NO_MORE_RANSOM - cum să decripta fișierele criptate?

La sfârșitul anului 2016, lumea a fost atacat de un virus foarte triviale-troian criptează documente și conținut multimedia, NO_MORE_RANSOM numit. Cum de a decripta fișiere după expunerea la această amenințare, și vor fi discutate în continuare. Cu toate acestea, odată ce este necesar pentru a avertiza toți utilizatorii care au fost atacate, că nu există o metodologie unică. Acest lucru este legat de unul dintre algoritmii de criptare mai avansate, precum și cu gradul de penetrare a virusului în sistemul informatic, sau chiar o rețea locală (deși inițial cu privire la efectele de rețea și nu este calculat).

Ce un virus NO_MORE_RANSOM și cum funcționează?

In general, virusul în sine ca clasă de troieni, cum ar fi I Love You, care pătrund în sistemul informatic și criptarea fișierelor utilizatorului (de obicei, multimedia). Cu toate acestea, în cazul în care un bunic a diferit doar de criptare, acest virus este foarte mult împrumutată de la amenințarea dată senzațional numit DA_VINCI_COD, care combină în sine funcționează, de asemenea, șantajist.

După infectare, majoritatea fișierelor audio, video, grafică și documente de birou i se atribuie un nume foarte lung, cu o extensie NO_MORE_RANSOM, care conține o parolă complexă.

Când apare mesajul deschis că fișierele sunt criptate și decriptare pentru produsul pe care trebuie să plătească o anumită sumă.

Ca o amenințare pentru a pătrunde în sistem?

Să ne lase în pace întrebarea cum, după NO_MORE_RANSOM impact decripta fișiere de oricare dintre tipurile de mai sus, și să se întoarcă la tehnologie pentru penetrarea virusului în sistemul informatic. Din pacate, oricat de ciudat ar suna, folosește un fel de modă veche: prin e-mail vine cu un atașament este deschis, utilizatorul primește de activare și codul malițios.

Originalitatea, după cum putem vedea, această tehnică nu este diferită. Cu toate acestea, mesajul poate fi deghizat ca orice text lipsit de sens. Sau, dimpotrivă, de exemplu, în cazul companiilor mari, - o schimbare în condițiile unui contract. Se înțelege că un funcționar obișnuit se deschide fișierul atașat, iar apoi și devine rezultate slabe. Una dintre cele mai strălucitoare rachete de semnalizare au devenit populare baze de date de pachete de criptare 1C. Și aceasta este o problemă serioasă.

NO_MORE_RANSOM: cum să descifreze documentele?

Dar, totuși, merită să se întoarcă la întrebarea principală. Cu siguranță toată lumea este interesat de modul de a decripta fișierele. Virusul NO_MORE_RANSOM are o secvență de acțiuni. În cazul în care utilizatorul încearcă să efectueze decriptare imediat după infectare, fac altceva posibil. În cazul în care amenințarea este ferm stabilit în sistem, din păcate, fără ajutorul profesioniștilor nu se poate face. Dar ei sunt adesea lipsiți de putere.

În cazul în care amenințarea a fost detectată în timp util, modul în care un singur - se aplică pentru a sprijini companiile antivirus (încă nu toate documentele au fost criptate) pentru a trimite o pereche de inaccesibile pentru deschiderea fișierelor și pe baza analizei originale, stocate pe suport amovibil, încercați să restabiliți documentele deja infectate anterior copierea pe aceeași unitate flash USB orice altceva este disponibil pentru a deschide (deși o garanție completă că virusul nu sa extins la astfel de documente nu este același lucru). După aceea, pentru o fidelitate purtător este necesar să se verifice cel puțin un virus scanner (cine știe ce).

algoritmul

Ar trebui să menționăm, de asemenea, faptul că, pentru a cripta virusul foloseste algoritmul RSA-3072, care, în contrast cu tehnologia RSA-2048 utilizat anterior este atât de complexă, încât selectarea parolei corecte, chiar presupunând că acest lucru se va face cu întregul contingent de laboratoare anti-virus , poate dura luni sau ani. Astfel, întrebarea cum să descifreze NO_MORE_RANSOM, necesita destul de consumatoare de timp. Dar ce se întâmplă dacă aveți nevoie de informații pentru a restabili imediat? Mai întâi de toate - pentru a șterge virusul în sine.

Este posibil pentru a elimina virusul și cum se face?

