Vuoden 2016 loppupuolella maailmaa hyökkäsiei-triviaali troijalainen, joka salaa käyttäjän asiakirjoja ja multimedia-sisältöä nimeltään NO_MORE_RANSOM. Kuinka purkaa tiedostoja tämän uhkan vaikutuksen jälkeen harkitaan edelleen. Kuitenkin välittömästi on syytä varoittaa käyttäjää, jolle on hyökätty, että ei ole yhtenäistä menetelmää. Tämä johtuu yhden edistyneimmistä salausalgoritmeista ja virusten tunkeutumisesta tietojärjestelmään tai jopa paikalliseen verkkoon (vaikkakaan alun perin sitä ei ole suunniteltu verkkoyhteyteen).
Вообще, сам вирус принято относить к классу Troijalaiset, kuten I Love You, jotka tunkeutuvat tietokonejärjestelmään ja salataan käyttäjän tiedostoja (yleensä multimediaa). Kuitenkin, jos esi-isä eroaa vain salauksesta, niin tämä virus kesti paljon DA-VINCI_COD: n kerran tunnistetusta uhasta, jossa yhdistyvät itse harjoittavien extortionistien toiminnot.
Tartunnan jälkeen useimmilla ääni-, video-, grafiikka- tai toimisto-asiakirjoilla on pitkä nimi, jonka laajennus NO_MORE_RANSOM sisältää monimutkaisen salasanan.
Kun yrität avata niitä, näyttöön ilmestyy viesti, joka osoittaa, että tiedostot on salattu ja sinun täytyy maksaa jonkin verran salauksen purkamista varten.
Jätetään kysymys siitä, miten, sen jälkeenvaikutukset NO_MORE_RANSOM purkaa minkä tahansa edellä mainitun tyyppisiä tiedostoja ja kääntyvät virustartunnan tekniikkaan tietokonejärjestelmään. Valitettavasti kuitenkin se, että se voi kuulostaa hyvältä, käytetään vanhaa todistettua menetelmää: sähköpostiosoite vastaanottaa kirjeen liitteineen, joka avattaessa käyttäjä saa haitallisen koodin laukaisun.
Alkuperäisyys, kuten me näemme, tämä tekniikka ei oleerilainen. Sanoma voidaan kuitenkin naamioida merkityksettömäksi tekstiksi. Tai päinvastoin, esimerkiksi jos kyseessä on suuri yritys, - sopimusehtojen muuttamisen yhteydessä. On selvää, että tavallinen toimittaja avaa kiinnityksen ja saa sitten valitettavan tuloksen. Yksi kirkkaimmista taudinpurkauksista oli suosittu 1C-paketin tietokantojen salaus. Ja tämä on vakavaa liiketoimintaa.
Mutta on kuitenkin tarpeen käsitellä pääkysymystä.Tietenkin jokainen on kiinnostunut tiedostojen salauksen purkamisesta. Virus NO_MORE_RANSOMilla on oma toimintansa. Jos käyttäjä yrittää purkaa välittömästi infektion jälkeen, tämä voi edelleen tapahtua. Jos uhka on asettunut järjestelmään tiukasti, valitettavasti ilman asiantuntijoiden apua tässä on välttämätöntä. Mutta he ovat usein voimattomia.
Jos uhka havaittiin ajoissa, polkuVain yksi - soveltaa virustentorjuntaohjelmistoyritykset tuki (mutta ei kaikki tiedostot on salattu) lähettää parin saavuttamattomissa tiedostojen avaamiseen ja pohjalta alkuperäisen analyysin tallennettu irrotettava joukkoviestimet, yritä palauttaa jo tartunta asiakirjojen tallennuksen jälkeen samaan USB-muistitikku kaikki mitä muuta on tarjolla avata (vaikka täysi takuu siitä, että virus ei ole levinnyt näistä asiakirjoista ei myöskään). Sen jälkeen, että kantaja kanta on tarpeen tarkistaa ainakin virustutkaimien (ties mitä).
Erikseen on syytä sanoa ja että virusta vartensalaus RSA-3072-algoritmi, joka, toisin kuin aiemmin käytetyn RSA-2048 tekniikka on niin monimutkaista, että valinta oikea salasana vaikka oletettaisiin, että tämä käsittelee koko ehdolliset virustorjuntaohjelmien laboratoriot voivat kestää kuukausia tai vuosia. Siten kysymys siitä, miten tulkita NO_MORE_RANSOM, vaativat varsin aikaa vievää. Mutta mitä jos haluat palauttaa tiedot välittömästi? Poista virus ensin.
Itse asiassa se ei ole vaikeaa. Viruksen luojien epäjyyden perusteella tieto uhkaa tietokonejärjestelmässä ei ole naamioitu. Päinvastoin, on jopa eduksi saada "ulos" toimenpiteiden päättymisen jälkeen.
