NO_MORE_RANSOM - របៀបដើម្បីឌិគ្រីបឯកសារដែលបានអ៊ិនគ្រីប?

នៅចុងឆ្នាំ 2016 ពិភពលោកត្រូវបានវាយប្រហារដោយមេរោគ Trojan យ៉ាងខ្លាំង-តូចតាចមួយអ៊ីនគ្រីបឯកសារនិងមាតិកា Multimedia, NO_MORE_RANSOM ឈ្មោះថា។ តើធ្វើដូចម្តេចដើម្បីឌិគ្រីបឯកសារបន្ទាប់ពីការប៉ះពាល់ទៅនឹងការគំរាមកំហែងនេះហើយនឹងត្រូវបានពិភាក្សាបន្ថែមទៀត។ ទោះជាយ៉ាងណានៅពេលដែលវាគឺជាការចាំបាច់ដើម្បីព្រមានដល់អ្នកប្រើប្រាស់ទាំងអស់ដែលត្រូវបានគេវាយប្រហារ, ថាគ្មានវិធីសាស្រ្តតែមួយ។ នេះត្រូវបានភ្ជាប់ជាមួយនឹងក្បួនដោះស្រាយការអ៊ិនគ្រីបមួយនៃកម្រិតខ្ពស់បំផុតហើយជាមួយនឹងកម្រិតនៃការជ្រៀតចូលរបស់មេរោគនេះចូលទៅក្នុងប្រព័ន្ធកុំព្យូទ័រឬសូម្បីតែបណ្តាញមូលដ្ឋាន (បើទោះបីដំបូងនៅលើផលប៉ះពាល់បណ្តាញនិងមិនត្រូវបានគណនាវា) ។

តើអ្វីទៅជាមេរោគ NO_MORE_RANSOM មួយនិងរបៀបដែលវាធ្វើការ?

ជាទូទៅមេរោគរបស់វាដែលថ្នាក់នៃផែ្នកដូចជាខ្ញុំស្រឡាញ់អ្នកដែលបានជ្រាបចូលទៅក្នុងប្រព័ន្ធកុំព្យូទ័រនិងការអ៊ិនគ្រីបឯកសារអ្នកប្រើ (ជាធម្មតាពហុមេឌៀ) ។ ទោះយ៉ាងណាបើការអ៊ិនគ្រីបខុសគ្នាជីដូនឬជីតាទទួលតែមេរោគនេះត្រូវបានខ្ចីយ៉ាងខ្លាំងពីការគំរាមកំហែងដែលគេហៅថាម្តងអារម្មណ៍ DA_VINCI_COD, រួមបញ្ចូលគ្នារវាងខ្លួនវាផ្ទាល់ផងដែរមានមុខងារក្នុងការ extortionist ។

បន្ទាប់ពីការឆ្លងមេរោគ, ភាគច្រើននៃឯកសារអូឌីយ៉ូ, វីដេអូ, ក្រាហ្វិកនិងឯកសារការិយាល័យនេះត្រូវបានផ្តល់ឈ្មោះជាយូរណាស់ជាមួយនឹង NO_MORE_RANSOM ផ្នែកបន្ថែមដែលមានពាក្យសម្ងាត់ដែលស្មុគ្រស្មាញមួយ។

ពេលសារបានបើកបង្ហាញថាឯកសារដែលបានអ៊ិនគ្រីបគឺការឌិគ្រីបសម្រាប់ផលិតផលនិងការដែលអ្នកត្រូវការដើម្បីបង់ប្រាក់ចំនួនទឹកប្រាក់មួយចំនួន។

ជាការគំរាមកំហែងមួយដើម្បីវាយលុកចូលទៅក្នុងប្រព័ន្ធនេះ?

