NO_MORE_RANSOM - kako dešifrirati šifrirane datoteke?

Konec leta 2016 je svet napadel zelo netrivialni trojanski virus, šifrirne dokumente po meri in multimedijske vsebine, imenovane NO_MORE_RANSOM. Kako dešifrirati datoteke po vplivu te grožnje in se bodo nadalje obravnavale. Vendar pa je takoj potrebno opozoriti vse napadene uporabnike, da ni nobene posamezne tehnike. To je posledica uporabe enega najnaprednejših algoritmov šifriranja in stopnje prodora virusa v računalniški sistem ali celo v lokalno omrežje (čeprav se sprva ne izračuna na podlagi učinka omrežja).


Kaj je virus NO_MORE_RANSOM in kako deluje?

Na splošno se virus šteje, da spada v razred trojancev, kot sem jaz tebe, ki prodrejo v računalniški sistem in šifrirajo uporabniške datoteke (ponavadi multimedijske). Res je, če se je prednik razlikoval le v šifriranju, potem je ta virus sposodil veliko od nekoč glasne grožnje, imenovane DA_VINCI_COD, ki združuje funkcije dodatkov.
Po okužbi večine avdio, video, grafičnih ali pisarniških datotek je dodeljeno dolgo ime z razširitvijo NO_MORE_RANSOM, ki vsebuje kompleksno geslo.
Ko jih poskušate odpreti, se na zaslonu pojavi sporočilo, da so datoteke šifrirane in da so stvaritve dolžne plačati določen znesek za dešifriranje.

Kako nevarnost vstopa v sistem?

Pustimo vprašanje, kako po vplivu NO_MORE_RANSOM dešifrirati datoteke katere koli od zgoraj navedenih tipov in se obrniti na tehnologijoprodor virusa v računalniški sistem. Na žalost, ne glede na to, kako banalno se sliši, se za to uporablja stara preizkušena metoda: e-pošta s prilogo prispe na e-poštni naslov, ki odpre uporabnika in prejme zlonamerno kodo.


Izvirnost, kot vidimo, se ta tehnika ne razlikuje. Vendar pa je lahko sporočilo prikrito za nesmiselno besedilo. Ali, nasprotno, na primer, ko gre za velika podjetja - v skladu s pogoji pogodbe. Jasno je, da povprečni uradnik odpre prilogo in nato dobi grozljiv rezultat. Ena najsvetlejših utripov je bilo šifriranje baz podatkov priljubljenega paketa 1C. In to je resna zadeva.

NO_MORE_RANSOM: kako dešifrirati dokumente?

Kljub temu se je vredno obrniti na glavno vprašanje. Verjetno vsi zanima, kako dešifrirati datoteke. Vir virus NO_MORE_RANSOM ima svoje lastno zaporedje dejanj. Če uporabnik poskuša dešifrirati takoj po okužbi, je še vedno mogoče. Če je grožnja poravnana v sistemu trdno, na žalost, brez pomoči strokovnjaka tukaj ne more storiti. Toda tudi oni so najpogosteje nemočni. Če je bila grožnja pravočasno zaznana, je edini način, da se obrnete na protivirusno podporo (vendar vsi dokumenti niso bili šifrirani), pošljete par nedostopnih datotek, ki jih želite odpreti, in na podlagi analize izvirnikov, ki so shranjeni na izmenljivem mediju, poskusite obnoviti že okužene dokumente, vnaprej kopirati na isti flash pogon, ki je na voljo za odpiranje (čeprav je polnjamstvo, da virus ne prodre v take dokumente, prav tako ni). Po tem, za zanesljivost, mora medij preveriti vsaj antivirusni skener (nekaj).

Algoritem

Prav tako je treba opozoriti, da virus za šifriranje uporablja algoritem RSA-3072, ki je v nasprotju s prej uporabljeno tehnologijo RSA-2048 tako kompleksen, da izbira zahtevanega gesla, tudi če da bo to obravnavalo celoten kontingent antivirusnih laboratorijev, lahko traja mesece in leta. Zato vprašanje, kako dešifrirati NO_MORE_RANSOM, zahteva veliko začasnih stroškov. Toda kaj naj storim, če moram informacije takoj obnoviti? Najprej - odstranite virus sam.