De fapt, nu este greu de făcut. Judecând după aroganța creatorilor de viruși, amenințarea sistemului informatic nu este mascat. Dimpotrivă - chiar profitabil „samoudalitsya“ după încheierea acțiunilor menționate mai sus.

Cu toate acestea, la început, ca urmare a conduce virusului, încă trebuie să fie neutralizat. Primul pas este de a utiliza un utilități de protecție portabile cum ar fi KVRT, Malwarebytes, dr Web CureIt! și altele asemenea. Notă: utilizate pentru a testa programul ar trebui să fie de un tip portabil este obligatorie (fără a instala nimic pe hard disk-ul cu care rulează în mod optim din mass-media amovibil). În cazul în care este detectată o amenințare, acesta ar trebui să fie eliminate imediat.

În cazul în care nu este prevăzută o astfel de acțiune, trebuie să mergeți mai întâi la „Task Manager“ și termin toate procesele asociate cu virusul, sortate după numele de serviciu (de obicei, procesul Runtime Broker).

După îndepărtarea problemei, trebuie să o numim Registry Editor (regedit în meniul „Run“) și caută titlul «Client Server Runtime System» (fără ghilimele), iar apoi folosind meniul muta pe rezultatele „Find Next ...“ pentru a elimina toate elementele găsite. Apoi, trebuie să reporniți computerul și să creadă în „Task Manager“ pentru a vedea dacă există procesul necesar.

În principiu, problema modului de a descifra virusul NO_MORE_RANSOM este încă pe scena de infecție, și poate fi rezolvată prin această metodă. Probabilitatea de neutralizare, desigur, este mic, dar există o șansă.

Cum de a decripta fișiere criptate NO_MORE_RANSOM: backup

Dar există o altă metodă, care știu puțini oameni sau chiar ghici. Faptul că sistemul de operare creează în mod constant propriile backup-uri de umbră (de exemplu, în cazul recuperării), în mod deliberat sau prin crearea unor astfel de imagini. După cum arată practica, acest virus nu afectează aceste copii (în structura sa, aceasta este pur și simplu nu oferă, deși este posibil).

Astfel, problema cum să descifreze NO_MORE_RANSOM, se reduce la în scopul de a utiliza acest simbol. Cu toate acestea, utilizarea de instrumente standard de Windows nu sunt recomandate pentru acest lucru (și mulți utilizatori la copiile ascunse nu vor avea acces la toate). Prin urmare, trebuie să utilizați ShadowExplorer de utilitate (este portabil).

Pentru a restaura, pur și simplu rulați executabil fișierul program, sortarea informațiilor după dată sau de titlu, selectați copia dorită (fișiere, foldere, sau întregul sistem) și prin meniul PCM pentru a utiliza linia de export. Mai mult, pur și simplu director selectat în care copia curentă vor fi stocate și apoi folosește procesul de recuperare standard de.

Instrumente de terță parte

Desigur, problema modului de a descifra NO_MORE_RANSOM, multe laboratoare oferă soluții proprii. De exemplu, „Kaspersky Lab“ recomandă utilizarea propriului produs software Kaspersky Decryptor, prezentat în două versiuni - Rakhini și rector.

uite Nu mai puțin interesant și o evoluție similară ca decodor NO_MORE_RANSOM de Dr. Web. Dar aici este necesar imediat să se ia în considerare faptul că utilizarea unor astfel de programe este justificată numai în cazul detectării rapide amenințări, în timp ce nu toate fișierele au fost infectate. În cazul în care virusul este ferm înrădăcinată în sistem (atunci când criptate fișiere pur și simplu nu pot fi comparate cu originalele lor non-criptate), și o astfel de aplicare poate fi inutil.

Ca rezultat

De fapt, concluzia este una singura: pentru a lupta împotriva virusului trebuie să fie exclusiv pe scena de infecție, atunci când există doar prima criptare a fișierelor. În general, cel mai bine este să nu deschidă atașamente din mesaje e-mail primite de la surse dubioase (aceasta se referă exclusiv la clienți, instalat direct pe computer - Outlook, Oulook Express etc.). În plus, în cazul în care angajatul are la dispoziție o listă a clienților și partenerilor pentru a aborda deschiderea mesajelor „stânga“ este destul de nepotrivit, deoarece majoritatea în angajarea acordurilor de confidentialitate semn de secrete comerciale și securitatea cibernetică.