NO_MORE_RANSOM - com desxifrar els arxius xifrats?

A la fi de 2016, el món va ser atacat per un virus molt trivial-troians encripta documents i continguts multimèdia, denominat NO_MORE_RANSOM. Com desxifrar els arxius després de l'exposició a aquesta amenaça, i es veurà més endavant. No obstant això, una vegada que cal advertir a tots els usuaris que han estat atacats, que no hi ha una metodologia única. Això està connectat amb un dels algoritmes de xifrat més avançades i amb el grau de penetració del virus en el sistema informàtic, o fins i tot una xarxa d'àrea local (tot i que inicialment sobre els efectes de la xarxa i no es calcula).

El que un virus NO_MORE_RANSOM i com funciona?

En general, el virus si mateix com a classe de troians com T'Estimo, que penetren en el sistema informàtic i el xifrat dels arxius de l'usuari (generalment multimèdia). No obstant això, si un avi diferia només el xifrat, aquest virus és molt prestat de l'amenaça d'una vegada sensacional anomenada DA_VINCI_COD, que combina en si mateix també funciona extorsionista.

Després de la infecció, la majoria dels arxius d'àudio, vídeo, gràfics i documents d'oficina se li assigna un nom molt llarg amb una extensió NO_MORE_RANSOM, que conté una contrasenya complexa.

Quan es va obrir el missatge sembla ser que els arxius estan encriptades i desxifrat per al producte que ha de pagar una certa quantitat.

Com una amenaça per penetrar en el sistema?

Deixem de parlar de la qüestió de com, després de l'impacte NO_MORE_RANSOM desxifrar els arxius de qualsevol dels tipus anteriors, i ens tornem a la tecnologia per a la penetració del virus en el sistema informàtic. Malauradament, tan cursi que pugui semblar, utilitza la manera antiga: un correu que ve amb un arxiu adjunt és obert, l'usuari rep l'activació i el codi maliciós.

Originalitat, com podem veure, aquesta tècnica no és diferent. No obstant això, el missatge pot ser disfressada com un text sense sentit res. O, per contra, per exemple, en el cas de les grans empreses, - un canvi en les condicions d'un contracte. S'entén que un empleat qualsevol obre l'arxiu adjunt, i després i obté resultats pobres. Una de les flamarades més brillants es van convertir en bases paquet de xifrat de dades populars 1C. I això és un assumpte seriós.

NO_MORE_RANSOM: com desxifrar els documents?

Però encara val la pena al seu torn a la qüestió principal. Sens dubte, tothom està interessat en la forma de desxifrar els arxius. NO_MORE_RANSOM virus té una seqüència d'accions. Si l'usuari intenta realitzar el desxifrat immediatament després de la infecció, el converteixen en alguna cosa més del possible. Si l'amenaça es va establir fermament en el sistema, per desgràcia, sense l'ajuda dels professionals no poden fer. Però sovint són impotents.

Si l'amenaça ha estat detectada en el moment oportú, la forma només una - s'aplica a l'ajuda companyies antivirus (però no tots els documents han estat xifrats) per enviar un parell inaccessibles per obrir arxius i sobre la base de l'anàlisi original, emmagatzemat en un medi extraïble, intenta restaurar els documents que ja estan infectades amb anterioritat copiat en la mateixa unitat flash USB qualsevol altra cosa que està disponible per a obrir (encara que una garantia total que el virus no s'ha propagat a aquests documents no és el mateix). Després d'això, d'una lleialtat portadora cal marcar com a mínim un escàner de virus (qui sap què).

algoritme

També cal esmentar el fet que per xifrar el virus utilitza l'algoritme RSA-3072, que, en contrast amb la tecnologia RSA-2048 utilitzat anteriorment és tan complexa, que la selecció de la contrasenya correcta, tot i suposant que això va a fer front a tot el contingent dels laboratoris antivirus , pot trigar mesos o anys. Per tant, la qüestió de com desxifrar NO_MORE_RANSOM, requereix força temps. Però el que si cal restaurar la informació immediatament? En primer lloc - per eliminar el virus en si.

És possible eliminar el virus i com fer-ho?

