haqidagi maʼlumotlar umumlashtirildi. Barcha tavsiflar va koʻrsatmalar birinchi marta rus tilida chop etilgan. Muntazam tekshirib turing.
Professional yordam ko'rsatish maqsadida 2016 yilning yozida Kasperskiy laboratoriyasi, Intel Security, Europol va Gollandiya politsiyasi qo'shma loyihani tashkil qilishdi. Endi to'lov yo'q", ransomware bilan kurashishga qaratilgan. Loyiha ishtirokchilari veb-sayt yaratdilaroMoreRansom.org, ransomware haqida umumiy ma'lumotni (ingliz tilida), shuningdek shifrlangan ma'lumotlarni qayta tiklash uchun bepul vositalarni o'z ichiga oladi. Avvaliga LC va McAfee-dan faqat 4 ta bunday vosita bor edi.Ushbu maqolani yozish kunida ulardan 7 tasi bor ediva funksionallik yanada kengaytirildi.
Shunisi e'tiborga loyiqki, bu loyiha faqat dekabr oyida bo'lgan to'ldirilgan "Ransomware Encryptors" va "File Decryptors" bloglarida uzoq vaqtdan beri tasvirlangan shifrlovchilar guruhi.
Endi to'lov yo'q!
2016 yil 15 dekabr yangilanish:
Ilgari boshqa shifrlovchilarni chiqargan boshqa kompaniyalar loyihaga qo'shildi. Hozirda 20 ta yordamchi dastur mavjud (ba'zilari hatto ikkitasi):
WildFire Decryptor - Kasperskiy laboratoriyasi va Intel Security
Chimera Decryptor - Kasperskiy laboratoriyasidan
Teslacrypt Decryptor - Kaspersky Lab va Intel Security kompaniyasidan
Shade Decryptor - Kasperskiy laboratoriyasi va Intel Security-dan
CoinVault Decryptor - Kasperskiy laboratoriyasidan
Rannoh Decryptor - Kasperskiy laboratoriyasidan
Rakhni Decryptor - Kasperskiy laboratoriyasidan
Jigsaw Decryptor - Check Point-dan
Trend Micro Ransomware File Decryptor - Trend Micro tomonidan
NMoreira Decryptor - Emsisoft-dan
Ozozalocker Decryptor - Emsisoft-dan
Globe Decryptor - Emsisoft-dan
Globe2 Decryptor - Emsisoft-dan
FenixLocker Decryptor - Emsisoft-dan
Filadelfiya Decryptor - Emsisoft tomonidan
Stampado Decryptor - Emsisoft-dan
Xorist Decryptor - Emsisoft-dan
Nemucod Decryptor - Emsisoft-dan
Gomasom Decryptor - Emsisoft-dan
Linux.Encoder Decryptor - BitDefender'dan
Endi "No More Ransom" 22 mamlakat vakillaridan iborat.
Shifrni ochishda omad tilaymiz!!!
To'lovni to'lamang! Tayyor bo'l! Ma'lumotlaringizni himoya qiling! Zaxira nusxalarini yarating! Shu daqiqadan foydalanib, sizga eslataman: tovlamachilik o'yin emas, jinoyatdir! Bu oʻyinlarni oʻynamang.
© Amigo-A (Endryu Ivanov): Barcha blog maqolalari
2016-yil oxirida yangi to'lov dasturi virusi aniqlandi - NO_MORE_RANSOM. U foydalanuvchi fayllariga tayinlangan kengaytma tufayli shunday uzoq nom oldi.
Men boshqa viruslardan, masalan, da_vinci_cod-dan ko'p narsalarni qabul qildim. Yaqinda Internetda paydo bo'lganligi sababli, antivirus laboratoriyalari hali uning kodini hal qila olmadi. Va ular buni yaqin kelajakda amalga oshirishlari dargumon - takomillashtirilgan shifrlash algoritmi qo'llaniladi. Shunday qilib, fayllaringiz “no_more_ransom” kengaytmasi bilan shifrlangan bo'lsa, nima qilish kerakligini aniqlaylik.
Ta'rifi va ishlash printsipi
2017-yil boshida ko‘plab forumlar “no_more_ransom virusi fayllarni shifrlagan” degan xabarlar bilan to‘lib ketdi, unda foydalanuvchilar tahdidni bartaraf etish uchun yordam so‘rashdi. Nafaqat shaxsiy kompyuterlar, balki butun tashkilotlar (ayniqsa, 1C ma'lumotlar bazasidan foydalanadiganlar) ham hujumga uchradi. Barcha qurbonlar uchun vaziyat taxminan bir xil: ular elektron pochtadan ilovani ochishdi va bir muncha vaqt o'tgach, fayllar No_more_ransom kengaytmasini oldi. Ransomware virusi barcha mashhur antivirus dasturlarini hech qanday muammosiz chetlab o'tdi.
