NO_MORE_RANSOM - kako dešifrirati šifrirane datoteke?

Konec leta 2016 je svet napadel zelo nepregleden virus Trojan, ki je šifriral uporabniške dokumente in multimedijske vsebine, imenovane NO_MORE_RANSOM. Kako bomo dešifrirali datoteke po vplivu te grožnje. Vendar pa je treba takoj opozoriti vse uporabnike, ki so bili napadeni, da ni enotne metodologije. To je posledica uporabe enega najnaprednejših algoritmi šifriranja,

Kakšen virus je NO_MORE_RANSOM in kako deluje?

Na splošno je virus sam pripisan razredu trojancev, kot je I Love You, ki prodrejo v računalniški sistem in šifrirajo uporabniške datoteke (običajno multimedijske). Če pa se je prenašalec razlikoval le pri šifriranju, je ta virus veliko vzel iz nekočasne senzacionalne grožnje, imenovane DA_VINCI_COD, ki združuje funkcije izumiteljev same po sebi.

Po okužbi se večini datotek zvočnih, video, grafičnih ali pisarniških dokumentov dodeli dolg ime z razširitvijo NO_MORE_RANSOM, ki vsebuje kompleksno geslo.

Ko jih poskusite odpreti, se na zaslonu prikaže sporočilo, ki označuje, da so datoteke šifrirane in morate plačati nekaj zneska za dešifriranje.

Kako grožnja prodre v sistem?

Ne pustimo vprašanja o tem, kako dekodirati datoteke katere koli od zgornjih tipov po izpostavitvi NO_MORE_RANSOM, vendar se obrnite na tehnologijo prehoda virusa v računalniški sistem. Na žalost se lahko zgodi, da se zveni korenina, uporabljena je stara preizkušena metoda: e-poštni naslov prejme črko s prilogo, ki jo ob odprtju uporabnik prejme sprožilec zlonamerne kode.

Izvirnost, kot smo videli, ta tehnika ni drugačna. Vendar pa je sporočilo lahko prikrito kot nesmiselno besedilo. Ali, nasprotno, na primer, če gre za velika podjetja, - pod spremembo pogojev katere koli pogodbe. Jasno je, da navadni uradnik odpre priponko in nato prejme žaljiv rezultat. Eden najsvetlejših izbruhov je bil šifriranje podatkovnih zbirk priljubljenega 1C paketa. In to je resen posel.

NO_MORE_RANSOM: kako dekodirati dokumente?

Kljub temu pa je treba obravnavati glavno vprašanje. Gotovo je vsakdo zainteresiran za dešifriranje datotek. Vir NO_MORE_RANSOM ima svoje zaporedje dejanj. Če uporabnik poskuša dekriptirati takoj po okužbi, se to še vedno lahko naredi nekako. Če se je grožnja v sistemu sistemsko poravnala, žal, brez pomoči strokovnjakov, je nepogrešljiva. Ampak pogosto so nemočni.

Če je bila grožnja odkriti pravočasno, tako samo eno - velja za protivirusni podporo (še niso bili vsi dokumenti šifrirano) poslati par nedostopna za odpiranje datotek in na podlagi prvotne analize, shranjene na izmenljivih medijih, poskusite obnoviti že okužene dokumente prej kopiranje na isti bliskovni pogon vse, kar je še vedno na voljo za odpiranje (čeprav ni nobenega zagotovila, da virus ni prodrl v take dokumente). Po tem, če je res, mora biti nosilec preverjen vsaj z antivirusnim skenerjem (nikoli ne veste kaj).

Algoritem

Prav tako moramo omeniti dejstvo, da je za šifriranje virus uporablja RSA-3072 algoritem, ki je v nasprotju s prej uporabljala RSA-2048 tehnologije je tako zapleten, da je izbira pravilnega gesla, tudi ob predpostavki, da se bo to reševanje celotnega kontingenta anti-virusne laboratorije , lahko traja več mesecev in let. Tako bo vprašanje, kako dešifrirati NO_MORE_RANSOM, zahtevati precej časa. Kaj pa, če morate takoj obnoviti podatke? Najprej odstranite virus sam.

Ali lahko izbrišem virus in kako?

