NO_MORE_RANSOM - kā atšifrēt šifrētu failus?

2016 beigās, pasaule tika uzbruka ar ļoti triviāls, Trojas vīrusu šifrē dokumentus un multivides saturu, dublēt NO_MORE_RANSOM. Kā atšifrēt failus pēc iedarbības uz šo draudu, un tiks apspriests tālāk. Tomēr, ja tas ir nepieciešams, lai brīdinātu visus lietotājus, kas ir uzbruka, ka nepastāv vienota metodoloģija. Tas ir saistīts ar vienu no visattīstītākajām šifrēšanas algoritmu, un ar pakāpi iekļūšanu vīrusu datorsistēmā, vai pat lokālo tīklu (kaut arī sākotnēji par tīkla efektu, un tas nav aprēķināts).

Kas NO_MORE_RANSOM vīrusu un kā tas darbojas?

Parasti vīruss pati kā Trojans klases, piemēram, Es mīlu Tevi, kurā iekļūt datorsistēmā, un šifrējot lietotāja failus (parasti multivides). Tomēr, ja vecvecāki atšķīrās tikai šifrēšanu, šis vīruss ir ļoti aizgūts no reiz sensacionālais draudiem sauc DA_VINCI_COD, apvienojot pati par sevi arī darbojas extortionist.

Pēc infekcija, vairums audio failus, video, grafikas un biroja dokumentiem tiek piešķirta ļoti garu nosaukumu ar paplašinājumu NO_MORE_RANSOM, kas satur sarežģītu paroli.

Kad atvēra ziņojums tiek parādīts, ka faili ir šifrēti un atšifrēšanas par produktu, kas jums jāmaksā kāda summa.

Kā draudu iekļūt sistēmā?

Ļaujiet mums atstāt tikai uz jautājumu par to, kā, pēc ietekmes NO_MORE_RANSOM atšifrēt failus jebkurā no iepriekš minētajiem veidiem, kā vērsties pie tehnoloģiju iekļūst vīrusu datorsistēmā. Diemžēl, kā banāli tas neizklausītos, tā izmanto vecmodīgs veids: pa e-pastu nāk ar pielikumu tiek atvērts, lietotājs saņem aktivizēšanu un ļaunprātīgu kodu.

Oriģinalitāte, kā mēs varam redzēt, šī metode nav atšķirīgs. Tomēr ziņojums var būt maskēta kā bezjēdzīgu tekstu neko. Vai, gluži pretēji, piemēram, gadījumā ar lielākiem uzņēmumiem - izmaiņas apstākļos līgumu. Tiek saprasts, ka parasts darbinieks atver pielikumu, un pēc tam, un saņem sliktu rezultātu. Viena no spilgtākajām signālraķešu kļuva populārs šifrēšanas pakete bāzētu 1C datus. Un tas ir nopietns jautājums.

NO_MORE_RANSOM: kā atšifrēt dokumentus?

Bet tomēr vērts pievērsties galveno jautājumu. Protams visi ir ieinteresēti, kā atšifrēt failus. NO_MORE_RANSOM vīruss ir darbību secība. Ja lietotājs mēģina veikt atšifrēšanu tūlīt pēc inficēšanās, lai tas kaut kas cits, cik vien iespējams. Ja draudi ir stingri apmetās sistēmā, diemžēl, bez profesionāļu palīdzību nevar darīt. Bet tie bieži ir bezspēcīgi.

Ja draudi ir konstatēts savlaicīgi, ceļš tikai viens - uz antivīrusu kompānijas atbalstu (vēl nav visi dokumenti ir kodēti), lai nosūtītu pāris nepieejamas atvēršanai failus un, pamatojoties uz sākotnējo analīzi, kas glabājas noņemamo datu nesēju, mēģiniet atjaunot jau inficēti dokumenti iepriekš kopēšana uz vienas USB zibatmiņas diskā kāds cits ir pieejami, lai atvērtu (lai gan pilnīga garantija, ka vīruss nav izplatījies uz šādiem dokumentiem nav tas pats). Pēc tam, par nesēja lojalitāti tas ir nepieciešams, lai pārbaudītu vismaz vīrusu skeneris (kas zina, ko).

algoritms

Mums vajadzētu arī pieminēt faktu, ka, lai šifrētu vīrusu izmanto RSA-3072 algoritmu, kas, atšķirībā no iepriekš izmantotā RSA-2048 tehnoloģija ir tik sarežģīta, ka izvēle ir pareiza parole, pat pieņemot, ka tas būs galā ar visu kontingenta pretvīrusu laboratorijās tā var veikt mēnešus vai gadus. Tādējādi jautājums par to, kā atšifrēt NO_MORE_RANSOM, prasa diezgan laikietilpīga. Bet ko tad, ja jums ir nepieciešams nekavējoties atjaunot informāciju? Pirmkārt - lai izdzēstu vīrusu pati.

Vai ir iespējams, lai novērstu vīrusu un kā to darīt?

