NO_MORE_RANSOM - cum să decriptați fișierele criptate?

La sfârșitul anului 2016, lumea a fost atacat de un virus foarte triviale-troian criptează documente și conținut multimedia, NO_MORE_RANSOM numit. Modul de decriptare a fișierelor după impactul acestei amenințări va fi luat în considerare în continuare. Cu toate acestea, imediat merită avertizat toți utilizatorii care au fost atacați că nu există o metodologie uniformă. Acest lucru se datorează utilizării uneia dintre cele mai avansate algoritmi de criptare,

Ce fel de virus este NO_MORE_RANSOM și cum funcționează?

In general, virusul în sine ca clasă de troieni, cum ar fi I Love You, care pătrund în sistemul informatic și criptarea fișierelor utilizatorului (de obicei, multimedia). Cu toate acestea, în cazul în care un bunic a diferit doar de criptare, acest virus este foarte mult împrumutată de la amenințarea dată senzațional numit DA_VINCI_COD, care combină în sine funcționează, de asemenea, șantajist.

După infectare, majoritatea fișierelor audio, video, grafică și documente de birou i se atribuie un nume foarte lung, cu o extensie NO_MORE_RANSOM, care conține o parolă complexă.

Când încercați să le deschideți, pe ecran apare un mesaj care indică faptul că fișierele sunt criptate și trebuie să plătiți o sumă pentru decriptare.

Cum penetrează amenințarea sistemul?

Să lăsăm întrebarea cum să decodifice fișierele de oricare dintre tipurile de mai sus după expunerea de NO_MORE_RANSOM, dar să ne întoarcem la tehnologia de penetrare a virusului în sistemul computerului. Din păcate, oricât ar putea suna, este folosită o metodă veche dovedită: o adresă de e-mail primește o scrisoare cu un atașament, care, atunci când este deschis, primește un declanșator de cod rău intenționat.

Originalitatea, așa cum vedem, această tehnică nu este diferită. Cu toate acestea, mesajul poate fi deghizat ca text lipsit de sens. Sau, dimpotrivă, de exemplu, dacă este vorba de companii mari, - în schimbarea condițiilor unui contract. Este clar că funcționarul obișnuit deschide atașamentul și apoi primește un rezultat lamentabil. Unul dintre cele mai strălucite focare a fost criptarea bazelor de date ale pachetului popular 1C. Și aceasta este o afacere serioasă.

NO_MORE_RANSOM: cum să decodifice documente?

Dar, cu toate acestea, este necesar să se abordeze la întrebarea principală. Desigur, toată lumea este interesată de modul de decriptare a fișierelor. Virusul NO_MORE_RANSOM are propriul său succesiune de acțiuni. În cazul în care utilizatorul încearcă să decripteze imediat după infectare, acest lucru se poate face oricum. Dacă amenințarea s-a stabilit ferm în sistem, din păcate, fără ajutorul specialiștilor de aici, este indispensabilă. Dar ele sunt adesea neputincioase.

În cazul în care amenințarea a fost detectată în timp util, modul în care un singur - se aplică pentru a sprijini companiile antivirus (încă nu toate documentele au fost criptate) pentru a trimite o pereche de inaccesibile pentru deschiderea fișierelor și pe baza analizei originale, stocate pe suport amovibil, încercați să restabiliți documentele deja infectate anterior copierea pe aceeași unitate flash USB orice altceva este disponibil pentru a deschide (deși o garanție completă că virusul nu sa extins la astfel de documente nu este același lucru). După aceea, pentru o fidelitate purtător este necesar să se verifice cel puțin un virus scanner (cine știe ce).

algoritmul

Ar trebui să menționăm, de asemenea, faptul că, pentru a cripta virusul foloseste algoritmul RSA-3072, care, în contrast cu tehnologia RSA-2048 utilizat anterior este atât de complexă, încât selectarea parolei corecte, chiar presupunând că acest lucru se va face cu întregul contingent de laboratoare anti-virus , poate dura luni și ani. Astfel, problema de a decripta NO_MORE_RANSOM va necesita destul de mult timp. Dar dacă trebuie să restaurați imediat informațiile? Mai întâi, eliminați virusul în sine.

Pot șterge un virus și cum?

