NO_MORE_RANSOM - şifreli dosyaları nasıl çözebilirim?

2016 yılı sonunda, dünya, kullanıcı belgelerini ve multimedya içeriğini şifreleyen ve NO_MORE_RANSOM olarak adlandırılan önemsiz bir Truva virüsü tarafından saldırıya uğradı. Bu tehdidin etkisinden sonra dosyaların şifresini çözmek daha da düşünülebilir. Bununla birlikte, saldırıya uğramış tüm kullanıcıları uyarırsanız, tek bir yöntem yoktur. Bunun nedeni, en gelişmiş şifreleme algoritmalarından birinin kullanılması ve bilgisayar sistemine veya hatta yerel ağa virüs bulaşma derecesinin (başlangıçta ağ etkileri için tasarlanmamış olmasına rağmen) kullanılmasıdır.

NO_MORE_RANSOM ne tür bir virüstür ve nasıl çalışır?

Genel olarak, virüsün kendisi, bilgisayar sistemine giren ve kullanıcının dosyalarını (genellikle multimedya) şifreleyen I Love You gibi bir Truva atı sınıfına atfedilir. Bununla birlikte, atanın yalnızca şifreleme bakımından farklı olması durumunda, bu virüs, DA_VINCI_COD adlı bir zamanlar sansasyonel tehdide, kendisini işkencecinin işlevlerini birleştirerek çok şey kazandı.

Enfeksiyon sonrasında çoğu ses, video, grafik veya ofis belgesine karmaşık bir şifre içeren NO_MORE_RANSOM uzantısıyla uzun bir ad atanır.

Bunları açmaya çalıştığınızda, dosyaların şifrelendiğini belirten bir mesaj görüntülenir ve şifresini çözmek için belirli bir miktarda ödeme yapmanız gerekir.

Tehdit sisteme nasıl nüfuz eder?

NO_MORE_RANSOM'a maruz kaldıktan sonra yukarıdaki türlerden herhangi birinin dosyalarının nasıl çözüleceği sorusuna bir kenara dokunup bilgisayar sistemine virüs girme teknolojisine geçelim. Ne yazık ki, görünüşte rahatsız edici olsa da, eski bir kanıtlanmış yöntem kullanılır: bir e-posta adresi açıldığında kullanıcı kötü niyetli bir kod tetikleyicisi olan bir eki olan bir mektup alır.

Özgünlük, gördüğümüz gibi bu yöntem farklı değildir. Bununla birlikte, mesaj anlamsız metin gibi gizlenebilir. Veya tam tersine, eğer büyük bir şirketin bir meselesiyse - herhangi bir sözleşmenin koşulları değiştirilirse. Açıkça görülüyor ki, rütbe ve dosya görevlisi ataşeyi açar ve ardından acı bir sonuç alır. En parlak salgınlardan biri, popüler 1C paketinin veri tabanlarının şifrelenmesiydi. Ve bu ciddi bir iş.

NO_MORE_RANSOM: belgeleri nasıl çözeceksin?

Fakat yine de asıl soruna değinmek gerekiyor. Elbette ki herkes dosya şifresini çözmekle ilgileniyor. NO_MORE_RANSOM virüsü kendi eylem dizisine sahiptir. Kullanıcı enfeksiyondan hemen sonra şifre çözmeye çalışırsa, yine de bir şekilde yapılabilir. Tehdit sisteme sıkı sıkıya yerleşirse, ne yazık ki, buradaki uzmanların yardımı olmadan vazgeçilmezdir. Ancak çoğu kez güçsüz olurlar.

Tehdit zamanında tespit edildiğinde, tek yol virüsten koruma şirketlerinin destek hizmetlerine başvurmaktır (tüm belgeler henüz şifrelenmemiştir), açılmak için erişilemeyen birkaç dosya göndermek ve çıkarılabilir medyada saklanan orijinallerin analizine dayanarak virüs bulaşmış belgeleri geri yüklemeyi deneyin Aynı flaşa kopyalanması, açmak için halen mevcut olan her şeye sürükler (virüsün bu belgelere nüfuz ettiğinin garantisi olmamasına rağmen). Bundan sonra, gerçek olabilmesi için, taşıyıcının en azından bir anti-virüs tarayıcısı tarafından kontrol edilmesi gerekir (ne olduğunu asla bilemezsiniz).

algoritma

Ayrı olarak, virüs, daha önce kullanılan RSA-2048 teknolojisinin aksine, şifreleme için RSA-3072 algoritmasını kullandığı ve böylece anti-virüs laboratuarlarının tamamının şart koşulduğu halde gerekli şifrenin seçilmesi karmaşık olduğu söylenebilir , Aylar ve yıllar alabilir. Böylece, NO_MORE_RANSOM kodunun nasıl çözüleceği konusu epey zaman gerektirir. Ancak bilgiyi hemen geri yüklemeniz gerekiyorsa ne olacak? Her şeyden önce virüsün kendisini kaldırın.

Virüsü nasıl silebilirmiyiz ve nasıl?

