NO_MORE_RANSOM - kako za dešifriranje šifrirane datoteke?

Krajem 2016. godine, svijet je bio napadnut od strane vrlo trivijalan-trojan virusom šifrira dokumenata i multimedijalnih sadržaja, nazvan NO_MORE_RANSOM. Kako dešifriranje datoteka nakon izlaganja ove prijetnje, te će se raspravljati dalje. Međutim, nakon što je potrebno upozoriti sve korisnike koji su bili napadnuti, da ne postoji niti jedan metodologija. To je povezano s jednom od najnaprednijih algoritme šifriranja, i sa stupnjem penetracije virusa u računalni sustav, ili čak lokalnoj mreži (iako je u početku na mrežnim učincima i nije izračunat).

Što NO_MORE_RANSOM virus i kako se to radi?

Općenito, sam virus kao klasa Trojanci kao I Love You, koji prodiru u računalni sustav i šifriranje korisnikovih datoteka (obično multimedija). Međutim, ako djed i baka su se razlikovali samo šifriranje, ovaj virus je jako puno posudio od jednom senzacionalnom prijetnja zove DA_VINCI_COD, kombinirajući u sebi također djeluje ucjenjivač.

Nakon infekcije, većina audio datoteke, video, grafika i uredske dokumente dodjeljuje jako dugo ime s nastavkom NO_MORE_RANSOM sadrži složenu lozinku.

Kada se pojavi otvorena poruka koje su datoteke šifrirane i dešifriranje za proizvod morate platiti neki iznos.

Kao prijetnju prodrijeti u sustav?

Ostavimo na miru na pitanje kako je, nakon udara NO_MORE_RANSOM dešifriranje datoteka bilo koji od gore navedenih vrsta i obratiti tehnologije prodire virus u računalni sustav. Nažalost, kao banalan kao što svibanj zvuk, koristi starinski način: putem e-mail dolazi s privitkom otvorena, korisnik dobiva aktivaciju i zlonamjernog koda.

Originalnost, kao što možemo vidjeti, ova tehnika se ne razlikuje. Međutim, poruka može biti prikriven kao besmislene teksta ništa. Ili, naprotiv, na primjer, u slučaju većih tvrtki, - promjene u uvjetima ugovora. Razumljivo je da obični činovnik otvara privitak, a zatim i dobiva loše rezultate. Jedan od najsjajnijih baklji postao popularan šifriranje paket baze 1C podatke. A to je ozbiljna stvar.

NO_MORE_RANSOM: kako dešifrirati dokumente?

No, još uvijek vrijedi da se na glavno pitanje. Sigurno svi zainteresirani kako za dekriptiranje datoteka. NO_MORE_RANSOM virus ima slijed akcija. Ako korisnik pokuša izvesti dešifriranje odmah nakon infekcije, kako bi ona nešto drugo što je više moguće. Ako je prijetnja čvrsto smjestio u sustavu, nažalost, bez pomoći stručnjaka ne može učiniti. No, oni su često nemoćni.

Ako je prijetnja je otkrivena na vrijeme, onako kako samo jedan - primjenjuju se na antivirusne tvrtke podrške (još nije svi dokumenti su enkriptirane) poslati par nedostupan za otvaranje datoteke i na temelju izvorne analize, pohranjene na prijenosnim medijima, pokušajte vratiti već zaražene dokumente prethodno kopiranje na istom USB bljesak voziti bilo što drugo je dostupan za otvaranje (iako pun jamstvo da se virus nije proširio na takve dokumente nije isto). Nakon toga, za vjernost nosioca potrebno je provjeriti barem virus skener (tko zna što).

algoritam

Također treba spomenuti i činjenicu da za šifriranje virus koristi RSA-3072 algoritam koji, za razliku od ranije koristi RSA-2048 tehnologija je toliko složen da je izbor ispravnu lozinku, čak i pod pretpostavkom da će se to riješiti cijelog kontingenta anti-virus laboratorijima , može trajati mjesecima ili godinama. Dakle, postavlja se pitanje kako dešifrirati NO_MORE_RANSOM, zahtijeva dosta vremena. No, što ako je potrebno odmah vratiti podatke? Prije svega - za brisanje virus.

Je li moguće ukloniti virus i kako to učiniti?

