NO_MORE_RANSOM - kako dešifriranje šifriranih datotek?

V poznih 2016, je svet napadel zelo trivialno, trojanski virus šifrira dokumente in multimedijske vsebine, poimenovali NO_MORE_RANSOM. Kako dešifrirati datoteke po izpostavljenosti te grožnje, in se bo še razpravljalo. Vendar, ko je potrebno opozoriti vse uporabnike, ki so napadli, da ne obstaja enotna metodologija. To je povezano z eno izmed najbolj naprednih algoritmov šifriranja, in s stopnjo penetracije virusa v računalniškem sistemu, ali celo lokalno omrežje (čeprav je bilo na začetku učinkov omrežja in ni izračunano).

Kaj virus NO_MORE_RANSOM in kako deluje?

Na splošno, sam virus razred trojanci, kot so I Love You, ki prodrejo v računalniški sistem in šifriranje datotek na uporabnika (običajno multimedijskih). Vendar, če stari starši razlikovala le šifriranje, ta virus je zelo sposodil od nekdaj senzacionalno grožnjo, imenovano DA_VINCI_COD, ki združuje v sebi deluje tudi extortionist.

Po okužbi se večina zvočnih datotek, video, grafike in pisarniških dokumentov dodeljena zelo dolgo ime s končnico NO_MORE_RANSOM, ki vsebuje kompleksno geslo.

Ko se odpre sporočilo, da so datoteke šifrirane in dešifriranje za izdelek, ki ga je treba plačati neki znesek.

Kot grožnjo, da prodre v sistem?

Pustimo pri miru vprašanje, kako, po NO_MORE_RANSOM učinka dešifriranje datoteke katerega koli od zgoraj navedenih vrst, in se obrnejo na tehnologiji za vstop virusa v računalniškem sistemu. Na žalost, kot corny, kot se sliši, da uporablja staromoden način: preko e-pošte prihaja z je priloga odprta, uporabnik prejme aktiviranje in zlonamerne kode.

Izvirnost, kot lahko vidimo, ta tehnika ni nič drugače. Vendar pa se lahko sporočilo prikrito kot nesmiselno besedilno nič. Ali pa, nasprotno, na primer, v primeru večjih podjetij, - sprememba v skladu s pogoji iz pogodbe. Razume se, da je navaden referent odpre prilogo, nato pa in dobi slabe rezultate. Ena najsvetlejših rakete postala priljubljena šifriranje paket baze 1C podatkov. In to je resna zadeva.

NO_MORE_RANSOM: kako razvozlati dokumente?

Ampak še vedno vredno, da se obrnejo na glavno vprašanje. Zagotovo vsi zanima, kako dešifrirati datoteke. virus NO_MORE_RANSOM je zaporedje dejanj. Če uporabnik poskuša izvesti dešifriranje takoj po okužbi, da je nekaj drugega, kot je mogoče. Če je grožnja trdno naselili v sistemu, žal, brez pomoči strokovnjakov ne more storiti. Ampak oni so pogosto nemočni.

Če je bila grožnja odkriti pravočasno, tako samo eno - velja za protivirusni podporo (še niso bili vsi dokumenti šifrirano) poslati par nedostopna za odpiranje datotek in na podlagi prvotne analize, shranjene na izmenljivih medijih, poskusite obnoviti že okužene dokumente prej kopiranje na istem USB trenutek voziti karkoli drugega, ki je na voljo, da se odpre (čeprav popolno jamstvo, da se virus ne širi, da teh dokumentov ni isto). Po tem, za zvestobo prevoznika, je treba preveriti vsaj virus skener (kdo ve kaj).

algoritem

Prav tako moramo omeniti dejstvo, da je za šifriranje virus uporablja RSA-3072 algoritem, ki je v nasprotju s prej uporabljala RSA-2048 tehnologije je tako zapleten, da je izbira pravilnega gesla, tudi ob predpostavki, da se bo to reševanje celotnega kontingenta anti-virusne laboratorije lahko traja mesece ali leta. Tako je vprašanje, kako razvozlati NO_MORE_RANSOM zahtevajo precej zamudno. Kaj pa, če je potrebno takoj obnoviti podatke? Najprej - izbrisati sam virus.

Ali je mogoče, da se odstranijo virus in kako to storiti?