Umuman olganda, infektsiya tamoyiliga asoslanib, No_more_ransom o'zidan oldingilaridan farq qilmaydi:
No_more_ransom virusini qanday davolash yoki olib tashlash mumkin
No_more_ransom-ni o'zingiz ishga tushirganingizdan so'ng, tajovuzkorlar paroli yordamida fayllarga kirishni tiklash imkoniyatidan mahrum bo'lishingizni tushunish muhimdir. No_more_ransomdan keyin faylni tiklash mumkinmi? Bugungi kunga qadar ma'lumotlarni shifrlashning 100% ishlaydigan algoritmi mavjud emas. Istisno faqat taniqli laboratoriyalarning yordamchi dasturlaridir, lekin parolni tanlash juda uzoq vaqtni oladi (oylar, yillar). Ammo quyida tiklanish haqida ko'proq. Birinchidan, endi to'lovsiz troyanni (tarjimasi - "endi to'lov yo'q") qanday aniqlashni va uni mag'lub qilishni aniqlaylik. 
Qoida tariqasida, o'rnatilgan antivirus dasturlari to'lov dasturining kompyuterga kirishiga imkon beradi - ko'pincha yangi versiyalar chiqariladi, ular uchun ma'lumotlar bazalarini chiqarishga vaqt yo'q. Ushbu turdagi viruslar kompyuterdan juda oson olib tashlanadi, chunki firibgarlar o'z vazifalarini bajargandan so'ng (shifrlash) tizimda qolishlari shart emas. Uni olib tashlash uchun siz bepul tarqatiladigan tayyor yordamchi dasturlardan foydalanishingiz mumkin:
Ulardan foydalanish juda oddiy: ishga tushiring, disklarni tanlang, "Skanerlashni boshlash" tugmasini bosing. Faqat kutish qoladi. Shundan so'ng, barcha tahdidlar ko'rsatiladigan oyna paydo bo'ladi. "O'chirish" tugmasini bosing.
Katta ehtimol bilan, ushbu yordamchi dasturlardan biri ransomware virusini olib tashlaydi. Agar bu sodir bo'lmasa, qo'lda olib tashlash kerak:
Agar siz tezda virusni sezsangiz va uni yo'q qilishga muvaffaq bo'lsangiz, ba'zi ma'lumotlar shifrlanmasligi ehtimoli bor. Hujum qilinmagan fayllarni alohida diskda saqlash yaxshiroqdir.
“No_more_ransom” fayllarini shifrdan chiqarish uchun shifrni ochish yordamchi dasturlari
Agar siz ilg'or xaker bo'lmasangiz, kodni o'zingiz topib bo'lmaydi. Shifrni ochish maxsus yordamchi dasturlarni talab qiladi. Darhol aytamanki, hamma ham "No_more_ransom" kabi shifrlangan faylni hal qila olmaydi. Virus yangi, shuning uchun parolni taxmin qilish juda qiyin ish.
Shunday qilib, birinchi navbatda, biz soya nusxalaridan ma'lumotlarni qayta tiklashga harakat qilamiz. Odatiy bo'lib, Windows 7 dan boshlab operatsion tizim muntazam ravishda hujjatlaringizning nusxalarini saqlaydi. Ba'zi hollarda virus nusxalarni o'chira olmaydi. Shuning uchun biz bepul ShadowExplorer dasturini yuklab olamiz. Hech narsa o'rnatishingiz shart emas - uni o'rashingiz kifoya.
Agar virus nusxalarni o'chirmagan bo'lsa, shifrlangan ma'lumotlarning taxminan 80-90 foizini tiklash imkoniyati mavjud.
Mashhur antivirus laboratoriyalari No_more_ransom virusidan keyin fayllarni qayta tiklash uchun shifrlash dasturlarini ham taklif qiladi. Biroq, ushbu yordam dasturlari ma'lumotlaringizni qayta tiklashga qodir bo'lishini kutmasligingiz kerak. Shifrlovchilar doimiy ravishda takomillashtirilmoqda va mutaxassislar har bir versiya uchun yangilanishlarni chiqarishga vaqtlari yo'q. Ishlab chiquvchilarga yordam berish uchun antivirus laboratoriyasining texnik yordamiga namunalar yuboring.
No_more_ransom bilan kurashish uchun Kaspersky Decryptor mavjud. Yordamchi dastur prefiks va Raxni bilan ikkita versiyada taqdim etilgan (bizning veb-saytimizda ular haqida alohida maqolalar mavjud). Virusga qarshi kurashish va fayllarni shifrini ochish uchun siz shunchaki skanerlash joylarini tanlab, dasturni ishga tushirishingiz kerak.
Bundan tashqari, parolni taxmin qilishni boshlash uchun yordamchi dastur uchun bloklangan hujjatlardan birini ko'rsatishingiz kerak.
Shuningdek, siz doktordan No_more_ransom shifrlash vositasini bepul yuklab olishingiz mumkin. Veb. Yordamchi dastur matsnu1decrypt deb ataladi. Kasperskiy dasturlari bilan shunga o'xshash stsenariy bo'yicha ishlaydi. Siz qilishingiz kerak bo'lgan yagona narsa skanerlashni boshlash va uning tugashini kutishdir.