NO_MORE_RANSOM - hoe om die geïnkripteer lêers dekripteer?

Aan die einde van 2016, was die wêreld aangeval deur 'n baie triviale-trojan virus versleutelt dokumente en multimedia inhoud, genaamd NO_MORE_RANSOM. Hoe om lêers decrypt na blootstelling aan hierdie bedreiging, en sal verder bespreek word. Maar wanneer dit nodig is om alle gebruikers wat reeds aangeval waarsku, dat daar nie 'n enkele metode. Dit is wat verband hou met een van die mees gevorderde enkripsie-algoritmes, en met die graad van penetrasie van die virus in die rekenaarstelsel, of selfs 'n plaaslike area netwerk (alhoewel aanvanklik op netwerk-effekte en is dit nie bereken).

Wat 'n NO_MORE_RANSOM virus en hoe dit werk?

Oor die algemeen, die virus self as klas van Trojane soos I Love You, wat lêers die gebruiker se (gewoonlik multimedia) deur te dring in die rekenaarstelsel en versleutelen. Maar, as 'n grootouer net enkripsie verskil, hierdie virus is baie geleen van die eens sensasionele bedreiging genoem DA_VINCI_COD, 'n kombinasie op sigself funksioneer ook afperser.

Na infeksie, is die meerderheid van klank lêers, video, beelde en kantoor dokumente 'n baie lang naam wat met 'n uitbreiding NO_MORE_RANSOM, met 'n komplekse wagwoord.

Wanneer geopen boodskap wil voorkom asof die lêers word geïnkripteer en dekripsie vir die produk wat jy nodig het om 'n bedrag te betaal.

As 'n bedreiging te dring in die stelsel?

Laat ons met rus laat die vraag van hoe, na die impak NO_MORE_RANSOM decrypt lêers van enige van die bogenoemde tipes, en draai na tegnologie vir indringende die virus in die rekenaarstelsel. Ongelukkig, as corny soos dit mag klink, dit maak gebruik van outydse manier: via e-pos kom met 'n aanhangsel oopgemaak word, die gebruiker die aktivering en kwaadwillige kode ontvang.

Oorspronklikheid, soos ons kan sien, hierdie tegniek is nie anders nie. Tog kan die boodskap vermom as 'n sinlose teks enigiets. Of nie, inteendeel, byvoorbeeld, in die geval van groter maatskappye, - 'n verandering in die voorwaardes van 'n kontrak. Dit word verstaan dat 'n gewone klerk open die beslaglegging, en dan en kry swak resultate. Een van die helderste fakkels gewild geword enkripsie pakket basisse 1C data. En dit is 'n ernstige saak.

NO_MORE_RANSOM: hoe om die dokumente te ontsyfer?

Maar nog steeds die moeite werd om te draai na die belangrikste vraag. Sekerlik almal wat belangstel in hoe om die lêers te dekripteer. NO_MORE_RANSOM virus het 'n reeks gebeurtenisse. As die gebruiker probeer om dekripsie te voer onmiddellik na die infeksie, maak dit iets anders as moontlik. As die bedreiging stewig gevestig in die stelsel, helaas, sonder die hulp van professionele mense kan doen nie. Maar hulle is dikwels magteloos.

As die bedreiging in 'n tydige wyse bespeur, die manier net een - van toepassing op antivirus maatskappye ondersteuning (nog nie al die dokumente is geïnkripteer) om 'n paar ontoeganklik vir die opening van lêers en op die basis van die oorspronklike analise, gestoor op verwyderbare media stuur, probeer om reeds besmet dokumente voorheen herstel kopiëring op dieselfde USB-stick alles anders beskikbaar te maak (al is 'n volledige waarborg dat die virus nie versprei het om sodanige dokumente is nie dieselfde) is. Daarna het vir 'n draer lojaliteit is dit nodig om ten minste 'n virus skandeerder te gaan (wie weet wat).

algoritme

Ons moet ook noem die feit dat die virus enkripteer gebruik RSA-3072 algoritme, wat, in teenstelling met die voorheen gebruik RSA-2048 tegnologie is so kompleks dat die keuse van die korrekte wagwoord, selfs die veronderstelling dat dit sal gaan met die hele kontingent van anti-virus laboratoriums dit kan maande of jare duur. Dus, die vraag van hoe om NO_MORE_RANSOM ontsyfer, vereis baie tyd in beslag neem. Maar wat as jy nodig het om inligting onmiddellik te herstel? In die eerste plek - om die virus self verwyder.

Is dit moontlik om die virus te verwyder en hoe om dit te doen?

