NO_MORE_RANSOM - jak odszyfrować zaszyfrowane pliki?

W końcu 2016 roku świat został zaatakowany przez bardzo banalnej wirusa-trojana, шифрующим niestandardowe dokumenty i multimedia-treść, która otrzyma nazwę NO_MORE_RANSOM. Jak odszyfrować pliki po wpływem tej groźby, dalej i będzie rozpatrzony. Jednak warto ostrzec wszystkich użytkowników, którzy ataku, co jednolitej metody nie ma. Jest to związane z wykorzystaniem jednego z najbardziej zaawansowanych algorytmów szyfrowania i ze stopniem penetracji wirusa do systemu komputerowego lub nawet w sieć lokalną (choć początkowo na sieciowe wpływ jest i nie jest przeznaczony).

Co to za wirus NO_MORE_RANSOM i jak to działa?

W Ogóle, sam wirus zwykle przypisane do klasy trojany typu I Love You, które przenikają do systemu komputerowego i szyfrują pliki użytkownika (zazwyczaj jest to multimediów). To prawda, że jeśli ojciec różnił się tylko szyfrowanie, wirus ten jest bardzo wiele pożyczyłem od czasu głośnego zagrożenia pod nazwą DA_VINCI_COD, łącząc w sobie funkcje szantażystę..

Po zakażeniu większości plików audio, wideo, grafiki lub dokumentów biurowych przypisany длиннющее domeny z rozszerzeniem NO_MORE_RANSOM, zawierające skomplikowane hasło.

Podczas próby otwarcia ich na ekranie pojawia się komunikat informujący, że pliki są szyfrowane, a do dzieła deszyfrowania trzeba zapłacić pewną kwotę.

Jak zagrożenie przenika do systemu?

Zostawmy na razie w spokoju pytanie o to, jak po ekspozycji NO_MORE_RANSOM odszyfrować pliki dowolnego z powyższych typów, a zwrócimy się do technologii wnikania wirusa do systemu komputerowego. Niestety, jakby banalnie to nie brzmiało, jest stary sprawdzony sposób: na adres e-mail przychodzi e-mail z załącznikiem, otwierając które użytkownik otrzymuje uruchomienie złośliwego kodu.

Bardziej:

Co to jest karta tunelowania Teredo firmy Microsoft: po co jest on potrzebny, jak działa i jak go wyłączyć?

Siódma wersja systemu Windows od momentu jej wyjścia przedstawił użytkownikom wiele niespodzianek. Tak, wielu odkryli w systemie (a dokładniej w «Menedżerze urządzeń») sterownik do karty tunelowania Teredo firmy Microsoft. Co to jest jasn...

Co to jest Ethernet – główne zalety internetu-sieci

O tym, co to jest Ethernet, okazało się w latach siedemdziesiątych XX wieku. Wynalazł ten typ sieci lokalnej Robert Metcalfe, który pracował w tym czasie na firmy Xerox. W latach 70-tych Metcalf otworzył własną firmę 3com, gdzie zakończyła się opraco...

UAC: wyłączyć lub ułaskawienie

W odległej już od nas w 2006 roku światowa komputerowa opinia publiczna była wstrząsa wyjściem SYSTEMU Windows Vista. Na nowy system od razu runął niesamowity lawinę negatywnych, powód dla którego nadal zostały.Jednym z nich była opcja UAC, wyłączyć ...

Oryginalnością, jak widać, metoda ta nie różni. Jednak komunikat może być w przebraniu nic nie znaczący tekst. Lub odwrotnie, na przykład, jeśli mówimy o dużych firmach, - zmiana warunków jakiegoś kontraktu. Rozumiem, że szeregowy urzędnik otwiera załącznik, a dalej i dostaje opłakany rezultat. Jednym z najbardziej jasnych błysków było szyfrowanie baz danych popularnego pakietu 1C. A to już poważna sprawa.

NO_MORE_RANSOM: jak rozszyfrować dokumenty?

Ale warto zwrócić się do głównego pytania. Na pewno wszystkich interesuje, jak odszyfrować pliki. Wirus NO_MORE_RANSOM ma swoją kolejność działań. Jeśli użytkownik próbuje wykonać deszyfrowanie natychmiast po zainfekowaniu, zrobić to jeszcze jakoś można. Jeśli zagrożenie osiedliła się w systemie mocno, niestety, bez pomocy specjalistów nie obejdzie. Ale i one często są bezsilni.

Jeżeli zagrożenie zostało wykryte w odpowiednim czasie, tylko w jeden sposób – zwrócić się do działu obsługi firm antywirusowych (jeszcze nie wszystkie dokumenty zostały zaszyfrowane), wysłać kilka niedostępnych dla otwierania plików i na podstawie analizy dokumentów, zapisanych na nośnikach wymiennych, spróbować odzyskać już zainfekowane dokumenty, wcześniej kopiując na ten sam pendrive ' a wszystko, co jeszcze jest dostępne dla otwarcia (choć pełnej gwarancji, że wirus nie wszedł w takie dokumenty, też nie). Wtedy dla pewności nośnik, należy koniecznie sprawdzić przynajmniej antywirusowym skanerem (mało co).

