NO_MORE_RANSOM - jinsi ya kufuta faili zilizofichwa?

Mwishoni mwa 2016, ulimwengu ulikuwa unashambuliwa na virusi isiyo ya kawaida sana ya Trojan ambayo nyaraka za mtumiaji zilizofichwa na maudhui ya multimedia, iitwayo NO_MORE_RANSOM. Jinsi ya kufuta faili baada ya athari ya tishio hii itazingatiwa zaidi. Hata hivyo, mara unapoonya watumiaji wote ambao wamehamasishwa, hakuna njia ya sare. Hii inatokana na matumizi ya mojawapo ya algorithms ya juu ya encryption, na kiwango cha virusi kupenya katika mfumo wa kompyuta au hata kwenye mtandao wa ndani (ingawa awali haikuundwa kwa athari za mtandao).

Ni aina gani ya virusi ni NO_MORE_RANSOM na inafanyaje kazi?

Kwa ujumla, virusi yenyewe inahusishwa na darasa la Trojans kama vile I Love You ambayo inapenya mfumo wa kompyuta na encrypt files ya mtumiaji (kawaida multimedia). Hata hivyo, kama mzee huyo alipotofautiana tu katika encryption, basi virusi hii ilichukua mengi kutokana na tishio la mara moja-sensing aitwaye DA_VINCI_COD, kuchanganya kazi ya mshangaji yenyewe.

Baada ya maambukizi, faili nyingi za redio, video, graphics au nyaraka za ofisi hupewa jina la muda mrefu na ugani wa NO_MORE_RANSOM, una nenosiri lenye ngumu.

Unapojaribu kuwafungua, ujumbe unaonekana kwenye skrini inayoonyesha kwamba faili zimefichwa, na unahitaji kulipa kiasi fulani ili kuifuta.

Je! Tishio linaingiliaje mfumo?

Hebu tuondoe swali la jinsi ya kufuta faili za aina yoyote ya hapo juu baada ya kufungua NO_MORE_RANSOM, lakini tembelea teknolojia ya kupenya virusi kwenye mfumo wa kompyuta. Kwa bahati mbaya, hata hivyo corny inaweza kuonekana, njia ya kuthibitika zamani hutumiwa: anwani ya barua pepe inapata barua na kiambatisho, ambacho, wakati wa kufunguliwa, mtumiaji hupokea msimbo wa msimbo wa malicious.

Ukweli, kama tunavyoona, njia hii si tofauti. Hata hivyo, ujumbe unaweza kugeuka kama maandishi yasiyo maana. Au, kinyume chake, kwa mfano, ikiwa ni suala la makampuni makubwa, - chini ya mabadiliko ya hali ya mkataba wowote. Ni wazi kwamba karani wa cheo-na-faili hufungua kiambatisho, kisha hupokea matokeo ya kusikitisha. Moja ya mlipuko mkali ulikuwa ni encryption ya database ya maarufu 1C paket. Na hii ni biashara kubwa.

NO_MORE_RANSOM: jinsi ya kuamua nyaraka?

Lakini hata hivyo ni muhimu kushughulikia swali kuu. Hakika kila mtu ana nia ya jinsi ya kufuta faili. Virusi NO_MORE_RANSOM ina mlolongo wa vitendo vyake. Ikiwa mtumiaji anajaribu kufuta mara baada ya maambukizi, bado inaweza kufanyika kwa namna fulani. Ikiwa tishio limeimarishwa kwa mfumo huo, ole, bila msaada wa wataalam hapa ni muhimu. Lakini mara nyingi hawana nguvu.

Ikiwa tishio ilitambuliwa kwa wakati, njia pekee ni kuwasiliana na huduma za kupambana na virusi vya makampuni (sio nyaraka zote zimehifadhiwa bado), tuma faili kadhaa ambazo hazipatikani kufungua, na kwa misingi ya uchambuzi wa asili zilizohifadhiwa kwenye vyombo vya habari vinavyoweza kuondoa, jaribu kurejesha hati zilizoambukizwa tayari Kupikia kwenye flash hiyo sawa kuendesha kila kitu ambacho bado kinapatikana kwa ufunguzi (ingawa pia hakuna dhamana ya kuwa virusi haziingii hati hizo). Baada ya hayo, kuwa kweli, wa kati lazima ahakike angalau na sanidi ya antivirus (hujui nini).

Algorithm

Kwa kuzingatia, inapaswa kuwa alisema kuwa virusi hutumia RSA-3072 algorithm kwa encryption, ambayo, tofauti na teknolojia ya awali ya RSA-2048, ni ngumu sana kwamba uteuzi wa nenosiri linalohitajika, hata ikiwa ni sehemu zote za maabara ya kupambana na virusi , Inaweza kuchukua miezi na miaka. Kwa hivyo, swali la jinsi ya kufuta NO_MORE_RANSOM itahitaji muda mwingi. Lakini ni nini ikiwa unahitaji kurejesha habari mara moja? Kwanza, kuondoa virusi yenyewe.

Ninaweza kufuta virusi na jinsi gani?