Pravzaprav, to ni težko narediti. Sodeč po aroganco ustvarjalcev virusov, je nevarnost računalniškega sistema ne prikriti. Ravno nasprotno - celo donosno "samoudalitsya" po koncu zgoraj omenjenih ukrepov.

Kljub temu, najprej, po vodstvu z virusom, je še vedno treba nevtralizirati. Prvi korak je, da uporabite prenosni zaščitne pripomočke, kot so KVRT, Malwarebytes, Dr. Spletna CureIt! in podobno. Opomba: se uporablja za testiranje programa morajo biti prenosni vrsti je obvezna (brez namestitve nič na trdem disku s tekočo optimalno iz izmenljivih medijev). Če je zaznana grožnja, je treba takoj odstraniti.

Če se tak ukrep ne predvideva, morate najprej iti na "Task Manager" in ga končali vse postopke, povezane z virusom, razvrščene po imenu storitev (običajno, proces Runtime Broker).

Po odstranitvi težavo, moramo poklicati urejevalnik registra (regedit v meniju "Run") in iskanje za naslov "Client Server Runtime sistema» (brez narekovajev), nato pa s pomočjo menija premik na rezultatih "Find Next ..." odstraniti vse najdene elemente. Nato boste morali znova zagnati računalnik, in da verjamejo v "Task Manager", da vidim, če je zahtevani postopek.

Načelno vprašanje, kako razvozlati virus NO_MORE_RANSOM je še vedno na stopnji okužbe, in jih je mogoče rešiti na ta način. Verjetnost nevtralizacije, seveda, je majhna, vendar obstaja možnost.

Kako dešifrirati datotek šifriranih NO_MORE_RANSOM: varnostne kopije

Toda obstaja še ena metoda, ki je malo ljudi ve, ali celo ugibati. Dejstvo, da je operacijski sistem neprestano ustvarja lastne sence varnostne kopije (na primer v primeru izterjave), ali pa jih namerno ustvarjanje takšnih slik. Kot je praksa kaže, ta virus ne vpliva teh kopij (v svoji strukturi, da se preprosto ne predvideva, čeprav je možno).

Tako je problem, kako razvozlati NO_MORE_RANSOM, izvira, da bi uporaba tega simbola. Vendar pa je za uporabo standardnih orodij Windows niso priporočljivi za to (in mnogi uporabniki do skritih kopij ne bodo imeli dostopa sploh). Zato boste morali uporabiti pripomoček ShadowExplorer (je prenosni).

Če želite obnoviti, preprosto zaženite izvedljivo programsko datoteko, jih razvrstite po datumu ali naslov, izberite želeno kopijo (datoteke, mape, ali celotni sistem) in preko menija PCM uporabiti izvozne linije. Dodatne preprosto izbran imenik, v katerem se bo trenutni kopijo shranijo in uporablja standardni postopek izterjave.

orodja tretjih oseb

Seveda je problem, kako razvozlati NO_MORE_RANSOM, številni laboratoriji ponujajo lastne rešitve. Na primer, "Kaspersky Lab" priporoča uporabo lastnega programskega izdelka Kaspersky Decryptor, predstavljena v dveh različicah - Rakhini in rektor.

Nič manj zanimiv pogled in podoben razvoj kot NO_MORE_RANSOM dekoder Dr. Spletno. Ampak tukaj je treba takoj upoštevati, da je uporaba tovrstnih programov upravičena le v primeru hitro odkrivanje nevarnosti, pa niso bile vse datoteke okužene. Če je virus trdno zasidran v sistemu (ko šifrirane datoteke, preprosto ni mogoče v primerjavi z njihovimi niso šifriranih originalov), in taka uporaba lahko neuporabna.

Kot rezultat

Dejstvo je, zaključek je le eno: za boj proti virusu, mora biti izključno v fazi okužbe, ko je le prvi šifriranje datotek. Na splošno velja, da je najbolje, da ne odpreti prilog v e-poštnih sporočilih, prejetih iz dvomljivih virov (to se nanaša izključno na stranke, nameščen neposredno na svojem računalniku - Outlook, Oulook Express, itd). Poleg tega, če ima delavec na voljo seznam strank in partnerjev za reševanje odpiranje "levo" sporočil, da je povsem neprimerno, saj je večina v najem sporazume prijav nerazkrivanju poslovnih skrivnosti, in kibernetsko varnost.