De fapt, nu este greu să faci asta. Judecând după impudența creatorilor virusului, amenințarea în sistemul informatic nu este mascată. Dimpotrivă, este chiar avantajos pentru ea să "iasă" după terminarea acțiunilor.

Cu toate acestea, la început, pe călcâiul virusului, ar trebui totuși să fie neutralizat. În primul rând, este necesar să se utilizeze utilități portabile de protecție precum KVRT, Malwarebytes, Dr.Sc. Web CureIt! și altele asemenea. Rețineți: programele utilizate pentru verificare trebuie să fie de tip portabil fără a nu reuși (fără a le instala pe hard disk cu pornire optimă pe suporturi amovibile). Dacă se detectează o amenințare, aceasta trebuie eliminată imediat.

În cazul în care nu este prevăzută o astfel de acțiune, trebuie să mergeți mai întâi la „Task Manager“ și termin toate procesele asociate cu virusul, sortate după numele de serviciu (de obicei, procesul Runtime Broker).

După îndepărtarea cauzei problemei este necesar Registry Editor (regedit în meniul „Run“) și caută titlul «Client Server Runtime System» (fără ghilimele), iar apoi folosind rezultatele se deplasează din meniul „Find daleehellip-“ pentru a elimina toate elementele găsite. Apoi, trebuie să reporniți calculatorul și să credeți în "Task Manager", dacă există un proces de căutare.

În principiu, problema de a descifra virusul NO_MORE_RANSOM la etapa de infectare poate fi rezolvată prin această metodă. Probabilitatea neutralizării sale, desigur, nu este mare, dar există o șansă.

Cum să decriptați fișierele criptate NO_MORE_RANSOM: copii de rezervă

Dar există o tehnică pe care puțini oameni o cunosc sau chiar o ghicesc. Faptul este că sistemul de operare în sine creează în mod constant propriile backup-uri umbrite (de exemplu, în caz de recuperare), sau utilizatorul creează în mod intenționat astfel de imagini. După cum arată practica, virusul nu are impact asupra unor astfel de copii (în structura sa pur și simplu nu este furnizat, deși nu este exclus).

Astfel, problema de a decripta NO_MORE_RANSOM este redusă la utilizarea acestora. Cu toate acestea, nu este recomandat să utilizați instrumentele standard Windows pentru acest lucru (și mulți utilizatori nu vor avea acces la copii ascunși deloc). Prin urmare, trebuie să utilizați utilitarul ShadowExplorer (este portabil).

Pentru a restabili, trebuie doar să rulați executabilul fișierul programului, sortați informațiile după date sau secțiuni, selectați copia dorită (fișier, dosar sau întregul sistem) și utilizați linia de export din meniul PCM. Apoi pur și simplu selectați directorul în care copia curentă va fi salvată și apoi utilizați procesul de recuperare standard.

Servicii de utilitate terță parte

Desigur, la problema de a descifra NO_MORE_RANSOM, multe laboratoare oferă propriile soluții. De exemplu, „Kaspersky Lab“ recomandă utilizarea propriului produs software Kaspersky Decryptor, prezentat în două versiuni - Rakhini și rector.

Nu mai puțin interesant aspect și evoluții similare, cum ar fi decodorul NO_MORE_RANSOM de la Dr. Web. Dar aici este necesar imediat să se ia în considerare faptul că utilizarea unor astfel de programe este justificată numai în cazul detectării rapide amenințări, în timp ce nu toate fișierele au fost infectate. În cazul în care virusul este ferm înrădăcinată în sistem (atunci când criptate fișiere pur și simplu nu pot fi comparate cu originalele lor non-criptate), și o astfel de aplicare poate fi inutil.

Ca rezultat

De fapt, concluzia este una singura: pentru a lupta împotriva virusului trebuie să fie exclusiv pe scena de infecție, atunci când există doar prima criptare a fișierelor. În general, cel mai bine este să nu deschidă atașamente din mesaje e-mail primite de la surse dubioase (aceasta se referă exclusiv la clienți, instalat direct pe computer - Outlook, Oulook Express etc.). În plus, în cazul în care angajatul are la dispoziție o listă a clienților și partenerilor pentru a aborda deschiderea mesajelor „stânga“ este destul de nepotrivit, deoarece majoritatea în angajarea acordurilor de confidentialitate semn de secrete comerciale și securitatea cibernetică.