Kweli, si vigumu kufanya hivyo. Kwa kuzingatia msukumo wa waumbaji wa virusi, tishio katika mfumo wa kompyuta haijatifiwa. Kinyume chake, ni hata faida kwa "kutoka" baada ya mwisho wa vitendo.

Hata hivyo, kwa mara ya kwanza, unaendelea juu ya virusi, bado inapaswa kufutwa. Kwanza kabisa ni muhimu kutumia huduma za kinga za portable kama KVRT, Malwarebytes, Dr.Sc. Msaada wa wavutiIt! Na kadhalika. Tafadhali kumbuka: mipango inayotumika kwa kuangalia inapaswa kuwa aina inayoweza kushindwa bila kushindwa (bila kufunga kwenye diski ngumu na kuanzisha moja kwa moja kutoka vyombo vya habari vinavyoweza kuondoa). Ikiwa tishio linaonekana, inapaswa kuondolewa mara moja.

Ikiwa sio kesi, lazima kwanza uende kwa Meneja wa Task na ukamilisha mchakato wote unaohusishwa na virusi, ukitenge huduma kwa jina (kwa kawaida mchakato wa Brock Broker).

Baada ya kuondoa kazi, unahitaji kupiga mhariri wa Usajili wa mfumo (regedit katika orodha ya "Run") na utafute jina "Mfumo wa Runtime ya Mteja wa Wateja" (bila ya quotes), halafu tumia orodha ya "Tafuta Ifuata ..." ili uondoe vitu vyote vilivyopatikana. Kisha, unahitaji kurejesha kompyuta na uamini katika "Meneja wa Kazi", ikiwa kuna mchakato wa utafutaji.

Kwa kweli, swali la jinsi ya kuamua virusi vya NO_MORE_RANSOM katika hatua ya maambukizo inaweza kutatuliwa kwa njia hii. Uwezekano wa kutoweka kwake, bila shaka, ni mdogo, lakini kuna nafasi.

Jinsi ya kufuta faili zilizofichwa NO_MORE_RANSOM: salama

Lakini kuna mbinu moja zaidi ambayo watu wachache wanajua au hata nadhani. Ukweli ni kwamba mfumo wa uendeshaji yenyewe hujenga daima sifa zake za kivuli (kwa mfano, ikiwa hupona), au mtumiaji anajenga picha hizo kwa makusudi. Kama inavyoonyesha mazoezi, ni juu ya nakala hizo ambazo virusi hazifanyi kazi (kwa muundo wake si tu zinazotolewa, ingawa hazihusishwa).

Kwa hiyo, tatizo la jinsi ya kufuta NO_MORE_RANSOM imepungua kwa kutumia. Hata hivyo, haipendekezi kutumia zana za kawaida za Windows kwa hili (na watumiaji wengi hawataweza kupata nakala za siri wakati wote). Kwa hiyo, unahitaji kutumia ShadowExplorer ya matumizi (ni portable).

Ili kurejeshe, unahitaji tu kuzindua faili inayoweza kutekelezwa ya programu, fanya habari kwa tarehe au sehemu, chagua nakala ya taka (faili, folda au mfumo mzima) na utumie mstari wa nje kutoka kwenye orodha ya PCM. Kisha, chagua saraka ambapo nakala ya sasa itahifadhiwa, halafu utumie mchakato wa kurejesha kiwango.

Huduma za tatu

Bila shaka, kwa shida ya jinsi ya kuamua NO_MORE_RANSOM, maabara mengi hutoa ufumbuzi wao wenyewe. Kwa mfano, Kaspersky Lab inapendekeza kutumia programu yake mwenyewe Kaspersky Decryptor, iliyotolewa katika matoleo mawili - Rakhini na Rector.

Hakuna kuangalia chini ya kuvutia na maendeleo kama hayo kama NOMORE_RANSOM ya decoder kutoka kwa Dr. Mtandao. Lakini hapa ni mara kwa mara muhimu kuzingatia kwamba matumizi ya mipango hiyo ni haki tu ikiwa inajulikana kwa haraka ya tishio, kama faili zote haziambukizwa. Ikiwa virusi ni imara katika mfumo (wakati faili zilizofichwa haziwezi kulinganishwa na asili zao zisizojulikana), maombi hayo yanaweza kuwa haina maana.

Matokeo yake

Kweli, hitimisho linaonyesha moja tu: kupambana na virusi hii ni muhimu tu katika hatua ya maambukizi, wakati tu files ya kwanza ni encrypted. Kwa ujumla, ni vizuri si kufungua viambatisho kwa ujumbe wa barua pepe uliopatikana kutoka kwa vyanzo vyenye kuhojiwa (hii inatumika kwa wateja tu imewekwa moja kwa moja kwenye kompyuta - Outlook, Oulook Express, nk). Aidha, ikiwa mfanyakazi anaye na orodha ya anwani ya wateja na washirika, kufungua ujumbe "wa kushoto" hauwezi kuwa na maana kabisa, kwani wengi katika mchakato wa kukodisha husaini makubaliano juu ya yasiyo ya kutoa siri ya biashara na cybersecurity.