សូមឱ្យយើងចាកចេញពីតែម្នាក់ឯងសំណួរថាតើបន្ទាប់ពី NO_MORE_RANSOM ផលប៉ះពាល់ឌិគ្រីបឯកសារណាមួយនៃប្រភេទខាងលើនេះហើយងាកទៅរកបច្ចេកវិទ្យាសម្រាប់ការជ្រៀតចូលមេរោគចូលទៅក្នុងប្រព័ន្ធកុំព្យូទ័រ។ ជាអកុសល, ជា corny ដូចជាវាអាចស្តាប់ទៅវាប្រើតាមរបៀបចាស់: តាមរយៈអ៊ីមែលបានភ្ជាប់មកជាមួយឯកសារភ្ជាប់មួយត្រូវបានបើកអ្នកប្រើទទួលបានធ្វើឱ្យមានសកម្មនិងលេខកូដដែលមានគំនិតអាក្រក់។

ប្រភពដើម, ដូចដែលយើងអាចមើលឃើញ, បច្ចេកទេសនេះគឺមិនខុសគ្នា។ ទោះជាយ៉ាងណា, សារដែលអាចត្រូវបានក្លែងធ្វើជាអ្វីនោះទេអត្ថបទគ្មានន័យ។ ឬនៅលើផ្ទុយមកវិញ, ឧទាហរណ៍, នៅក្នុងករណីនៃក្រុមហ៊ុនធំ, - ការផ្លាស់ប្តូរនៅក្នុងលក្ខខណ្ឌនៃកិច្ចសន្យាមួយ។ វាត្រូវបានយល់ថាជាការបើកឯកសារភ្ជាប់ស្មៀនធម្មតានេះហើយបន្ទាប់មកនិងទទួលបានលទ្ធផលក្រីក្រ។ មួយនៃដុំភ្លើងភ្លឺបានក្លាយជាការពេញនិយមមូលដ្ឋានទិន្នន័យកញ្ចប់អ៊ីនគ្រីប 1C ។ ហើយនេះគឺជាបញ្ហាធ្ងន់ធ្ងរ។

NO_MORE_RANSOM: របៀបដើម្បីយល់ពីអត្ថន័យឯកសារនេះ?

ប៉ុន្តែនៅតែមានតម្លៃវាឱ្យងាកទៅសំណួរសំខាន់។ ពិតណាស់មនុស្សគ្រប់រូបគឺជាចំណាប់អារម្មណ៍នៅក្នុងរបៀបដើម្បីឌិគ្រីបឯកសារ។ មេរោគ NO_MORE_RANSOM មានលំដាប់នៃសកម្មភាពមួយ។ ប្រសិនបើអ្នកប្រើដែលបានព្យាយាមដើម្បីអនុវត្តភ្លាមបន្ទាប់ពីការឆ្លងមេរោគឌិគ្រីប, ធ្វើឱ្យវាមានអ្វីផ្សេងទៀតដែលអាចធ្វើបាន។ ប្រសិនបើមានការគំរាមកំហែងនេះគឺត្រូវបានដោះស្រាយយ៉ាងរឹងមាំនៅក្នុងប្រព័ន្ធគួរឱ្យសោកស្ដាយដោយមិនចាំបាច់មានជំនួយពីអ្នកជំនាញមិនអាចធ្វើបាន។ ប៉ុន្តែពួកគេជាញឹកញាប់មិនមានអំណាច។

ប្រសិនបើមានការគំរាមកំហែងនេះត្រូវបានគេរកឃើញនៅក្នុងលក្ខណៈទាន់ពេលវេលា, វិធីតែមួយគត់ - អនុវត្តទៅលើការគាំទ្រក្រុមហ៊ុនកំចាត់មេរោគ (មិនទាន់ឯកសារទាំងអស់ត្រូវបានអ៊ិនគ្រីប) ដើម្បីផ្ញើគូមិនអាចចូលដំណើរការសម្រាប់ការបើកឯកសារនិងនៅលើមូលដ្ឋាននៃការវិភាគដើមនេះត្រូវបានរក្សាទុកនៅលើមេឌៀចល័តព្យាយាមដើម្បីស្តារឯកសារដែលបានឆ្លងរួចទៅហើយកាលពីមុន ចម្លងនៅលើឧបករណ៍ផ្ទុក USB ដូចគ្នានេះដែរគឺអាចរកបានអ្វីផ្សេងទៀតដើម្បីបើក (ទោះបីជាការធានាពេញលេញថាមេរោគនេះបានរីករាលដាលទៅកាន់ឯកសារដែលមិនដូចជាការគឺមិនដូចគ្នា) ។ បន្ទាប់ពីនោះ, សម្រាប់ភាពស្មោះត្រង់ក្រុមហ៊ុនមួយវាគឺជាការចាំបាច់ដើម្បីពិនិត្យមើលយ៉ាងហោចណាស់ម៉ាស៊ីនស្កេនមេរោគ (ដែលបានដឹងពីអ្វី) ។