Ali lahko odstranite virus in kako to storite?

Pravzaprav je to enostavno. Sodeč po drskosti ustvarjalcev virusa, grožnja v računalniškem sistemu ni prikrita. Ravno nasprotno - celo dobičkonosno "samouničenje" po koncu akcije.
Vendar je treba najprej po virusu nevtralizirati. Prva stvar je uporaba prenosnih varnostnih orodij, kot so KVRT, Kaspersky, Dr. Web CureIt! in jim je všeč. Opomba: Za preverjanje programa je treba uporabiti prenosni tip, kot je zahtevano (brez namestitve na trdi disk z zagonom v optimalni različici izmenljivega medija). Če je grožnja zaznana, jo je treba nemudoma odstraniti.
Če ti ukrepi niso predvideni, se morate najprej prijaviti v Upravitelja opravil in dokončati vse procese, povezane z njim, tako da razvrstite storitev po imenu(praviloma je proces posrednika izvajanja).
Ko odstranite nalogo, morate poklicati urejevalnik registra (regedit iz menija Run) in nastaviti iskanje imena "Client Server Runtime System" (brez narekovajev), nato pa uporabite meni "Find Next", da izbrišete vse najdene elemente. . Nato morate znova zagnati računalnik in verjeti v "Task Manager", ni želenega procesa.
Načeloma lahko vprašanje, kako dešifrirati virus NO_MORE_RANSOM v fazi okužbe, rešimo s to metodo. Verjetnost njene nevtralizacije je seveda majhna, vendar obstaja možnost.

Kako dešifrirati datoteke šifrirane NO_MORE_RANSOM: varnostne kopije

Toda obstaja še ena metoda, ki jo malo ljudi ve ali celo ugiba. Dejstvo, da sam operacijski sistem nenehno ustvarja lastne varnostne kopije v senci (na primer v primeru obnovitve) ali uporabnik namerno ustvarja take slike. Kot kaže praksa, je na takih kopijah, da virus ne vpliva (v njegovi strukturi preprosto ni na voljo, čeprav ni izključen). Zato je problem, kako dekodirati NO_MORE_RANSOM, da ga uporabimo natančno. Vendar pa ni priporočljivo uporabljati standardne pisarniške opreme za Windows (in mnogi uporabniki sploh ne bodo imeli dostopa do skritih kopij). Zato morate uporabiti pripomoček ShadowExplorer (prenosen).
Za obnovitev morate preprosto zagnati izvedljivo datoteko programa, razvrstiti informacije po datumu ali razdelku, izbrati želeno kopijo (datoteka, mapa ali celoten sistem) in prek menija PCM.uporabite niz za izvoz. Nato preprosto izberite imenik, kamor bo shranjena trenutna kopija, nato pa uporabite standardni postopek obnovitve.

Druge javne službe

Seveda mnogi laboratoriji ponujajo svoje rešitve problema dešifriranja NO_MORE_RANSOM. Kaspersky Lab na primer priporoča uporabo lastne programske opreme Kaspersky Anti-Virus, ki je predstavljena v dveh spremembah - Rakhini in Rector.
Nič manj zanimiv videz in podoben razvoj kot dekoder NO_MORE_RANSOM od Dr. Splet. Toda tukaj je treba takoj omeniti, da je uporaba takih programov upravičena le v primeru hitrega odkrivanja grožnje, dokler niso vse datoteke okužene. Če je virus tesen v sistemu (kadar šifrirane datoteke preprosto ni mogoče primerjati z njihovimi nešifriranimi izvirniki), so takšne aplikacije lahko zaman.

Posledično

Dejansko sklepna ugotovitev navaja le eno: boj proti temu virusu mora biti izključno v fazi okužbe, ko šifriramo samo prve datoteke. Na splošno je najbolje, da e-poštnih priponk ne odpirajo iz vprašljivih virov (to velja samo za odjemalce, ki so nameščeni neposredno v vašem računalniku - Microsoft Outlook, Oulook Express itd.). Poleg tega, če ima zaposleni v podjetju seznam naslovov strank in partnerjev, odpiranje "levih" sporočil postane popolnoma neprimerno, saj večina pri zaposlovanju podpiše pogodbo o nerazkritju poslovnih skrivnosti in kibernetski varnosti.

Sorodne publikacije