في نهاية عام 2016 ، تعرض العالم لهجوم من قبلفيروس حصان طروادة غير تافه يقوم بتشفير مستندات المستخدم ومحتوى الوسائط المتعددة يسمى NO_MORE_RANSOM. كيفية فك تشفير الملفات بعد تأثير هذا التهديد سيتم النظر فيه. ومع ذلك ، على الفور يستحق تحذير جميع المستخدمين الذين تعرضوا للهجوم أنه لا توجد منهجية موحدة. ويرجع ذلك إلى استخدام واحدة من أكثر خوارزميات التشفير تطوراً ، ودرجة اختراق الفيروسات في نظام الكمبيوتر أو حتى الشبكة المحلية (على الرغم من أنها لم تكن مصممة في البداية للتأثير على الشبكة).
بشكل عام ، يتم تصنيف الفيروس نفسه كفئةأحصنة طروادة مثل I Love You التي تخترق نظام الكمبيوتر وتشفير ملفات المستخدم (عادة الوسائط المتعددة). ومع ذلك، إذا اختلف جد التشفير الوحيد، هو استعار هذا الفيروس إلى حد كبير من خطر مرة واحدة مثيرة دعا DA_VINCI_COD، والجمع في حد ذاته كما يعمل عشار.
بعد الإصابة ، يتم تعيين اسم طويل لمعظم ملفات الصوت أو الفيديو أو الرسومات أو مستندات المكتب مع الامتداد NO_MORE_RANSOM الذي يحتوي على كلمة مرور معقدة.
عند محاولة فتحها ، تظهر رسالة على الشاشة تشير إلى أن الملفات مشفرة ، وتحتاج إلى دفع بعض المبلغ لفك التشفير.
دعونا نترك السؤال كيف ، بعدآثار NO_MORE_RANSOM فك تشفير الملفات من أي من الأنواع المذكورة أعلاه ، وانتقل إلى تقنية اختراق الفيروس في نظام الكمبيوتر. لسوء الحظ ، مهما بدا أنه مبتكر ، يتم استخدام طريقة قديمة مثبتة: يتلقى عنوان البريد الإلكتروني رسالة تحتوي على مرفق ، والتي عند فتحها ، يتلقى المستخدم مشغل تعليمات برمجية ضارة.
الأصالة ، كما نرى ، هذه التقنية ليست كذلكمختلفة. ومع ذلك ، يمكن إخفاء الرسالة كنص لا معنى له. أو ، على العكس ، على سبيل المثال ، إذا كانت مسألة الشركات الكبيرة ، - تحت تغير شروط أي عقد. من الواضح أن كاتب عادي يفتح المرفق ، ثم يتلقى نتيجة مؤسفة. كان واحدا من ألمع الفاشيات تشفير قواعد البيانات من حزمة 1C شعبية. وهذا عمل خطير.
ولكن مع ذلك من الضروري معالجة السؤال الرئيسي.بالتأكيد الجميع مهتم بكيفية فك تشفير الملفات. يحتوي الفيروس NO_MORE_RANSOM على تسلسله الخاص من الإجراءات. إذا حاول المستخدم فك تشفير العدوى فورًا ، فيمكن القيام بذلك بطريقة ما. إذا كان التهديد قد استقر في النظام بحزم ، للأسف ، دون مساعدة من المتخصصين هنا أمر لا غنى عنه. لكنهم في الغالب لا حول لهم ولا قوة.
إذا تم الكشف عن التهديد في الوقت المناسب ، والمسارواحد فقط - تطبيق لدعم شركات مكافحة الفيروسات (ولكن ليس تم تشفيرها جميع الوثائق) لإرسال زوج لا يمكن الوصول إليها لفتح الملفات وعلى أساس التحليل الأصلي، المخزنة على الوسائط القابلة للإزالة، في محاولة لاستعادة الوثائق مصاب بالفعل بعد حفظ على محرك أقراص محمول نفس USB فقط ما هو آخر متوفر لفتح (على الرغم من ضمان كامل أن الفيروس لم ينتشر إلى هذه الوثائق هو أيضا لا). بعد ذلك، على ولاء الناقل فمن الضروري أن تحقق ما لا يقل عن الفيروسات (الذي يعرف ما).
بشكل منفصل من الضروري أن نقول وأن الفيروس لالتشفير باستخدام RSA-3072 الخوارزمية، والتي، على النقيض من تكنولوجيا RSA-2048 تستخدم في السابق معقدة، لدرجة أن اختيار كلمة المرور الصحيحة، حتى على افتراض أن هذا سوف تتعامل مع الوحدة كاملة من مختبرات مكافحة الفيروسات يمكن أن يستغرق شهورا أو سنوات. وبالتالي ، فإن مسألة كيفية فك تشفير NO_MORE_RANSOM تتطلب الكثير من الوقت. ولكن ماذا لو كنت بحاجة لاستعادة المعلومات على الفور؟ بادئ ذي بدء ، قم بإزالة الفيروس نفسه.
في الواقع ، ليس من الصعب القيام بذلك. إذا حكمنا من خلال وقاحة مبدعي الفيروس ، فإن التهديد في نظام الكمبيوتر ليس مقنعاً. بل على العكس ، فإنه من المفيد لها أن "تخرج" بعد انتهاء الإجراءات.