Patiesībā, tas nav grūti izdarīt. Spriežot pēc augstprātību vīrusu radītāji draudi datorsistēmas nav maskē. Tieši pretēji - tas pat izdevīgi "samoudalitsya" pēc beigām minētajām darbībām.

Tomēr vispirms, pēc vadībā ar vīrusu, tas joprojām ir jāneitralizē. Pirmais solis ir izmantot pārnēsājamu aizsardzības inženierkomunikāciju, piemēram, KVRT, Malwarebytes, Dr. Web CureIt! un tamlīdzīgi. Piezīme: izmanto, lai pārbaudītu programmu būtu pārnēsājamas ir obligāta (bez instalēšanas neko uz cietā diska ar tekošu optimāli no noņemamos datu nesējos). Ja draudi ir konstatēts, tas nekavējoties jāizņem.

Ja netiek sniegta šāda rīcība, vispirms jādodas uz "Task Manager" un pabeigt to visus procesus, kas saistīti ar vīrusu, kas sakārtotas pēc pakalpojuma nosaukums (parasti šis process Runtime Brokeris).

Pēc izņemšanas problēmu, mums ir zvanīt Registry Editor (regedit izvēlnē "Run"), un meklēt titulu «Client Server Runtime System» (bez pēdiņām), un pēc tam, izmantojot pārvietot izvēlni uz rezultātu "Find Next ...", lai novērstu visus atrastos priekšmetus. Tālāk jums ir nepieciešams restartēt datoru, un ticēt ar "Task Manager", lai redzētu, vai tur ir nepieciešamais process.

Principā, jautājums par to, kā atšifrēt NO_MORE_RANSOM vīruss joprojām ir uz skatuves ar infekciju, un to var atrisināt ar šo metodi. No neitralizācijas varbūtība, protams, ir mazs, bet ir iespēja.

Kā atšifrēt failus šifrētu NO_MORE_RANSOM: backups

Bet ir vēl viena metode, kas daži cilvēki zina, vai pat minējums. Fakts, ka operētājsistēma pastāvīgi rada savu ēnu backups (piemēram, gadījumā, ja kādreiz atgūt), vai arī apzināti radot šādus attēlus. Kā rāda prakse, šis vīruss neietekmē šīs kopijas (tā struktūra, tas vienkārši nav paredzēti, lai gan tas ir iespējams).

Tātad, problēma, kā atšifrēt NO_MORE_RANSOM, vārīties uz leju, lai izmantotu šo simbolu. Tomēr, lai izmantotu Windows standarta rīkus, nav ieteicams to (un daudzi lietotāji slēpto kopijas nebūs pieejami vispār). Tādēļ, jums ir nepieciešams, lai izmantotu lietderība ShadowExplorer (tas ir portatīvo).

Lai atjaunotu, vienkārši palaist izpildāmo programmu failu, kārtojama pēc datuma vai nosaukuma, izvēlieties vajadzīgo kopiju (failus, mapes, vai visu sistēmu) un, izmantojot PCM izvēlni, lai izmantotu eksporta līniju. Tālāk vienkārši izvēlas katalogs, kurā pašreizējais kopija tiek saglabāta, un pēc tam izmanto standarta atveseļošanās procesu.

Trešās puses rīki

Protams, problēma, kā atšifrēt NO_MORE_RANSOM, daudzas laboratorijas piedāvā savus risinājumus. Piemēram, "Kaspersky Lab" iesaka izmantot savas programmatūras produktu Kaspersky decryptor, kas iesniegts divās versijās - Rakhini un rektors.

Ne mazāk interesants izskats un līdzīga attīstība, piemēram, NO_MORE_RANSOM dekodera Dr. Web. Bet šeit tas ir nepieciešams nekavējoties ņemt vērā, ka, izmantojot šādu programmu ir pamatots tikai tad, ja strauju draudu atklāšanas, bet ne visi faili ir inficēti. Ja vīruss ir stingri iesakņojusies sistēmā (ja šifrētu failus, vienkārši nevar salīdzināt ar to, kas nav šifrēts oriģināliem), un šāda piemērošana var būt bezjēdzīgi.

Rezultātā

Faktiski, secinājums ir tikai viens: cīnīties vīrusu jābūt tikai uz skatuves par infekciju, ja ir tikai pirmais šifrēšanas failu. Kopumā, tas ir labākais nevis atvērt pielikumus e-pasta ziņojumus, kas saņemti no apšaubāmiem avotiem (tas attiecas tikai uz klientiem, kas uzstādītas tieši uz jūsu datora - Outlook, Oulook Express, uc). Turklāt, ja darbinieks ir tās rīcībā ir klientu sarakstu un partneriem, lai risinātu atvēršanu "left" ziņām tas ir diezgan nepiemēroti, kā tas visvairāk darbā ieiet neizpaušanas līgumus tirdzniecības noslēpumiem, un kiberdrošību.