NO_MORE_RANSOM - kuidas dekrüpteerida krüpteeritud faile?

Lõpus 2016 maailma rünnati väga triviaalne-Trooja viirus krüpteerib dokumendid ja multimeedia sisu, dubleeritud NO_MORE_RANSOM. Kuidas faile lahti pärast kokkupuudet selle ohu ja arutatakse edasisi. Siiski, kui see on vajalik, et hoiatada kõiki kasutajaid, kes on rünnatud, et ei ole olemas ühte metoodikat. See on seotud üks kõige arenenum krüpteerimisalgoritmide ja läbitungimisemäära viiruse arvutisüsteemi või isegi kohtvõrgu (kuigi algselt võrgu mõju ja seda ei arvutata).

Milline NO_MORE_RANSOM viirus ja kuidas see toimib?

Üldiselt viirus end troojalaste klass nagu Ma armastan sind, et tungi arvutisüsteemi ja krüptimine kasutaja failid (tavaliselt multimeedia). Siiski, kui vanavanem erinesid vaid krüpteerimist, see viirus on väga palju laenatud kord sensatsiooniline oht nimetatakse DA_VINCI_COD, ühendades iseenesest toimib ka väljapressija.

Pärast nakatumist, enamik helifaile, video, graafika ja ametlikud dokumendid on määratud väga pikka nime laiendus NO_MORE_RANSOM, mis sisaldab kogu parooli.

Kui avatud sõnum näib, et failid on krüptitud ja dekodeerimiseks toote pead mingi summa maksma.

Ohuna süsteemi tungimiseks?

Jätame üksi küsimus, kuidas pärast mõju NO_MORE_RANSOM faile lahti mis tahes eespool nimetatud liiki, ja pöörduvad tehnoloogia tungib viirus arvutisüsteemi. Paraku, nagu kulunud kui see võib tunduda, see kasutab vanamoodne viis: e-posti teel kaasas manus on avatud, saab kasutaja aktiveerimine ja pahatahtliku koodi.

Originaalsus, nagu näeme, see meetod ei erine. Kuid saab sõnumi varjatud mõttetu tekst midagi. Või vastupidi, näiteks on suuremate ettevõtete puhul, - muutus lepingu tingimusi. On arusaadav, et tavaline sekretär avab manuse ja siis ja saab halbu tulemusi. Üks targemaid rakette sai populaarseks krüpteerimist paketi alused 1C andmeid. Ja see on tõsine asi.

NO_MORE_RANSOM: kuidas dešifreerida dokumente?

Aga ikkagi väärt pöörduda peamine küsimus. Kindlasti igaüks on huvitatud sellest, kuidas dekrüpteerida faile. NO_MORE_RANSOM viirus on tegevuste kogum. Kui kasutaja üritab täita dekodeerimiseks kohe pärast nakatumist, oleks midagi muud kui võimalik. Kui oht on kindlalt väljakujunenud süsteemi paraku abita spetsialistid ei saa teha. Aga nad on sageli võimetud.

Kui oht on tuvastatud õigeaegselt, kuidas ainult üks - kohaldatakse viirusetõrje firmad toetust (veel mitte kõik dokumendid on krüpteeritud) saata paari kättesaamatuks avamismeetodite ja põhjal esialgse analüüsi, mis on salvestatud irdkandjalt proovida taastada juba nakatunud dokumendid varem kopeerimine samal USB mälupulk iganes on saadaval avada (kuigi täielikku garantiid, et viirus ei ole levinud sellised dokumendid ei ole sama). Pärast, et kandja lojaalsus on vaja kontrollida vähemalt viirus skanner (kes teab, mida).

algoritm

Mainimata ei saa jätta asjaolu, et varjata viiruse kasutab RSA-3072 algoritmiga, mis erinevalt varem kasutatud RSA-2048 tehnoloogia on nii keeruline, et valik õige parooli, isegi eeldades, et see hakkab tegelema kogu kontingendi viirusetõrje laborid võib kuluda kuid või aastaid. Seega küsimus, kuidas dešifreerida NO_MORE_RANSOM nõuda üsna aeganõudev. Aga mis siis, kui teil on vaja taastada teavet kohe? Esiteks - kustutada viirus ise.

Kas on võimalik eemaldada viirus ja kuidas seda teha?

