NO_MORE_RANSOM - hur man dekryptera de krypterade filer?

Vid utgången av 2016 var världen attackerad av en mycket trivial-trojan virus krypterar dokument och multimedieinnehåll, dubbat NO_MORE_RANSOM. Hur dekryptera filer efter exponering för detta hot, och kommer att diskuteras vidare. Men det är en gång nödvändigt att varna alla användare som har angripits, att det inte finns någon enda metod. Detta hänger samman med en av de mest avancerade krypteringsalgoritmer och med graden av penetration av viruset i datasystemet, eller ens ett lokalt nätverk (även om från början på nätverkseffekter och det är inte beräknad).

Vilken NO_MORE_RANSOM virus och hur det fungerar?

Generellt själva viruset som klass av trojaner som Jag älskar dig, som tränger in i datasystemet och kryptera användarens filer (vanligtvis multimedia). Men om en farförälder skilde bara kryptering, detta virus är mycket lånad från en gång sensationella hot kallas DA_VINCI_COD kombinerar i sig fungerar också utpressare.

Efter infektion är de flesta ljudfiler, video, grafik och Office-dokument tilldelas ett mycket långt namn med en förlängnings NO_MORE_RANSOM, som innehåller ett komplext lösenord.

När de öppnas visas meddelandet att filerna är krypterade och dekryptering för den produkt du måste betala en viss mängd.

Som ett hot att tränga in i systemet?

Låt oss lämna ensam frågan om hur, efter slag NO_MORE_RANSOM dekryptera filer av något av ovanstående typer, och vänder sig till teknik för att tränga in i viruset i datasystemet. Tyvärr så corny som det kanske låter, använder den gammaldags sätt: via e-post kommer med en bifogad fil öppnas, får användaren aktivering och skadlig kod.

Originalitet, som vi kan se är denna teknik inte annorlunda. Emellertid kan meddelandet förklädd till en meningslös text som helst. Eller tvärtom, till exempel i fallet med större företag, - en förändring i villkoren för ett kontrakt. Det är underförstått att en vanlig kontorist öppnar den bifogade filen, och då och får dåliga resultat. En av de ljusaste facklor blev populära krypteringspaketbaser 1C data. Och detta är en allvarlig fråga.

NO_MORE_RANSOM: hur man dechiffrera dokumenten?

Men ändå värt det att vända sig till den viktigaste frågan. Visst alla är intresserade av hur man kan dekryptera filerna. NO_MORE_RANSOM viruset har en sekvens av åtgärder. Om användaren försöker att utföra dekryptering omedelbart efter infektion, gör det något annat som möjligt. Om hotet är ordentligt fast i systemet, tyvärr, utan hjälp av proffs inte kan göra. Men de är ofta maktlösa.

Om hotet har upptäckts i tid, hur en enda - gäller antivirusföretag stöd (ännu ej alla dokument har krypterat) för att skicka ett par oåtkomlig för att öppna filer och på grundval av den ursprungliga analysen lagras på flyttbara media, försöka återställa redan infekterade dokument som tidigare kopiering på samma USB-minne allt annat är tillgänglig för att öppna (även om en fullständig garanti för att viruset inte har spridit sig till sådana handlingar är inte samma sak). Efter det är det för en bärare lojalitet nödvändigt att kontrollera åtminstone ett antivirusprogram (vem vet vad).

algoritm

Vi bör också nämna det faktum att för att kryptera viruset använder RSA-3072 algoritm, som i motsats till den tidigare använda RSA-2048-tekniken är så komplicerad, att valet av rätt lösenord, även om man antar att det kommer att ta itu med hela kontingenten av antiviruslaboratorier kan det ta månader eller år. Således frågan om hur man dechiffrera NO_MORE_RANSOM kräver ganska tidskrävande. Men vad händer om du vill omedelbart återställa information? Först av allt - för att ta bort viruset själv.

Är det möjligt att ta bort viruset och hur man gör det?