De fet, no és difícil de fer. A jutjar per l'arrogància dels creadors de virus, l'amenaça del sistema informàtic no està emmascarat. Per contra - que fins i tot rendible "samoudalitsya" després del final de les accions abans esmentades.

No obstant això, en un primer moment, seguint l'exemple del virus, que encara ha de ser neutralitzat. El primer pas és utilitzar una portàtils utilitats de protecció com KVRT, Malwarebytes, Dr. Curelt web! i similars. Nota: s'utilitza per provar el programa ha de ser d'un tipus portàtil és obligatòria (sense instal·lar res al disc dur amb el funcionament òptim dels mitjans extraïbles). Si es detecta una amenaça, s'ha de treure immediatament.

Si no es proporciona aquesta acció, primer ha d'anar al "Administrador de tasques" i acabar tots els processos associats amb el virus, ordenats pel nom del servei (en general, el procés d'execució Broker).

Després de treure el problema, cal trucar a l'Editor del Registre (regedit al menú "Executar") i buscar el títol «Client Server Runtime System» (sense les cometes) i, a continuació, utilitzant el menú de moviment en els resultats de "Cerca el següent ..." per eliminar tots els elements trobats. A continuació, ha de reiniciar l'ordinador i, a creure en el "Administrador de tasques" per veure si hi ha el procés requerit.

En principi, la qüestió de com desxifrar el virus NO_MORE_RANSOM encara està en fase d'infecció, i pot ser resolta per aquest mètode. La probabilitat de la neutralització, per descomptat, és petit, però hi ha una possibilitat.

Com desxifrar els arxius xifrats NO_MORE_RANSOM: les còpies de seguretat

Però hi ha un altre mètode, que poques persones coneixen o fins i tot conjectura. El fet que el sistema operatiu crea constantment les seves pròpies còpies de seguretat d'ombra (per exemple, en el cas de la recuperació), o mitjançant la creació deliberada de tals imatges. Com mostra la pràctica, aquest virus no afecta aquestes còpies (en la seva estructura, és simplement no es proporciona, encara que és possible).

Per tant, el problema de com desxifrar NO_MORE_RANSOM, es redueix a tal d'utilitzar aquest símbol. No obstant això, per a utilitzar les eines estàndard de Windows no es recomana per això (i molts usuaris a les còpies ocultes no tindran accés a tots). Per tant, cal fer servir la utilitat ShadowExplorer (és portable).

Per restaurar, només ha d'executar l'executable arxiu de programa, ordenar la informació per data o títol, seleccioneu la còpia desitjada (arxius, carpetes o tot el sistema) ia través del menú de PCM per utilitzar la línia d'exportació. A més directori simplement seleccionat en el qual s'emmagatzemarà la còpia actual i tot seguit, utilitza el procés de recuperació estàndard.

Eines de tercers

Per descomptat, el problema de com desxifrar NO_MORE_RANSOM, molts laboratoris ofereixen les seves pròpies solucions. Per exemple, "Kaspersky Lab" recomana l'ús del seu propi producte de programari de Kaspersky Decryptor, es presenta en dues versions - Rakhini i rector.

aspecte no menys interessant i un desenvolupament similar com NO_MORE_RANSOM descodificador pel Dr. Web. Però aquí cal immediatament tenir en compte que l'ús d'aquest tipus de programes només es justifica en cas de detecció d'amenaces ràpida, si bé no tots els arxius s'han infectat. Si el virus està fermament arrelada en el sistema (quan estan codificats arxius simplement no es pot comparar amb els seus originals no encriptats), i aquesta aplicació pot ser inútil.

A conseqüència

De fet, la conclusió és una sola: per combatre el virus ha de ser únicament en l'etapa de la infecció, quan no és només el primer xifrat d'arxius. En general, el millor és no obrir arxius adjunts en missatges de correu electrònic rebuts de fonts dubtoses (això es refereix exclusivament als clients, instal·lat directament a l'ordinador - Outlook, Outlook Express, etc.). A més, si l'empleat té a la seva disposició una llista de clients i socis per fer front a l'obertura dels missatges d ' "esquerra" que és bastant inadequat, ja que la majoria en la contractació de contractes de confidencialitat signe de secrets comercials i la seguretat cibernètica.