Zapravo, to nije teško za napraviti. Sudeći po arogancije virus stvaralaca, prijetnja računalni sustav nije maskiran. Naprotiv - to čak isplativo „samoudalitsya” nakon završetka navedenih postupaka.

Ipak, na prvi pogled, sljedeće vodstvo od virusa, još uvijek se mora neutralizirati. Prvi korak je da koristite prijenosni zaštitne komunalije kao KVRT, Malwarebytes, Dr. Web CureIt! i slično. Napomena: koristiti za testiranje programa treba biti prijenosnog tipa je obavezno (bez instaliranja išta na tvrdom disku s tekućom optimalno s izmjenjivog medija). Ako je otkrivena prijetnja, to treba odmah ukloniti.

Ako takva radnja nije predviđeno, prvo morate ići na „Task Manager” i završiti ga sve procese povezane s virusom, razvrstanih po imenu usluge (obično, proces Runtime Broker).

Nakon uklanjanja problema, moramo nazvati Registry Editor (regedit u izborniku „Run”) i tražiti naslov «Klijent Server Runtime sustava» (bez navodnika), a zatim pomoću izbornika potez o rezultatima „Find Next ...” ukloniti sve pronađene predmete. Zatim ćete morati ponovno pokrenuti računalo, a da vjeruje u „Task Manager” da vidi da li je zahtijevana proces.

U principu, pitanje kako dešifrirati NO_MORE_RANSOM virus je još uvijek u fazi infekcije, a može se riješiti ove metode. Vjerojatnost neutralizacije, naravno, je mala, ali postoji mogućnost.

Kako dešifrirati datoteke kodiran NO_MORE_RANSOM: sigurnosne kopije

No, postoji još jedan način koji malo ljudi zna ili čak pogoditi. Činjenica da je operativni sustav stalno stvara svoje vlastite sjene kopije (na primjer, u slučaju povrata) ili namjerno stvaranje takve slike. Kao što praksa pokazuje, ovaj virus ne utječe na one kopije (u svojoj strukturi, to se jednostavno ne pruža, iako je moguće).

Dakle, problem kako dešifrirati NO_MORE_RANSOM, svodi na kako bi mogli koristiti taj simbol. Međutim, za korištenje Windows standardne alate ne preporučuju za to (i mnogi korisnici na skrivene kopije neće imati pristup na sve). Dakle, morate koristiti uslužni ShadowExplorer (to je prenosiv).

Za vraćanje, jednostavno pokrenite izvršnu programsku datoteku, sortirati podatke po datumu ili naslovu, odaberite željeni primjerak (datoteke, mape ili cijeli sustav), te kroz izbornik PCM koristiti izvoz liniju. Nadalje jednostavno odabrani direktorij u kojemu je sadašnja kopija će se pohraniti i zatim koristi standardni proces oporavka.

Alati trećih strana

Naravno, problem kako dešifrirati NO_MORE_RANSOM, mnogi laboratoriji nude vlastita rješenja. Na primjer, „Kaspersky Lab” preporučuje korištenje vlastitog softverskog proizvoda Kaspersky Decryptor, predstavljen u dvije verzije - Rakhini i rektor.

Ništa manje zanimljiv izgled i sličan razvoj kao NO_MORE_RANSOM dekoder Dr. Web. No, ovdje je potrebno odmah uzeti u obzir da je uporaba takvih programa je opravdano samo u slučaju brzog otkrivanja prijetnji, dok nisu svi datoteke su zaražene. Ako je virus čvrsto ukorijenjeni u sustavu (kad šifrirane datoteke jednostavno ne može usporediti sa svojim ne-kodiran izvornika), a takav zahtjev može biti beskoristan.

Kao rezultat

U stvari, zaključak je samo jedan: u borbi protiv virusa moraju biti isključivo na pozornici infekcije, kada postoji samo prvi šifriranje datoteka. U principu, najbolje je ne otvarati privitke u porukama e-pošte primili od sumnjivih izvora (ovo se odnosi isključivo na kupce, instalira izravno na računalu - Outlook, Oulook Express, itd). Osim toga, ako zaposlenik ima na raspolaganju popis klijenata i partnera za rješavanje otvaranje „lijevo” poruka da je sasvim neprimjereno, kao i većina u zapošljavanju potpisati sporazum o tajnosti poslovnih tajni i cyber sigurnosti.