Egentligen är det inte svårt att göra. Att döma av arrogans virus skapare, är hotet om datasystemet inte maskerad. Tvärtom - det även lönsamt "samoudalitsya" efter utgången av ovannämnda åtgärder.

Ändå först efter ledning av viruset, fortfarande måste neutraliseras. Det första steget är att använda en bärbar skyddande verktyg som KVRT, Malwarebytes, Dr. Web CureIt! och liknande. Obs! Används för att testa programmet bör vara av en bärbar typ är obligatorisk (utan att installera något på hårddisken med rinnande optimalt från flyttbara media). Om ett hot upptäcks, bör den tas bort omedelbart.

Om en sådan åtgärd inte tillhandahålls måste du först gå till "Task Manager" och avsluta det alla processer i samband med virus, sorterade efter kanalnamn (vanligtvis processen Runtime Broker).

Efter att ha avlägsnat problemet måste vi kallar Registereditorn (regedit i menyn "Kör") och söka efter titeln «Client Server Runtime System» (utan citattecken), och sedan använda drag menyn på resultaten av "Sök nästa ..." för att ta bort alla hittade föremål. Nästa du behöver för att starta om datorn, och att tro på "Task Manager" för att se om det finns den nödvändiga processen.

I princip är frågan om hur man ska tolka NO_MORE_RANSOM virus fortfarande på stadiet av infektion, och kan lösas genom denna metod. Sannolikheten för neutralisering, naturligtvis, är liten, men det finns en chans.

Hur dekryptera filer krypterade NO_MORE_RANSOM: säkerhetskopior

Men det finns en annan metod, som få människor känner till eller ens gissa. Det faktum att operativsystemet skapar ständigt sina egna skuggsäkerhetskopior (till exempel, i fallet med återvinning), eller genom att avsiktligt skapa sådana bilder. Som praxis visar, betyder detta virus inte påverka dessa kopior (i sin struktur, är det helt enkelt inte tillgänglig, även om det är möjligt).

Således problemet med hur man dechiffrera NO_MORE_RANSOM, kokar ner till för att kunna använda den symbolen. Men för att använda Windows standardverktyg rekommenderas inte för detta (och många användare till den dolda kopior kommer inte att ha tillgång alls). Därför måste du använda verktyget ShadowExplorer (det är bärbar).

För att återställa, bara köra den körbara programfilen, sortera informationen efter datum eller titel, välja önskad kopian (filer, mappar eller hela systemet) och genom PCM-menyn för att använda exportlinjen. Vidare helt enkelt valt katalog där det aktuella kopierings kommer att lagras och sedan använder standardåterhämtningsprocessen.

Tredjepartsverktyg

Naturligtvis problemet med hur man dechiffrera NO_MORE_RANSOM, många laboratorier erbjuder sina egna lösningar. Till exempel "Kaspersky Lab" rekommenderar användning av sin egen programvara Kaspersky Decryptor, som presenteras i två versioner - Rakhini och rektor.

Inte mindre intressant utseende och en liknande utveckling som NO_MORE_RANSOM dekoder av Dr. Web. Men här är det nödvändigt att omedelbart ta hänsyn till att användningen av sådana program motiveras endast vid snabb upptäckt hot, men inte alla filer har smittats. Om viruset är fast förankrade i systemet (när krypterade filer kan bara inte jämföras med deras icke-krypterade original), och en sådan ansökan kan vara värdelös.

Som ett resultat

I själva verket är slutsatsen enda: att bekämpa viruset måste vara enbart på scenen av infektion, när det är bara det första kryptering av filer. I allmänhet är det bäst att inte öppna bifogade filer i e-postmeddelanden som tas emot från tvivelaktiga källor (detta gäller endast för kunder, installeras direkt på datorn - Outlook, Oulook Express, etc.). Dessutom, om den anställde har till sitt förfogande en lista över kunder och partners att ta itu med öppnandet av "vänster" meddelanden Det är ganska olämpligt, eftersom de flesta att anställa tecken sekretessavtal av affärshemligheter och cybersäkerhet.