Tegelikult see ei ole raske teha. Otsustades ülbus viiruse loojad, oht arvutisüsteem ei maskeeritud. Vastupidi - see isegi kasumlik "samoudalitsya" pärast eelnimetatud meetmeid.

Siiski alguses, eeskujul viirus, see ikka tuleb neutraliseerida. Esimene samm on kasutada kaasaskantavaid kaitsev kommunaalteenuste nagu KVRT, Malwarebytes, Dr. Web CureIt! jms. Märkus: kasutatakse katse programm peaks olema kaasaskantav tüüp on kohustuslik (ilma installida midagi kõvakettale töötab optimaalselt alates eemaldatav meedia). Kui oht on tuvastatud, tuleb viivitamata eemaldada.

Kui selline tegevus ei ole sätestatud, siis tuleb kõigepealt minna "Task Manager" ja lõpetada see kõik protsessid, mis on seotud viiruse, järjestatud teenuse nimi (tavaliselt protsessi Runtime Broker).

Pärast eemaldamist probleem, peame nõudma Registry Editor (regedit menüüs "Run") ja otsida pealkirja «Klient Server Runtime süsteem» (ilma jutumärkideta) ja seejärel kasutades liikuda menüüs tulemused "Otsi järgmine ..." eemaldada kõik leitud esemetega. Järgmine peate taaskäivitage arvuti ja usuvad "Task Manager", et näha kas seal on vajalikku protsessi.

Põhimõtteliselt küsimus, kuidas dešifreerida NO_MORE_RANSOM viirus on veel laval nakkuse ja saab lahendada seda meetodit. Tõenäosus neutraliseerimise muidugi on väike, kuid on olemas võimalus.

Kuidas faile lahti krüptida NO_MORE_RANSOM: varukoopiaid

Aga seal on teine meetod, mis vähesed inimesed teavad või isegi oletus. Asjaolu, et operatsioonisüsteemi pidevalt loob oma varju varukoopiaid (näiteks juhul, taastamine), või tahtlikult luua selliseid pilte. Nagu praktika näitab, selle viiruse ei mõjuta need koopiad (oma struktuuri, see on lihtsalt ei pakuta, kuigi see on võimalik).

Seega probleem, kuidas dešifreerida NO_MORE_RANSOM, taandub, et kasutada selle sümboli. Kuid selleks, et kasutada Windows standard tööriistu ei soovitata seda (ja paljud kasutajad peidetud koopiad ei pääse üldse). Seetõttu peate kasutama kasulikkust ShadowExplorer (see on kaasaskantav).

Et taastada, lihtsalt joosta käivitatava programmifaili, sortida kuupäeva või pealkirja, valige soovitud koopia (failid, kaustad või kogu süsteem) ja läbi PCM menüü kasutada ekspordi real. Edasine lihtsalt valitud kataloogi, kus praegune salvestatakse koopia ja seejärel kasutab standard taastamise protsess.

Kolmanda osapoole tööriistad

Muidugi probleem, kuidas dešifreerida NO_MORE_RANSOM paljud laborid teevad oma lahendusi. Näiteks "Kaspersky Lab" soovitab kasutada oma tarkvara toote Kaspersky Decryptor, esitatakse kahes versioonis - Rakhini ja rektor.

Mitte vähem huvitav välimus ja sarnase arengu nagu NO_MORE_RANSOM dekooder dr Web. Aga siin on vaja kohe võtta arvesse, et selliste programmide kasutamine on õigustatud ainult juhul, kiire ohu avastamise, samas mitte kõik failid on nakatunud. Kui viirus on kindlalt juurdunud süsteemi (kui krüpteeritud faile lihtsalt ei saa võrrelda nende mitte-krüpteeritud originaalid), ja see taotlus võib olla kasutu.

Tulemusena

Tegelikult järeldus on ainult üks: viirusega võitlemiseks peab olema üksnes laval infektsioon, kui on ainult esimene krüpteerida faile. Üldiselt on parem mitte avada manuseid e-posti sõnumeid kahtlastest allikatest pärit (see viitab ainult klientidele, paigaldatud otse arvutisse - Outlook, Oulook Express jne). Lisaks, kui töötaja käsutuses nimekirja klientide ja partnerite tegeleda avamine "Vasak" sõnumeid on üsna sobimatu, sest enamik rentides märk nondisclosure lepingute ärisaladuste ning küberjulgeolekut.