NO_MORE_RANSOM - hvordan til at dekryptere de krypterede filer?

I slutningen af 2016 blev verden angrebet af en meget trivielt-trojan virus krypterer dokumenter og multimedieindhold, døbt NO_MORE_RANSOM. Sådan dekryptere filer efter udsættelse for denne trussel, og vil blive diskuteret yderligere. Men når det er nødvendigt at advare alle brugere, der er blevet angrebet, at der ikke er nogen enkelt metode. Dette er forbundet med en af de mest avancerede krypteringsalgoritmer, og med graden af penetration af virus i computersystemet, eller endda et lokalt netværk (selvom i første omgang på netværkseffekter og er den ikke beregnet).

Hvad en NO_MORE_RANSOM virus og hvordan det virker?

Generelt virussen sig selv som klasse af trojanske heste som Jeg elsker dig, som trænger ind i computersystemet og kryptering af brugerens filer (normalt multimedier). Men hvis en bedsteforælder afveg kun kryptering, denne virus er meget lånt fra den engang sensationelle trussel kaldet DA_VINCI_COD, der kombinerer i sig selv også fungerer extortionist.

Efter infektion, er de fleste af lydfiler, video, grafik og Office-dokumenter tildelt et meget langt navn med en udvidelse NO_MORE_RANSOM, der indeholder en kompleks adgangskode.

Når den åbnes vises, at filerne er krypteret og dekryptering til det produkt, du har brug for at betale nogle beløb.

Som en trussel til at trænge ind i systemet?

Lad os overlade alene spørgsmålet om, hvordan, efter virkningen NO_MORE_RANSOM dekryptere filer af enhver af de ovennævnte typer, og drej til teknologi til at trænge ind i virus i edb-systemet. Desværre, som corny som det kan lyde, det bruger gammeldags måde: via e-mail kommer med en vedhæftet fil åbnes, brugeren modtager aktivering og skadelig kode.

Originalitet, som vi kan se, denne teknik er ikke anderledes. Imidlertid kan meddelelsen være forklædt som en meningsløs tekst noget. Eller, tværtimod, for eksempel i tilfælde af større virksomheder, - en ændring i betingelserne for en kontrakt. Det forstås, at en almindelig fuldmægtig åbner den vedhæftede fil, og derefter og får dårlige resultater. En af de klareste nødblus blev populære kryptering pakke baser 1C data. Og det er en alvorlig sag.

NO_MORE_RANSOM: hvordan man dechifrere dokumenterne?

Men stadig værd at henvende sig til det vigtigste spørgsmål. Sikkert alle er interesseret i, hvordan man kan dekryptere filerne. NO_MORE_RANSOM virus har en sekvens af handlinger. Hvis brugeren forsøger at udføre dekryptering umiddelbart efter infektion, gør det noget andet som muligt. Hvis truslen fast afregnes i systemet, ak, uden hjælp fra fagfolk kan ikke gøre. Men de er ofte magtesløse.

Hvis truslen er blevet opdaget i tide, den måde kun én - gælder for antivirus selskaber support (endnu ikke alle dokumenter er blevet krypteret) til at sende et par utilgængelig for at åbne filer og på grundlag af den oprindelige analyse, lagret på flytbare medier, så prøv at gendanne allerede inficerede dokumenter tidligere kopiering på samme USB-flashdrev hvad der ellers er til rådighed til at åbne (selvom en fuld garanti for, at virussen ikke har spredt sig til sådanne dokumenter er ikke det samme). Efter at der for et luftfartsselskab loyalitet er det nødvendigt at kontrollere mindst en virus scanner (hvem ved hvad).

algoritme

Vi bør også nævne, at for at kryptere virussen bruger RSA-3072 algoritme, der i modsætning til den tidligere anvendte RSA-2048 teknologien er så kompleks, at udvælgelsen af den korrekte adgangskode, selv om det antages, at dette vil beskæftige sig med hele kontingent af anti-virus laboratorier det kan tage måneder eller år. Således er spørgsmålet om, hvordan man kan dechifrere NO_MORE_RANSOM, kræver ganske tidskrævende. Men hvad nu hvis du har brug for at gendanne oplysninger straks? Først og fremmest - at slette virussen selv.

Er det muligt at fjerne virus og hvordan man gør det?