Kuitenkin alussa, meneillään noin virus,Sitä pitäisi kuitenkin neutralisoida. Ensinnäkin on välttämätöntä käyttää kannettavia suojaavia apuohjelmia, kuten KVRT, Malwarebytes, Dr.Sc. Web CureIt! ja vastaavia. Huomaa: valvontaan käytettävien ohjelmien on oltava kannettavaa tyyppiä ilman epäonnistumista (ilman asentamista kiintolevylle optimaalisen käynnistyksen yhteydessä irrotettavasta mediasta). Jos uhka havaitaan, se on poistettava välittömästi.
Jos tällaisia toimia ei toimiteta,sinun täytyy ensin mennä "Tehtävienhallintaan" ja täydentää kaikki virukseen liittyvät prosessit, lajittelemalla palvelut nimen mukaan (tämä on yleensä Runtime Broker -prosessi).
Kun olet poistanut tehtävän, sinun on kutsuttava muokkaaja(regedit "Run" -valikossa) ja aseta haku nimeksi "Client Server Runtime System" (ilman lainausmerkkejä), käytä sitten navigointipalkin "Find more ..." tulosten perusteella, poista kaikki löydetyt kohteet. Seuraavaksi sinun täytyy käynnistää tietokone uudelleen ja uskoa "Tehtäväpäällikkö", onko hakuprosessi.
Periaatteessa kysymys siitä, miten NO_MORE_RANSOM-virus voidaan tulkita infektiovaiheessa, voidaan ratkaista tällä menetelmällä. Sen neutraloinnin todennäköisyys ei tietenkään ole suuri, mutta on olemassa mahdollisuus.
Mutta on vielä yksi tekniikka, josta vain vähän ihmisiätietää tai jopa arvaa. Tosiasia on, että käyttöjärjestelmä luo jatkuvasti omat varjon varmuuskopiot (esimerkiksi palautuksen tapahtuessa), tai käyttäjä luo tarkoituksellisesti tällaisia kuvia. Käytännössä käy ilmi, että virus ei vaikuta tällaisiin kopioihin (sen rakenteessa sitä ei yksinkertaisesti ole, vaikka sitä ei suljeta pois).
Niinpä ongelma, miten tulkitaanNO_MORE_RANSOM, tulee käyttämään niitä. Tämän vuoksi ei ole suositeltavaa käyttää tavallisia Windows-työkaluja (ja monet käyttäjät eivät voi käyttää piilotettuja kopioita lainkaan). Siksi sinun on käytettävä ShadowExplorer-apuohjelmaa (se on kannettava).
Palauttamiseksi sinun tarvitsee vain juostasuoritettava ohjelmatiedosto, lajittele tiedot päivämäärien tai osien mukaan, valitse haluamasi kopio (tiedosto, kansio tai koko järjestelmä) ja käytä vientilinjaa PCM-valikosta. Valitse sitten hakemisto, jossa nykyinen kopio tallennetaan, ja käytä sitten normaalia palautusprosessia.
Tietenkin ongelmaan, miten tulkitaanNO_MORE_RANSOM, monet laboratoriot tarjoavat omat ratkaisunsa. Esimerkiksi Kaspersky Lab suosittelee käyttämään omaa Kaspersky Decryptor -tuotteita, joka on esitelty kahdessa versiossa - Rakhini ja Rector.
Yhtä mielenkiintoisia ovat samankaltaisetdekooderin NO_MORE_RANSOM kehittäminen Dr. Web. Mutta tässä on heti tarpeen katsoa, että tällaisten ohjelmien käyttö on perusteltua vain, jos uhka tunnistetaan nopeasti, kunhan kaikki tiedostot eivät ole saaneet tartunnan. Jos virus on vakiintunut järjestelmään (kun salattuja tiedostoja ei voida verrata niiden salaamattomiin alkuperäisiin), tällaiset sovellukset voivat olla hyödyttömiä.
Itse asiassa on vain yksi johtopäätös:Tämän viruksen torjuminen on välttämätöntä vain infektion vaiheessa, kun vain ensimmäiset tiedostot salataan. Yleensä kannattaa olla avoinna epäilyttävistä lähteistä vastaanotettujen sähköpostiviestien liitetiedostoja (tämä koskee vain suoraan tietokoneeseen asennettuja asiakkaita - Outlook, Oulook Express jne.). Lisäksi jos yrityksen työntekijällä on käytettävissään asiakkaiden ja yhteistyökumppaneiden osoiteluettelo, "vasemmanpuoleisten" sanomien avaaminen on täysin epäkäytännöllistä, koska enemmistö työskennellessään allekirjoittaa sopimuksia liikesalaisuuksien paljastamisesta ja tietoturvasta.