ក្បួនដោះស្រាយ

យើងគួរតែនិយាយការពិតដែលថាអ៊ិនគ្រីបមេរោគនេះប្រើក្បួនដោះស្រាយសាលាភូមិន្ទរដ្ឋបាល-3072 ដែលផ្ទុយទៅនឹងបច្ចេកវិទ្យាសាលាភូមិន្ទរដ្ឋបាល-2048 ដែលបានប្រើពីមុនគឺមានភាពស្មុគស្មាញដូច្នេះ, ថាការជ្រើសរើសពាក្យសម្ងាត់ត្រឹមត្រូវ, សូម្បីតែការសន្មត់ថានេះនឹងដោះស្រាយជាមួយនឹងកីឡាករទាំងមូលនៃមន្ទីរពិសោធន៍ប្រឆាំងនឹងមេរោគ វាអាចយកខែឬឆ្នាំ។ ដូច្នេះសំណួរនៃរបៀបដើម្បីយល់ពីអត្ថន័យ NO_MORE_RANSOM នេះតម្រូវឱ្យមានការប្រើប្រាស់ពេលវេលាណាស់។ ប៉ុន្តែអ្វីដែលប្រសិនបើអ្នកត្រូវការស្តារពភ្លាម? ជាដំបូងនៃការទាំងអស់ - ដើម្បីលុបមេរោគដោយខ្លួនវាផ្ទាល់។

វាគឺជាការដែលអាចធ្វើបានដើម្បីយកមេរោគនេះនិងរបៀបដើម្បីធ្វើវា?

ជាការពិតណាស់, វាមិនមែនជាការលំបាកក្នុងការធ្វើ។ Judging ដោយក្រអឺតក្រទមអ្នកបង្កើតមេរោគនេះ, ការគំរាមកំហែងនៃប្រព័ន្ធកុំព្យូទ័រនេះគឺមិនត្រូវបានបិទបាំង។ នៅលើផ្ទុយមកវិញ - វាសូម្បីតែ "samoudalitsya" ផលចំណេញបន្ទាប់ពីការបញ្ចប់នៃសកម្មភាពខាងលើនេះ។

ទោះជាយ៉ាងណានៅលើកដំបូង, បន្ទាប់ពីការនាំមុខនៃមេរោគនេះ, វានៅតែត្រូវតែត្រូវបាន neutralized ។ ជំហានដំបូងគឺត្រូវប្រើឧបករណ៍ចល័តដូច KVRT ការពារ, Malwarebytes, លោកបណ្ឌិត CureIt បណ្តាញ! និងដូចជា។ ចំណាំ: បានប្រើដើម្បីសាកល្បងកម្មវិធីនេះគួរតែមានប្រភេទចល័តមួយគឺជាការចាំបាច់ (ដោយមិនដំឡើងអ្វីទាំងអស់នៅលើដ្រាយរឹងជាមួយនឹងការរត់ល្អប្រសើរបំផុតពីមេឌៀចល័តបាន) ។ ប្រសិនបើមានការគំរាមកំហែងមួយត្រូវបានរកឃើញវាគួរតែត្រូវបានយកចេញភ្លាម។

ប្រសិនបើសកម្មភាពបែបនេះមិនត្រូវបានផ្តល់ជូនជាដំបូងអ្នកត្រូវតែចូលទៅកាន់ "កម្មវិធីគ្រប់គ្រងភារកិច្ច" និងបញ្ចប់វាដំណើរការទាំងអស់ដែលជាប់ទាក់ទងជាមួយមេរោគនេះបានតម្រៀបតាមឈ្មោះសេវា (ជាធម្មតាដំណើរការនេះពេលរត់ឈ្មួញកណ្តាល) ។