Faktisk er det ikke svært at gøre. At dømme efter arrogance af virus skabere, er truslen om computersystemet ikke maskeret. Tværtimod - det endda profitabel "samoudalitsya" efter afslutningen af ovennævnte handlinger.

Ikke desto mindre, i første omgang, efter i spidsen af virussen, er det stadig skal neutraliseres. Det første skridt er at bruge en bærbar beskyttende hjælpeprogrammer som KVRT, Malwarebytes, Dr. Web CureIt! og lignende. Bemærk: bruges til at teste programmet bør være af en bærbar type er obligatorisk (uden at installere noget på harddisken med rindende optimalt fra det flytbare medie). Hvis der opdages en trussel, skal det fjernes med det samme.

Hvis en sådan handling ikke er fastsat, skal du først gå til "Task Manager", og afslutte det alle de processer, der er forbundet med virus, sorteret efter tjenestenavn (typisk processen Runtime Broker).

Efter at have fjernet det problem, må vi kalder Registreringseditor (regedit i menuen "Kør") og søge efter titlen «Client Server Runtime System» (uden anførselstegn), og derefter ved hjælp af menuen flytte på resultaterne af "Find næste ..." for at fjerne alle de fundne genstande. Derefter skal du genstarte computeren, og at tro på "Task Manager" for at se, om der er den nødvendige proces.

I princippet er spørgsmålet om, hvordan man kan dechifrere NO_MORE_RANSOM virus er stadig på scenen for infektion, og kan løses ved denne metode. Sandsynligheden for neutralisering, selvfølgelig, er lille, men der er en chance.

Sådan dekryptere filer krypteret NO_MORE_RANSOM: sikkerhedskopier

Men der er en anden metode, som kun få mennesker kender eller selv gætte. Det faktum, at operativsystemet konstant skaber sine egne skygge backup (for eksempel i tilfælde af helbredelse), eller ved bevidst at skabe sådanne billeder. Som praksis viser, er dette virus ikke påvirke disse kopier (i sin struktur, er det simpelthen ikke leveret, selv om det er muligt).

Således er problemet med at dechifrere NO_MORE_RANSOM, koges ned til for at kunne bruge dette symbol. Men for at bruge Windows standardværktøjer anbefales ikke til dette (og mange brugere til de skjulte kopier vil ikke have adgang overhovedet). Derfor er du nødt til at bruge værktøjet ShadowExplorer (det er bærbar).

Hvis du vil gendanne, skal du blot køre den eksekverbare programfil, sortere oplysningerne efter dato eller titel, skal du vælge den ønskede kopi (filer, mapper eller hele systemet) og gennem PCM-menuen for at bruge eksport linje. Yderligere simpelthen valgte mappe, hvor den nuværende kopi gemmes og derefter bruger standard helbredelsesprocessen.

Tredje-parts værktøjer

Selvfølgelig er problemet med at dechifrere NO_MORE_RANSOM, mange laboratorier tilbyder deres egne løsninger. For eksempel, "Kaspersky Lab" anbefaler brug af sin egen software produkt Kaspersky Decryptor, præsenteret i to versioner - Rakhini og rektor.

Ikke mindre interessant udseende og en lignende udvikling som NO_MORE_RANSOM dekoder af Dr. Web. Men her er det nødvendigt straks at tage hensyn til, at brugen af sådanne programmer er kun berettiget i tilfælde af hurtig påvisning trussel, mens ikke alle filer er blevet smittet. Hvis virus er solidt forankret i systemet (når krypterede filer kan bare ikke sammenlignes med deres ikke-krypterede originaler), og en sådan anvendelse kan være ubrugelig.

Som et resultat

Faktisk konklusionen er kun én: at bekæmpe virus skal udelukkende være på scenen for infektion, når der kun er den første kryptering af filer. Generelt er det bedst ikke at åbne vedhæftede filer i e-mails modtaget fra tvivlsomme kilder (dette refererer udelukkende til kunder, installeres direkte på din computer - Outlook, oulook Express, etc.). Hertil kommer, at hvis medarbejderen har til sin rådighed en liste over kunder og samarbejdspartnere til at løse åbningen af "venstre" budskaber Det er ganske uhensigtsmæssigt, da de fleste i at ansætte tegn fortrolighedsaftaler af forretningshemmeligheder, og cybersikkerhed.