Pravzaprav to ni težko storiti. Sodeč po nenavadnosti ustvarjalcev virusa grožnja v računalniškem sistemu ni prikrita. Ravno nasprotno, je celo ugodno, da se po koncu akcij "izklopi".

Kljub temu pa je treba najprej na peti virusa kljub temu nevtralizirati. Najprej je treba uporabiti prenosne zaščitne pripomočke, kot so KVRT, Malwarebytes, Dr.Sc. Web CureIt! in podobno. Prosimo, upoštevajte: programi, ki se uporabljajo za preverjanje, morajo biti brez težav prenosni (brez namestitve na trdi disk z optimalnim zagonom s prenosnega medija). Če je zaznana grožnja, jo je treba nemudoma odstraniti.

Če se tak ukrep ne predvideva, morate najprej iti na "Task Manager" in ga končali vse postopke, povezane z virusom, razvrščene po imenu storitev (običajno, proces Runtime Broker).

Po odpravi vzroka problema je potrebno urejevalnik registra (regedit v meniju "Run") in iskanje za naslov "Client Server Runtime sistema» (brez narekovajev), nato pa s pomočjo rezultatov gibljejo v meniju "Najdi daleehellip;" odstraniti vse najdene elemente. Nato morate znova zagnati računalnik in verjeti v "Upravitelj opravil", ali je postopek iskanja.

Načeloma lahko s to metodo rešimo vprašanje, kako dešifrirati virus NO_MORE_RANSOM v stopnji okužbe. Verjetnost njegove nevtralizacije seveda ni super, vendar obstaja možnost.

Kako dekriptirati šifrirane datoteke NO_MORE_RANSOM: varnostne kopije

Ampak obstaja še ena tehnika, o kateri malo ljudi ve ali celo ugane. Dejstvo je, da sam operacijski sistem nenehno ustvarja lastne varnostne kopije sence (na primer v primeru okrevanja), ali pa uporabnik namerno ustvari take slike. Kot kaže praksa, virus ne vpliva na takšne kopije (v svoji strukturi preprosto ni zagotovljen, čeprav ni izključen).

Tako je problem dešifriranja NO_MORE_RANSOM zmanjšan na njihovo uporabo. Vendar za to ni priporočljivo uporabljati standardnih orodij za Windows (in mnogi uporabniki sploh ne bodo imeli dostopa do skritih kopij). Zato morate uporabiti pripomoček ShadowExplorer (prenosljiv).

Če želite obnoviti, morate zagnati izvedljivo datoteka programa, podatke razvrstite po datumih ali razdelkih, izberite želeno kopijo (datoteko, mapo ali celoten sistem) in uporabite izvozno linijo iz menija PCM. Nato preprosto izberite imenik, v katerem bo shranjena trenutna kopija, in nato uporabite standardni postopek obnovitve.

Storitve tretjih oseb

Seveda, pri problemu dešifriranja NO_MORE_RANSOM, mnogi laboratoriji ponujajo svoje lastne rešitve. Na primer, Kaspersky Lab priporoča uporabo lastnega programskega izdelka Kaspersky Decryptor, predstavljen v dveh različicah - Rakhini in Rector.

Nič manj zanimivega videza in podobnih dogodkov, kot je dekoder NO_MORE_RANSOM iz Dr. Splet. Toda tu je takoj treba upoštevati, da je uporaba takšnih programov upravičena samo v primeru hitrega odkritja grožnje, dokler niso vse datoteke okužene. Če je virus trdno uveljavljen v sistemu (če šifrirane datoteke ni mogoče primerjati z njihovimi nešifriranimi izvirniki), so take aplikacije lahko neuporabne.

Kot rezultat

Pravzaprav, sklep kaže le eno: boj proti temu virusu je potreben le na stopnji okužbe, ko so šele šifrirane samo prve datoteke. Na splošno velja, da je najbolje, da ne odpreti prilog v e-poštnih sporočilih, prejetih iz dvomljivih virov (to se nanaša izključno na stranke, nameščen neposredno na svojem računalniku - Outlook, Oulook Express, itd). Poleg tega, če ima delavec na voljo seznam strank in partnerjev za reševanje odpiranje "levo" sporočil, da je povsem neprimerno, saj je večina v najem sporazume prijav nerazkrivanju poslovnih skrivnosti, in kibernetsko varnost.