បន្ទាប់ពីការយកចេញបញ្ហានេះយើងត្រូវតែហៅកម្មវិធីនិពន្ធចុះបញ្ជី (regedit ក្នុងម៉ឺនុយ "រត់") និងស្វែងរកចំណងជើង«ម៉ាស៊ីនបម្រើអតិថិជនពេលរត់ប្រព័ន្ធ» (ដោយគ្មានសញ្ញាសម្រង់) ហើយបន្ទាប់មកដោយប្រើម៉ឺនុយការផ្លាស់ប្តូរនៅលើលទ្ធផលនៃ "ការរកបន្ទាប់ ... " ដើម្បីយកចេញធាតុទាំងអស់ដែលបានរកឃើញ។ បន្ទាប់អ្នកត្រូវការដើម្បីចាប់ផ្តើមកុំព្យូទ័រនិងដើម្បីជឿថានៅក្នុង "កម្មវិធីគ្រប់គ្រងភារកិច្ច" ដើម្បីមើលប្រសិនបើមានគឺជាដំណើរការដែលត្រូវការ។

ជាគោលការណ៍សំណួររបៀបនៃការយល់ពីអត្ថន័យរបស់មេរោគ NO_MORE_RANSOM គឺនៅតែមាននៅលើឆាកនៃការឆ្លងមេរោគ, និងអាចត្រូវបានដោះស្រាយដោយវិធីសាស្រ្តនេះ។ ប្រូបាប៊ីលីតេនៃការអព្យាក្រឹតជាការពិតណាស់, គឺតូចប៉ុន្តែមានឱកាសមួយ។

តើធ្វើដូចម្តេចដើម្បីឌិគ្រីបឯកសារដែលបានអ៊ិនគ្រីប NO_MORE_RANSOM: ការបម្រុងទុក

ប៉ុន្តែមានវិធីសាស្រ្តមួយទៀតគឺការដែលមនុស្សមួយចំនួនដែលបានដឹងឬសូម្បីតែការស្មាន។ ការពិតដែលថាប្រព័ន្ធប្រតិបត្តិការជានិច្ចបង្កើតការបម្រុងទុកស្រមោលផ្ទាល់ខ្លួនរបស់វា (ឧទាហរណ៍នៅក្នុងករណីនៃការងើបឡើងវិញ) ឬដោយចេតនាបង្កើតរូបភាពបែបនេះ។ តាមការអនុវត្តបានបង្ហាញ, មេរោគនេះមិនប៉ះពាល់ដល់ច្បាប់ចម្លងអ្នក (នៅក្នុងរចនាសម្ព័ន្ធរបស់ខ្លួន, ដែលវាត្រូវបានជាធម្មតាមិនបានផ្តល់ទោះបីជាវាគឺអាចធ្វើបាន) ។

ដូច្នេះបញ្ហានៃរបៀបដើម្បីយល់ពីអត្ថន័យ NO_MORE_RANSOM ដែលបានពុះចុះទៅនៅក្នុងគោលបំណងដើម្បីប្រើសញ្ញានោះ។ ទោះជាយ៉ាងណា, ប្រើឧបករណ៍ស្ដង់ដារគឺមិនត្រូវបានផ្ដល់អនុសាសន៍ប្រព័ន្ធប្រតិបត្តិការ Windows សម្រាប់ការនេះ (និងអ្នកប្រើជាច្រើនច្បាប់ចម្លងដែលបានលាក់នោះនឹងមិនមានសិទ្ធិចូលដំណើរការទាំងអស់) ។ ដូច្នេះអ្នកត្រូវប្រើឧបករណ៍ប្រើប្រាស់ដែល ShadowExplorer (វាគឺជាការចល័ត) ។

ដើម្បីស្ដារ, គ្រាន់តែដំណើរការដែលអាចប្រតិបត្តិបាន ឯកសារកម្មវិធី, តម្រៀបពតាមកាលបរិច្ឆេទឬចំណងជើងជ្រើសច្បាប់ចម្លងដែលអ្នកចង់បាន (ឯកសារថត, ឬប្រព័ន្ធទាំងមូល) និងតាមរយៈម៉ឺនុយ PCM ដើម្បីប្រើបន្ទាត់នៃការនាំចេញនេះ។ លើសពីនេះទៀតថតដែលបានជ្រើសគ្រាន់តែនៅក្នុងការដែលច្បាប់ចម្លងបច្ចុប្បន្ននឹងត្រូវបានរក្សាទុកនិងបន្ទាប់មកប្រើដំណើរការងើបឡើងវិញស្តង់ដារ។

