W końcu 2016 roku świat został zaatakowany przez bardzo banalnej wirusa-trojana, шифрующим niestandardowe dokumenty i multimedia-treść, która otrzyma nazwę NO_MORE_RANSOM. Jak odszyfrować pliki po wpływem tej groźby, dalej i będzie rozpatrzony. Jednak warto ostrzec wszystkich użytkowników, którzy ataku, co jednolitej metody nie ma. Jest to związane z wykorzystaniem jednego z najbardziej zaawansowanych algorytmów szyfrowania i ze stopniem penetracji wirusa do systemu komputerowego lub nawet w sieć lokalną (choć początkowo na sieciowe wpływ jest i nie jest przeznaczony).
W Ogóle, sam wirus zwykle przypisane do klasy trojany typu I Love You, które przenikają do systemu komputerowego i szyfrują pliki użytkownika (zazwyczaj jest to multimediów). To prawda, że jeśli ojciec różnił się tylko szyfrowanie, wirus ten jest bardzo wiele pożyczyłem od czasu głośnego zagrożenia pod nazwą DA_VINCI_COD, łącząc w sobie funkcje szantażystę..
Po zakażeniu większości plików audio, wideo, grafiki lub dokumentów biurowych przypisany длиннющее domeny z rozszerzeniem NO_MORE_RANSOM, zawierające skomplikowane hasło.
Podczas próby otwarcia ich na ekranie pojawia się komunikat informujący, że pliki są szyfrowane, a do dzieła deszyfrowania trzeba zapłacić pewną kwotę.
Zostawmy na razie w spokoju pytanie o to, jak po ekspozycji NO_MORE_RANSOM odszyfrować pliki dowolnego z powyższych typów, a zwrócimy się do technologii wnikania wirusa do systemu komputerowego. Niestety, jakby banalnie to nie brzmiało, jest stary sprawdzony sposób: na adres e-mail przychodzi e-mail z załącznikiem, otwierając które użytkownik otrzymuje uruchomienie złośliwego kodu.
Bardziej:
Siódma wersja systemu Windows od momentu jej wyjścia przedstawił użytkownikom wiele niespodzianek. Tak, wielu odkryli w systemie (a dokładniej w «Menedżerze urządzeń») sterownik do karty tunelowania Teredo firmy Microsoft. Co to jest jasn...
Co to jest Ethernet – główne zalety internetu-sieci
O tym, co to jest Ethernet, okazało się w latach siedemdziesiątych XX wieku. Wynalazł ten typ sieci lokalnej Robert Metcalfe, który pracował w tym czasie na firmy Xerox. W latach 70-tych Metcalf otworzył własną firmę 3com, gdzie zakończyła się opraco...
UAC: wyłączyć lub ułaskawienie
W odległej już od nas w 2006 roku światowa komputerowa opinia publiczna była wstrząsa wyjściem SYSTEMU Windows Vista. Na nowy system od razu runął niesamowity lawinę negatywnych, powód dla którego nadal zostały.Jednym z nich była opcja UAC, wyłączyć ...
Oryginalnością, jak widać, metoda ta nie różni. Jednak komunikat może być w przebraniu nic nie znaczący tekst. Lub odwrotnie, na przykład, jeśli mówimy o dużych firmach, - zmiana warunków jakiegoś kontraktu. Rozumiem, że szeregowy urzędnik otwiera załącznik, a dalej i dostaje opłakany rezultat. Jednym z najbardziej jasnych błysków było szyfrowanie baz danych popularnego pakietu 1C. A to już poważna sprawa.
Ale warto zwrócić się do głównego pytania. Na pewno wszystkich interesuje, jak odszyfrować pliki. Wirus NO_MORE_RANSOM ma swoją kolejność działań. Jeśli użytkownik próbuje wykonać deszyfrowanie natychmiast po zainfekowaniu, zrobić to jeszcze jakoś można. Jeśli zagrożenie osiedliła się w systemie mocno, niestety, bez pomocy specjalistów nie obejdzie. Ale i one często są bezsilni.