Łódź

Warto powiedzieć o tym, że wirus do szyfrowania wykorzystuje algorytm RSA-3072, który, w przeciwieństwie do wcześniej stosowane technologie RSA-2048, jest tak skomplikowana, że dobór odpowiedniego hasła, nawet pod warunkiem, że się tym będzie zajmować cały kontyngent laboratoriów antywirusowych, może trwać miesiące i lata. Więc pytanie, jak rozszyfrować NO_MORE_RANSOM, wymaga dość dużych nakładów. Ale co zrobić, jeśli odzyskać dane trzeba natychmiast? Przede wszystkim – usunąć sam wirus.

Czy Mozna usunac wirusa i jak to zrobić?

Właściwie, to nic trudnego. Sądząc po tupet twórców wirusa, zagrożenie w systemie komputerowym, nie przebiera. Wręcz przeciwnie – jej nawet korzystne «самоудалиться» po zakończeniu wykonanych działań.

Tym nie mniej na początku, idąc na temat wirusa, jednak należy zneutralizować. Pierwszą rzeczą, którą należy stosować ochronne przenośne narzędzia jak KVRT, Malwarebytes, Dr. Web CureIt! i im podobne. Uwaga: stosowane do sprawdzania programu powinny być przenośnego typu obowiązkowo (bez instalacji na dysk twardy z uruchomieniem w optymalnym wariancie z nośnika wymiennego). Jeśli zagrożenie zostanie wykryte, należy ją natychmiast usunąć.

Jeśli takie działania nie są dostępne, należy najpierw wejść w «Menedżer zadań» i wypełnić w nim wszystkie procesy związane z wirusem wyszukać usługi według nazwy (zazwyczaj jest to proces Runtime Broker).

Po zdjęciu zadania należy wywołać edytor rejestru (regedit w menu «Uruchom») i ustawić wyszukiwanie według nazwy „Client Server Runtime System» (bez cudzysłowów), a następnie za pomocą menu nawigacji na podstawie «dalej…», usuń wszystkie znalezione elementy. Następnie należy dokonaćponowne uruchomienie komputera i uwierzyć w «Menedżerze zadań», czy nie ma tam poszukiwanego procesu.

W zasadzie kwestia tego, jak rozszyfrować wirus NO_MORE_RANSOM jeszcze na etapie zakażenia, może być rozwiązany w ten sposób. Prawdopodobieństwo jego neutralizacji, oczywiście, jest niewielka, ale jest szansa.

Jak odszyfrować pliki zaszyfrowane NO_MORE_RANSOM: kopie zapasowe

Ale jest jeszcze jedna metoda, o której mało kto wie lub domyśla się. Rzecz w tym, że sam system jest stale tworzy własne shadow kopii zapasowej (na przykład, na wypadek powrotu), lub użytkownik celowo tworzy takie obrazy. Jak pokazuje praktyka, to właśnie na takich kopii wirusa nie działa (w jego strukturze to po prostu nie jest przewidziane, choć nie jest wykluczone).

W Ten sposób, problem tego, jak rozszyfrować NO_MORE_RANSOM, sprowadza się do tego, aby użyć właśnie ich. Jednak zastosować do tego etatowe środki Windows nie jest zalecane, a wielu użytkowników do ukrytych kopii nie otrzymają dostępu w ogóle). Dlatego trzeba stosować narzędzia ShadowExplorer (jest przenośny).

Aby przywrócić trzeba po prostu uruchomić plik wykonywalny programu, sortować informacje według daty lub sekcji, wybrać odpowiednią kopię (plik, folder lub całego systemu) i poprzez menu PKM użyć wartości eksportu. Dalej po prostu wybrany katalog, w którym zostanie zapisana aktualna kopia, a następnie używany jest standardowy proces odzyskiwania.

Narzędzia innej firmy

Oczywiście, problem tego, jak rozszyfrować NO_MORE_RANSOM, wiele laboratorium oferują własne rozwiązania. Tak więc, na przykład, «Kaspersky Lab» zaleca własny produkt Kaspersky password Decryptor, przedstawiony w dwóch wersjach ó Rakhini i Chambers.

Nie mniej ciekawie wyglądają i podobne opracowania jak deszyfratora NO_MORE_RANSOM od Dr. Web. Ale tu warto od razu zauważyć, że stosowanie takich programów jest uzasadnione tylko w przypadku szybkiego wykrywania zagrożeń, na razie jeszcze nie zostały zainfekowane wszystkie pliki. Jeśli wirus osiedlił się w systemie mocno (gdy pliki zaszyfrowane po prostu nie można porównać z ich szyfruj oryginałami), i takie aplikacje mogą okazać się bezużyteczne.

Podsumowanie

Właściwie, wniosek nasuwa się tylko jeden: walczyć z tym wirusem, należy wyłącznie na fazie zakażenia, kiedy odbywa się szyfrowanie tylko pierwsze plików. A w ogóle najlepiej nie otwierać załączników w wiadomościach e-mail, pochodzących z wątpliwych źródeł (dotyczy wyłącznie klientów, zainstalowanych bezpośrednio na komputerze ó Outlook, Oulook Express, itp.). Ponadto, jeśli pracownik ma do dyspozycji listę adresów klientów i partnerów, otwieranie «left» wiadomości staje się zupełnie niecelowe, ponieważ większość przy ubieganiu się o pracę podpisuje umowy o poufności tajemnic handlowych i cyberbezpieczeństwa.