ឧបករណ៍ដែលមានភាគីទីបី

ជាការពិតណាស់បញ្ហានៃរបៀបដើម្បីយល់ពីអត្ថន័យ NO_MORE_RANSOM នេះមន្ទីរពិសោធន៍ជាច្រើនបានផ្តល់នូវដំណោះស្រាយរបស់ខ្លួនផ្ទាល់។ ឧទាហរណ៍ "របស់ Kaspersky Lab" បានផ្តល់អនុសាសន៍ការប្រើផលិតផលរបស់ Kaspersky ផ្នែកទន់ផ្ទាល់របស់ខ្លួន Decryptor, បានបង្ហាញនៅក្នុងកំណែទាំងពីរនេះ - Rakhini និងសាកលវិទ្យាធិការ។

មើលទៅគួរឱ្យចាប់អារម្មណ៍តិចនិងគ្មានការអភិវឌ្ឍដែលស្រដៀងគ្នាដូចជាឌិកូឌ័រ NO_MORE_RANSOM ដោយលោកបណ្ឌិត បណ្តាញ។ ប៉ុន្តែនៅទីនេះវាគឺជាការចាំបាច់ជាបន្ទាន់ដើម្បីយកទៅក្នុងគណនីថាការប្រើប្រាស់នៃកម្មវិធីបែបនេះអោយបានសុចរិតតែនៅក្នុងករណីនៃការរកឃើញការគំរាមកំហែងមួយយ៉ាងលឿនខណៈពេលដែលមិនមានឯកសារទាំងអស់ដែលបានឆ្លងមេរោគ។ ប្រសិនបើមានមេរោគនេះបានចាក់ឫសគល់យ៉ាងរឹងមាំនៅក្នុងប្រព័ន្ធនេះ (នៅពេលដែលបានអ៊ិនគ្រីបឯកសារដែលគ្រាន់តែមិនអាចត្រូវបានបើប្រៀបធៀបនឹងដើមមិនបានអ៊ិនគ្រីបរបស់ខ្លួន), និងកម្មវិធីបែបនេះអាចជាការគ្មានប្រយោជន៍។

ជាលទ្ធផល

ជាការពិតទីបញ្ចប់គឺមានតែមួយ: ដើម្បីប្រយុទ្ធប្រឆាំងនឹងមេរោគនេះត្រូវតែមានតែនៅលើឆាកនៃការឆ្លងមេរោគនៅពេលដែលមានគឺគ្រាន់តែជាការអ៊ិនគ្រីបដំបូងនៃឯកសារ។ ជាទូទៅវាជាការល្អបំផុតមិនមែនដើម្បីបើកឯកសារភ្ជាប់នៅក្នុងសារអ៊ីម៉ែលដែលបានទទួលពីប្រភពគួរឱ្យសង្ស័យ (នេះសំដៅទាំងស្រុងទៅអតិថិជនដែលបានដំឡើងដោយផ្ទាល់នៅលើកុំព្យូទ័ររបស់អ្នក - ទស្សនៈវិស័យ, Oulook ប្រេស, ល) ។ លើសពីនេះទៀតប្រសិនបើនិយោជិតមាននៅក្នុងការបោះចោលរបស់ខ្លួនក្នុងបញ្ជីរបស់អតិថិជននិងដៃគូដើម្បីដោះស្រាយការបើកសារ "ឆ្វេង" វាជាការមិនសមរម្យណាស់, ដូចជាភាគច្រើននៅក្នុងការជួលកិច្ចព្រមព្រៀង nondisclosure សញ្ញានៃការសម្ងាត់ពាណិជ្ជកម្មនិងសន្តិសុខតាមប្រព័ន្ធអ៊ីនធឺណិតបាន។