Jeżeli zagrożenie zostało wykryte w odpowiednim czasie, tylko w jeden sposób – zwrócić się do działu obsługi firm antywirusowych (jeszcze nie wszystkie dokumenty zostały zaszyfrowane), wysłać kilka niedostępnych dla otwierania plików i na podstawie analizy dokumentów, zapisanych na nośnikach wymiennych, spróbować odzyskać już zainfekowane dokumenty, wcześniej kopiując na ten sam pendrive ' a wszystko, co jeszcze jest dostępne dla otwarcia (choć pełnej gwarancji, że wirus nie wszedł w takie dokumenty, też nie). Wtedy dla pewności nośnik, należy koniecznie sprawdzić przynajmniej antywirusowym skanerem (mało co).
Warto powiedzieć o tym, że wirus do szyfrowania wykorzystuje algorytm RSA-3072, który, w przeciwieństwie do wcześniej stosowane technologie RSA-2048, jest tak skomplikowana, że dobór odpowiedniego hasła, nawet pod warunkiem, że się tym będzie zajmować cały kontyngent laboratoriów antywirusowych, może trwać miesiące i lata. Więc pytanie, jak rozszyfrować NO_MORE_RANSOM, wymaga dość dużych nakładów. Ale co zrobić, jeśli odzyskać dane trzeba natychmiast? Przede wszystkim – usunąć sam wirus.
Właściwie, to nic trudnego. Sądząc po tupet twórców wirusa, zagrożenie w systemie komputerowym, nie przebiera. Wręcz przeciwnie – jej nawet korzystne «самоудалиться» po zakończeniu wykonanych działań.
Tym nie mniej na początku, idąc na temat wirusa, jednak należy zneutralizować. Pierwszą rzeczą, którą należy stosować ochronne przenośne narzędzia jak KVRT, Malwarebytes, Dr. Web CureIt! i im podobne. Uwaga: stosowane do sprawdzania programu powinny być przenośnego typu obowiązkowo (bez instalacji na dysk twardy z uruchomieniem w optymalnym wariancie z nośnika wymiennego). Jeśli zagrożenie zostanie wykryte, należy ją natychmiast usunąć.
Jeśli takie działania nie są dostępne, należy najpierw wejść w «Menedżer zadań» i wypełnić w nim wszystkie procesy związane z wirusem wyszukać usługi według nazwy (zazwyczaj jest to proces Runtime Broker).
Po zdjęciu zadania należy wywołać edytor rejestru (regedit w menu «Uruchom») i ustawić wyszukiwanie według nazwy „Client Server Runtime System» (bez cudzysłowów), a następnie za pomocą menu nawigacji na podstawie «dalej…», usuń wszystkie znalezione elementy. Następnie należy dokonaćponowne uruchomienie komputera i uwierzyć w «Menedżerze zadań», czy nie ma tam poszukiwanego procesu.
W zasadzie kwestia tego, jak rozszyfrować wirus NO_MORE_RANSOM jeszcze na etapie zakażenia, może być rozwiązany w ten sposób. Prawdopodobieństwo jego neutralizacji, oczywiście, jest niewielka, ale jest szansa.
Ale jest jeszcze jedna metoda, o której mało kto wie lub domyśla się. Rzecz w tym, że sam system jest stale tworzy własne shadow kopii zapasowej (na przykład, na wypadek powrotu), lub użytkownik celowo tworzy takie obrazy. Jak pokazuje praktyka, to właśnie na takich kopii wirusa nie działa (w jego strukturze to po prostu nie jest przewidziane, choć nie jest wykluczone).
W Ten sposób, problem tego, jak rozszyfrować NO_MORE_RANSOM, sprowadza się do tego, aby użyć właśnie ich. Jednak zastosować do tego etatowe środki Windows nie jest zalecane, a wielu użytkowników do ukrytych kopii nie otrzymają dostępu w ogóle). Dlatego trzeba stosować narzędzia ShadowExplorer (jest przenośny).
Aby przywrócić trzeba po prostu uruchomić plik wykonywalny programu, sortować informacje według daty lub sekcji, wybrać odpowiednią kopię (plik, folder lub całego systemu) i poprzez menu PKM użyć wartości eksportu. Dalej po prostu wybrany katalog, w którym zostanie zapisana aktualna kopia, a następnie używany jest standardowy proces odzyskiwania.
Oczywiście, problem tego, jak rozszyfrować NO_MORE_RANSOM, wiele laboratorium oferują własne rozwiązania. Tak więc, na przykład, «Kaspersky Lab» zaleca własny produkt Kaspersky password Decryptor, przedstawiony w dwóch wersjach ó Rakhini i Chambers.