Eintlik is dit nie moeilik om te doen. Te oordeel aan die arrogansie van die virus skeppers, is die bedreiging van die rekenaarstelsel nie verbloem. Inteendeel - dit selfs winsgewend "samoudalitsya" na die einde van die bogenoemde aksies.

Tog, ten eerste, na aanleiding van die leiding van die virus, dit nog steeds moet geneutraliseer. Die eerste stap is om 'n draagbare beskermende nuts te gebruik soos KVRT, Malwarebytes, Dr. Web CureIt! en dies meer. Let wel: gebruik om die program te toets van 'n draagbare tipe moet wees is verpligtend (sonder om iets te installeer op die hardeskyf met optimaal hardloop uit die verwyderbare media). As 'n bedreiging is opgespoor, moet dit onmiddellik verwyder word.

As so 'n aksie nie verskaf word, moet jy eers gaan na die "Task Manager" en dit voltooi al die prosesse wat verband hou met die virus, gesorteer volgens naam diens (tipies, die proses Runtime Broker).

Na die verwydering van die probleem, moet ons die Register-editor noem (regedit in die menu "Run") en soek vir die titel «kliënt-bediener gebêre System" (sonder die aanhalingstekens) en dan met behulp van die skuif spyskaart op die resultate van "Vind Volgende ..." om al die gevind items te verwyder. Volgende moet jy die rekenaar weer te begin, en om te glo in die "Task Manager" om te sien of daar is die vereiste proses.

In beginsel is die vraag van hoe om te ontsyfer NO_MORE_RANSOM virus is nog op die verhoog van infeksie, en opgelos kan word deur hierdie metode. Die waarskynlikheid van neutralisasie, natuurlik, is 'n klein, maar daar is 'n kans te gee.

Hoe om lêers decrypt geënkripteerde NO_MORE_RANSOM: rugsteun

Maar daar is 'n ander metode, wat min mense weet of selfs raaiskoot. Die feit dat die bedryfstelsel voortdurend skep sy eie skaduwee rugsteun (byvoorbeeld in die geval van herstel), of deur doelbewus skep sulke beelde. As die praktyk toon, beteken dit virus geen invloed op die kopieë (in sy struktuur, dit is eenvoudig nie voorsien, maar dit is moontlik).

So, die probleem van hoe om NO_MORE_RANSOM ontsyfer, kom neer op om daardie simbool gebruik. Maar om te gebruik Windows standaard gereedskap word nie aanbeveel vir hierdie (en baie gebruikers om die verborge kopieë sal nie toegang te hê). Daarom moet jy die nut ShadowExplorer gebruik (dit is draagbaar).

Om te herstel, net die uitvoerbare loop program lêer, die inligting op datum of titel te sorteer, kies die verlangde kopie (lêers, dopgehou, of die hele stelsel) en deur die PCM spyskaart om die uitvoer lyn gebruik. Verdere eenvoudig gekies gids waarin die huidige kopie sal gestoor word en dan gebruik die standaard herstelproses.

Derde party gereedskap

Natuurlik, die probleem van hoe om NO_MORE_RANSOM ontsyfer, baie laboratoriums bied hul eie oplossings. Byvoorbeeld, "Kaspersky Lab" beveel die gebruik van sy eie sagteware produk Kaspersky Decryptor, aangebied in twee weergawes - Rakhini en Rektor.

Nie minder interessante blik en 'n soortgelyke ontwikkeling soos NO_MORE_RANSOM dekodeerder deur Dr. Web. Maar hier is dit nodig onmiddellik in ag te neem dat die gebruik van sulke programme is geregverdig slegs in die geval van 'n vinnige bedreiging opsporing, terwyl dit nie al die lêers besmet is. As die virus stewig verskans in die stelsel (wanneer net geïnkripteer lêers kan nie vergelyk word met hul nie-geënkripteerde oorspronklike), en kan so 'n aansoek nutteloos wees.

As gevolg hiervan

Trouens, die gevolgtrekking is net een: om die virus te beveg moet uitsluitlik op die stadium van infeksie, wanneer daar is net die eerste enkripsie van lêers. In die algemeen, is dit beter om nie te aanhegsels in e-pos boodskappe ontvang van twyfelagtige bronne oop (dit verwys uitsluitlik na kliënte, direk op jou rekenaar geïnstalleer - Outlook, Oulook Express, ens). Verder, as die werknemer tot sy beskikking het 'n lys van kliënte en vennote om die opening van die "links" boodskappe is dit baie onvanpas, aangesien die meeste in die verhuring van teken-openbaarmaking ooreenkomste van handelsgeheime, en kuber-sekuriteit aan te spreek.