Aslında bunu yapmak zor değil. Virüsün yaratıcılarının inceliğine bakarsak, bilgisayar sistemindeki tehlike maskelenmiyor. Aksine, eylemlerin sona ermesinden sonra "çıkmak" bile avantajlıdır.

Yine de, başlangıçta virüse devam etmek, yine de etkisizleştirilmelidir. Her şeyden önce KVRT, Malwarebytes, Dr.Sc. gibi taşınabilir koruyucu araçları kullanmak gereklidir. Web CureIt! Ve benzeri. Lütfen dikkat: kontrol için kullanılan programlar taşınabilir tür olmalıdır (çıkarılabilir medyadan en uygun başlatma ile sabit diske kurmadan). Bir tehdit tespit edilirse derhal çıkarılması gerekir.

Durum böyle değilse, öncelikle Görev Yöneticisine gitmeniz ve hizmetleri virüsle ilişkili olarak tamamlamanız gerekir; hizmetleri isimlerine göre sıralayabilirsiniz (genellikle bir Runtime Broker işlemi).

Görev kaldırıldıktan sonra, sistem kayıt defteri düzenleyicisini ("Çalıştır" menüsünde regedit) çağırmanız ve "İstemci Sunucu Çalışma Zamanı Sistemi" (tırnak işaretleri olmadan) araması, ardından bulunan tüm öğeleri silmek için "Daha fazla bulun ..." sonuç menüsünü kullanmanız gerekir. Ardından, bilgisayarı yeniden başlatmanız ve bir "arama işlemi" olup olmadığına "Görev Yöneticisi" ne inanmanız gerekir.

İlke olarak, enfeksiyon aşamasında NO_MORE_RANSOM virüsünün nasıl çözümleneceği sorunu bu yöntemle çözülebilir. Nötralizasyonu olasılığı elbette büyük değil, fakat bir şans var.

Şifrelenmiş dosyaların şifresini çözmek için NO_MORE_RANSOM: yedekler

Ancak az sayıda insanın bildiği veya tahmin ettiği bir teknik daha var. Gerçek şu ki, işletim sisteminin kendisi kendi gölge yedeklerini sürekli olarak oluşturur (örneğin kurtarma durumunda) veya kullanıcı bilerek bu tür görüntüler oluşturur. Uygulama gösterirken, virüsün çalışmadığı bu tür kopyalar üzerinde durmaktadır (yapısı dışında sadece sağlanmamaktadır, ancak hariç tutulmamıştır).

Böylece, NO_MORE_RANSOM şifresini çözme sorunu, bunları kullanmaya indirgenir. Bununla birlikte, bunun için standart Windows araçlarını kullanmanız önerilmez (ve birçok kullanıcı gizli kopyalara hiç erişemez). Bu nedenle, ShadowExplorer yardımcı programını kullanmanız gerekir (taşınabilir).

Geri yüklemek için programın yürütülebilir dosyasını başlatmanız, bilgileri tarih veya bölümlere göre sıralamanız, istediğiniz kopyayı (dosya, klasör veya tüm sistemi) seçmeniz ve PCM menüsünden verme satırını kullanmanız yeterlidir. Ardından, geçerli kopyanın kaydedileceği dizini seçmeniz ve ardından standart kurtarma işlemini kullanmanız yeterlidir.

Üçüncü taraf yardımcı programları

Tabii ki NO_MORE_RANSOM'un nasıl çözümleneceği sorusu için, birçok laboratuvar kendi çözümlerini sunar. Örneğin, Kaspersky Lab, kendi yazılım ürünü Kaspersky Decryptor'u, Rakhini ve Rector olmak üzere iki sürümde sunmayı öneriyor.

Dr.NO_MORE_RANSOM dekoderi gibi daha az ilgi çekici görünüm ve benzeri gelişmeler yok Web. Ancak burada, bu tür programların kullanılmasının, ancak tüm dosyalara virüs bulaşmadığı sürece bir tehdidin hızlı bir şekilde algılanması durumunda haklı olduğu dikkate alınmalıdır. Virüs sistemde sıkıca kurulmuşsa (şifreli dosyalar şifrelenmemiş orijinalleriyle karşılaştırılamazsa) bu tür uygulamalar yararsız olabilir.

Sonuç olarak

Aslında sonuç yalnızca birini önermektedir: Bu virüsle mücadele etmek için yalnızca ilk dosyalar şifrelendiğinde enfeksiyon aşamasında gereklidir. Genel olarak, şüpheli kaynaklardan gelen e-posta iletilerine eklentiler açmamak en iyisidir (yalnızca doğrudan bilgisayarda yüklü müşteriler için geçerlidir - Outlook, Oulook Express vb.). Buna ek olarak, bir şirket çalışanı, müşterilerin ve ortakların bir adres listesini elinde bulunduruyorsa, "sol" mesajları açmak, işe girme sürecindeki çoğunluğun ticari sırların ve siber güvencenin açıklanmamasına ilişkin anlaşmalar imzalaması nedeniyle tamamen pratik olmaz.