NO_MORE_RANSOM - ako dešifrovať šifrované súbory?

Na konci roka 2016, svet bol napadnutý veľmi triviálne, trojan vírus, ktorý šifruje dokumenty a multimediálny obsah, prezývaná NO_MORE_RANSOM. Ako dešifrovať súbory po vystavení tejto hrozbe, a bude ďalej konať. Avšak potom, čo treba upozorniť všetkých užívateľov, ktorí boli napadnutí, že neexistuje jediná metóda. To je spojené s jednou z najmodernejších šifrovacích algoritmov a s mierou prieniku vírusu do počítačového systému, alebo dokonca miestnej sieti (aj keď spočiatku na sieťových účinkov a nie je vypočítaná).

To je ale NO_MORE_RANSOM vírus a ako to funguje?

Všeobecne platí, že vírus sám o sebe ako triedu trójske kone, ako Milujem ťa, ktoré preniknúť do počítačového systému a šifrovanie súborov užívateľa (obvykle multimediálnych). Avšak, ak sa starí rodičia sa líšili iba šifrovanie, tento vírus je veľmi požičal si od kedysi senzačný hrozby zvanej DA_VINCI_COD, kombinujúci v sebe tiež funguje vydierača.

Po infekcii, väčšina zvukových súborov, video, grafiku a kancelárskych dokumentov je pridelené veľmi dlhý názov s príponou NO_MORE_RANSOM, obsahujúce zložité heslo.

Keď sa zobrazí otvorila správa, že súbory sú šifrované a dešifrovanie pre produkt budete musieť zaplatiť určitú sumu.

Ako hrozbu preniknúť do systému?

Opusťme sám na otázku, ako sa po náraze NO_MORE_RANSOM dešifrovanie súborov niektorý z vyššie uvedených typov, a obrátiť sa na technológie na preniknutie vírusu do počítačového systému. Bohužiaľ, ako je banálne, ako to môže znieť, že využíva staromódnym spôsobom: prostredníctvom e-mailu je dodávaný s otvorí prílohu, užívateľ dostane aktivačný a škodlivého kódu.

Originalita, ako môžeme vidieť, táto technika sa v ničom nelíši. Avšak, môže byť správa prestrojený za nezmyselné textové čokoľvek. Alebo naopak, napríklad v prípade väčších podnikov, - zmena v podmienkach zmluvy. Je zrejmé, že obyčajný úradník otvorí prílohu a potom a dostane zlé výsledky. Jeden z najjasnejších svetlice sa stala populárnou šifrovacie puzdier 1C dáta. A to je vážna vec.

NO_MORE_RANSOM: Ako dešifrovať dokumenty?

Ale napriek tomu stojí za to sa obrátiť na hlavnú otázku. Iste každý má záujem na tom, ako na dešifrovanie súborov. vírus NO_MORE_RANSOM má postupnosť akcií. Ak sa užívateľ pokúsi vykonať dekódovanie ihneď po infekcii, aby bolo niečo iné, ako je to možné. V prípade, že hrozba je pevne usadil v systéme, žiaľ, bez pomoci odborníkov nemôže robiť. Ale oni sú často bezmocní.

Ak bola zistená hrozba včas, ako jediný - platí pre podporu antivírusových firiem (zatiaľ nie všetky dokumenty boli zašifrované) poslať pár neprístupné pre otváranie súborov a na základe pôvodnej analýzy, uložený na vymeniteľné médium, pokúste sa obnoviť už infikované dokumenty skôr kopírovanie na rovnakom USB flash disk čokoľvek iné, čo je k dispozícii pre otvorenie (hoci plná záruka, že vírus sa nerozšírila do týchto dokumentov nie je to isté). Za to, že na lojalitu nosiča je potrebné kontrolovať aspoň vírusov (kto vie čo).

algoritmus

Mali by sme tiež spomenúť skutočnosť, že šifrovanie vírus využíva RSA-3072 algoritmus, ktorý, na rozdiel od predtým používané RSA-2048 technológia je tak zložitý, že výber správneho hesla, a to aj za predpokladu, že to bude riešiť celý kontingent anti-vírusových laboratóriách môže trvať mesiace alebo roky. To znamená, že otázka, ako dešifrovať NO_MORE_RANSOM, vyžadujú pomerne časovo náročné. Ale čo keď je potrebné okamžite obnoviť informácie? Po prvé - odstrániť vírus sám.

Je možné odstrániť vírus a ako to urobiť?