ومع ذلك ، في البداية ، حول الفيروس ،ومع ذلك يجب تحييده. بادئ ذي بدء ، من الضروري استخدام المرافق الواقية المحمولة مثل KVRT ، Malwarebytes ، Dr.Sc. شبكة CureIt! وما شابه. يرجى ملاحظة: يجب أن تكون البرامج المستخدمة للفحص من النوع المحمول دون الفشل (بدون تثبيته على القرص الثابت مع بدء التشغيل الأمثل من الوسائط القابلة للإزالة). إذا تم الكشف عن تهديد ، فيجب إزالته على الفور.
إذا لم يتم توفير هذه الإجراءات ،يجب عليك أولا الذهاب إلى "مدير المهام" واستكمال جميع العمليات المرتبطة بالفيروس ، فرز الخدمات بالاسم (كقاعدة عامة ، هذه هي عملية وسيط وقت التشغيل).
بعد إزالة المهمة ، تحتاج إلى استدعاء المحررسجل النظام (regedit في "تشغيل" القائمة) وتعيين البحث عن طريق اسم "عميل خادم نظام وقت التشغيل" (بدون علامات الاقتباس) ، ثم استخدم قائمة التنقل على أساس النتائج "البحث عن مزيد ..." ، حذف كافة العناصر التي تم العثور عليها. بعد ذلك ، تحتاج إلى إعادة تشغيل جهاز الكمبيوتر وتؤمن "مدير المهام" ، سواء كانت هناك عملية بحث.
من حيث المبدأ ، يمكن حل مسألة كيفية فك تشفير فيروس NO_MORE_RANSOM في مرحلة الإصابة بهذه الطريقة. بطبيعة الحال ، احتمالية إبطال مفعولها ليست كبيرة ، لكن هناك فرصة.
ولكن هناك تقنية أخرى ، لا يوجد سوى قلة من الناسيعرف أو حتى التخمينات. والحقيقة هي أن نظام التشغيل نفسه ينشئ باستمرار نسخ احتياطية خاصة به (على سبيل المثال ، في حالة الاسترداد) ، أو أن المستخدم يقوم بإنشاء هذه الصور عن قصد. كما تبين الممارسة ، لا يؤثر الفيروس على مثل هذه النسخ (في هيكلها ببساطة لا يتم توفيره ، على الرغم من أنه لا يتم استبعاده).
وبالتالي ، فإن مشكلة كيفية فكNO_MORE_RANSOM ، ينزل إلى استخدامها. ومع ذلك ، لا يوصى باستخدام أدوات Windows القياسية لهذا (ولن يتمكن العديد من المستخدمين من الوصول إلى النسخ المخفية على الإطلاق). لذلك ، تحتاج إلى استخدام الأداة المساعدة ShadowExplorer (وهو محمول).
لاستعادة تحتاج فقط لتشغيلملف برنامج قابل للتنفيذ ، وفرز المعلومات حسب التواريخ أو الأقسام ، حدد النسخة المطلوبة (الملف أو المجلد أو النظام بأكمله) واستخدم خط التصدير من قائمة PCM. ثم حدد الدليل الذي سيتم فيه حفظ النسخة الحالية ، ثم استخدم عملية الاسترداد القياسية.
بالطبع ، لمشكلة كيفية فكNO_MORE_RANSOM ، تقدم العديد من المختبرات الحلول الخاصة بها. على سبيل المثال ، توصي شركة "كاسبرسكي لاب" باستخدام منتجها الخاص "كاسبرسكي ديكريبتور" ، المقدم في نسختين - راخيني وركتور.
نفس القدر من الاهتمام مماثلةتطوير فك الرموز NO_MORE_RANSOM من الدكتور على شبكة الإنترنت. ولكن من الضروري على الفور النظر في أن استخدام مثل هذه البرامج مبرر فقط في حالة الكشف السريع عن التهديد ، طالما أن جميع الملفات لم تصب بالمرض. إذا كان الفيروس راسخًا في النظام (عندما لا يمكن مقارنة الملفات المشفرة بأصولها غير المشفرة) ، فإن مثل هذه التطبيقات يمكن أن تكون عديمة الفائدة.
في الواقع ، هناك استنتاج واحد فقط:لمكافحة هذا الفيروس ضروري فقط في مرحلة العدوى ، عندما يتم تشفير الملفات الأولى فقط. بشكل عام، فمن الأفضل عدم فتح المرفقات في رسائل البريد الإلكتروني الواردة من مصادر مشكوك فيها (وهذا يشير بشكل حصري للعملاء، وتركيبها مباشرة على جهاز الكمبيوتر الخاص بك - التوقعات، واعرب عن oulook، وما إلى ذلك). وبالإضافة إلى ذلك، إذا كان الموظف تحت تصرفها قائمة من العملاء والشركاء لمعالجة افتتاح رسائل "اليسار" من غير المناسب تماما، حيث أن معظم في التعاقد مع اتفاقيات عدم الكشف علامة على الأسرار التجارية، والأمن السيبراني.