Nie mniej ciekawie wyglądają i podobne opracowania jak deszyfratora NO_MORE_RANSOM od Dr. Web. Ale tu warto od razu zauważyć, że stosowanie takich programów jest uzasadnione tylko w przypadku szybkiego wykrywania zagrożeń, na razie jeszcze nie zostały zainfekowane wszystkie pliki. Jeśli wirus osiedlił się w systemie mocno (gdy pliki zaszyfrowane po prostu nie można porównać z ich szyfruj oryginałami), i takie aplikacje mogą okazać się bezużyteczne.
Właściwie, wniosek nasuwa się tylko jeden: walczyć z tym wirusem, należy wyłącznie na fazie zakażenia, kiedy odbywa się szyfrowanie tylko pierwsze plików. A w ogóle najlepiej nie otwierać załączników w wiadomościach e-mail, pochodzących z wątpliwych źródeł (dotyczy wyłącznie klientów, zainstalowanych bezpośrednio na komputerze ó Outlook, Oulook Express, itp.). Ponadto, jeśli pracownik ma do dyspozycji listę adresów klientów i partnerów, otwieranie «left» wiadomości staje się zupełnie niecelowe, ponieważ większość przy ubieganiu się o pracę podpisuje umowy o poufności tajemnic handlowych i cyberbezpieczeństwa.
Article in other languages:
AR: https://tostpost.com/ar/computers/1642-no_more_ransom.html
En: https://tostpost.com/computers/6951-no_more_ransom---how-to-decrypt-encrypted-files.html
HI: https://tostpost.com/hi/computers/1642-no_more_ransom.html
JA: https://tostpost.com/ja/computers/1641-no_more_ransom.html
TR: https://tostpost.com/tr/bilgisayarlar/2847-no_more_ransom---ifresini-ifrelenmi-dosyalar.html
ZH: https://tostpost.com/zh/computers/1776-no_more_ransom.html
Alin Trodden - autor artykułu, redaktor
"Cześć, jestem Alin Trodden. Piszę teksty, czytam książki, Szukam wrażeń. I nie jestem zły w opowiadaniu ci o tym. Zawsze chętnie biorę udział w ciekawych projektach."
Nowości
Doskonałe połączenie funkcjonalności, wydajności i przystępnej ceny może pochwalić się urządzenia wielofunkcyjne początkowego klasy Canon LaserBase MF3110. To peryferyjne rozwiązanie świetnie nadaje się do biura lub użytku domoweg...
Jak numerowanie stron w "Ворде" 2003, 2007 i 2010
Praca z popularnym edytorem tekstu jest nierozerwalnie związane z wiedzy, jak numerowanie stron w "Ворде". Jest to bardzo ważny element formatowania, więc umieć obchodzić się z nim musi każdy użytkownik KOMPUTERA. Wielu początkują...
ISBN książki - co to za kod i jak go uzyskać?
Dzisiaj jednym z najbardziej udanych standardów publikacji elektronicznych jest kod ISBN książki. Co to za format i czym jego zalety, wiedzą nieliczni użytkownicy, jednak za niespełna trzydzieści lat aktywnego korzystania on już z...
PUP.Optional - co to za wirus i jak go usunąć? Wirusy z rodziny PUP. Wirus reklamowy
Reklamowy wirus ó w internecie zjawisko bardzo często występujące. Zagrożenia tego typu można podzielić na stosunkowo bezpieczne (porywacze przeglądarek) i bardzo niebezpieczne (spyware, ransomware), które są w stanie zablo...
Błąd failed to initialize renderer (Skyrim): jak naprawić, porady
Wszystko stracone! Ulubiona gra się nie uruchamia, zaczyna się panika. A wszystko dlatego, że na ekranie błąd failed to initialize renderer w Skyrim. Jak ją naprawić? Istnieją sposoby, za pomocą których można rozwiązywać problem i...
Cztery sposoby, jak sprawdzić model płyty głównej
Użytkownicy domowych komputerów osobistych, często borykają się z problemem identyfikacji swojego "żelaza". W tym płyty głównej, która jest podstawą dla całego komputera, a to znaczy, że jest najważniejszym elementem systemu. Za j...
Uwaga (0)
Ten artykuł nie ma komentarzy, bądź pierwszy!