V skutočnosti to nie je ťažké robiť. Súdiac podľa arogancia tvorcov vírusov, hrozba počítačového systému nie je maskovaný. Naopak - je to aj ziskový "samoudalitsya" po skončení vyššie uvedených akcií.

Avšak, na prvý pohľad, po čele vírusu, to ešte musí byť neutralizované. Prvým krokom je použiť prenosné ochranné pomôcky ako KVRT, Malwarebytes, Dr. Web CureIt! a podobne. Poznámka: používa na testovanie programu by malo byť prenosné typu je povinná (bez toho aby čokoľvek inštalovať na pevný disk s tečúcou optimálne z vymeniteľného média). Ak je detekovaná hrozba, že by mal byť okamžite odstránené.

Ak nie je za predpokladu, táto akcia, musíte najskôr prejsť na "Správca úloh" a dokončiť všetky procesy spojené s vírusom, zoradené podľa názvu služby (typicky proces Runtime Broker).

Po odstránení problému, musíme zavolať Editor databázy Registry (regedit v menu "Run") a hľadať na titul «Client Server Runtime System» (bez úvodzoviek) a potom pomocou menu pre presun na výsledkoch "Find Next ...", aby sa odstránili všetky nájdené položky. Ďalej budete musieť reštartovať počítač, a veriť v "Správca úloh", aby zistili, či je požadované proces.

V zásade platí, že otázka, ako dešifrovať vírus NO_MORE_RANSOM je stále na stupni infekcie a môže byť vyriešený týmto spôsobom. Pravdepodobnosť, že neutralizácia, samozrejme, je malá, ale je tu šanca.

Ako dešifrovať súbory zašifrované NO_MORE_RANSOM: zálohy

Ale je tu iný spôsob, ktorý len málo ľudí vie, alebo dokonca odhad. Skutočnosť, že operačný systém neustále vytvára vlastnú tieňovej zálohy (napríklad v prípade obnovy), alebo zámerne vytváranie takých obrazov. Ako prax ukazuje, tento vírus nemá vplyv na tieto kópie (vo svojej štruktúre, je to jednoducho nie sú stanovené, aj keď je to možné).

To znamená, že problém, ako dešifrovať NO_MORE_RANSOM, scvrkáva v Aby bolo možné používať tento symbol. Aby však bolo možné použiť Windows štandardné nástroje nie sú vhodné pre tento (a mnoho užívateľov do skrytej kópie nebudú mať prístup vôbec). Preto je potrebné použiť utilitu ShadowExplorer (je prenosný).

Ak chcete obnoviť, stačí spustiť spustiteľný súbor programu, triediť informácie podľa dátumu alebo názvu, vyberte požadovaný kópie (súbory, priečinky alebo celý systém) a v ponuke PCM používať exportné linky. Ďalej len vybraný adresár, v ktorom bude aktuálna kópia uložená a potom používa štandardný proces obnovy.

Nástroje tretích strán

Samozrejme, že problém, ako dešifrovať NO_MORE_RANSOM, mnoho laboratórií ponúkať svoje vlastné riešenia. Napríklad, "Kaspersky Lab" odporúča použitie vlastného softvérového produktu Kaspersky Decryptor, predložené v dvoch verziách - Rakhine a rektor.

Nemenej zaujímavý pohľad a podobný vývoj ako NO_MORE_RANSOM dekodéra Dr. Web. Ale tu je okamžite nutné vziať do úvahy, že použitie týchto programov je odôvodnená len v prípade rýchlu detekciu hrozieb, zatiaľ čo nie všetky súbory boli infikované. V prípade, že vírus je pevne zakotvený v systéme (ak je šifrovaný súborov jednoducho nemožno porovnávať s ich non-šifrované originálov), a také aplikácia môže byť k ničomu.

V dôsledku toho

V skutočnosti, záver je jediný: v boji proti vírusu musí byť výhradne na stupni infekcie, kedy je len prvým šifrovanie súborov. Všeobecne platí, že je lepšie otvoriť prílohy v e-mailových správ prijatých z pochybných zdrojov (to sa vzťahuje výhradne pre zákazníkov, inštalovaný priamo na počítači - Outlook, Oulook Express, atď.). Okrem toho, v prípade, že zamestnanec má k dispozícii zoznam zákazníkov a partnerov s cieľom riešiť otvorenie "left" správ, to je celkom nevhodné, pretože väčšina pri prijímaní dohôd znamení dôvernosť obchodných tajomstiev a kybernetickej bezpečnosti.