NO_MORE_RANSOM - bagaimana untuk menyahsulit fail yang disulitkan?

Pada akhir 2016, dunia telah diserang oleh virus yang sangat remeh-trojan menyulitkan dokumen dan kandungan multimedia, NO_MORE_RANSOM digelar. Bagaimana untuk menyahsulit fail selepas terdedah kepada ancaman ini, dan akan dibincangkan dengan lebih lanjut. Walau bagaimanapun, apabila ia adalah perlu untuk memberi amaran kepada semua pengguna yang telah diserang, bahawa tidak ada satu metodologi. Ini adalah berkaitan dengan salah satu daripada algoritma penyulitan yang paling maju, dan dengan tahap penembusan virus ke dalam sistem komputer, atau rangkaian kawasan tempatan (walaupun pada mulanya pada kesan rangkaian dan ia tidak dikira).

Apa virus NO_MORE_RANSOM dan bagaimana ia berfungsi?

Secara umumnya, virus itu sendiri sebagai kelas Trojan seperti I Love You, yang menembusi ke dalam sistem komputer dan menyulitkan fail pengguna (biasanya multimedia). Walau bagaimanapun, jika nenek yang berbeza hanya penyulitan, virus ini sangatlah dipinjam daripada ancaman sekali sensasi dipanggil DA_VINCI_COD, menggabungkan dalam dirinya juga berfungsi pemeras.

Selepas jangkitan, majoriti fail audio, video, grafik dan dokumen pejabat yang diberikan nama yang sangat lama dengan NO_MORE_RANSOM lanjutan, yang mengandungi kata laluan yang kompleks.

Apabila mesej dibuka nampaknya bahawa fail yang disulitkan dan penyahsulitan untuk produk yang anda perlu membayar beberapa jumlah.

Sebagai satu ancaman untuk menembusi ke dalam sistem?

Marilah kita meninggalkan sahaja persoalan bagaimana, selepas NO_MORE_RANSOM kesan menyahsulit fail mana-mana jenis di atas, dan beralih kepada teknologi untuk menembusi virus ke dalam sistem komputer. Malangnya, kerana cetek kerana ia mungkin berbunyi, ia menggunakan cara lama: via e-mail datang dengan lampiran dibuka, pengguna menerima pengaktifan dan kod berniat jahat.

Keaslian, seperti yang kita lihat, teknik ini adalah tidak berbeza. Walau bagaimanapun, mesej boleh menyamar sebagai apa-apa teks bermakna. Atau, sebaliknya, sebagai contoh, dalam kes syarikat-syarikat yang lebih besar, - perubahan dalam syarat-syarat kontrak. Difahamkan, seorang kerani biasa membuka lampiran, dan kemudian dan mendapat keputusan yang buruk. Salah satu suar terang menjadi popular pakej penyulitan pangkalan 1C data. Dan ini adalah satu perkara yang serius.

NO_MORE_RANSOM: bagaimana untuk mentafsirkan dokumen?

Tetapi masih berbaloi untuk beralih kepada persoalan utama. Pasti semua orang yang berminat dalam bagaimana untuk menyahsulit fail. NO_MORE_RANSOM virus mempunyai urutan tindakan. Jika pengguna cuba untuk melakukan penyahsulitan selepas jangkitan, menjadikan ia sesuatu yang lain yang mungkin. Jika ancaman yang teguh menetap di sistem, malangnya, tanpa bantuan profesional tidak boleh buat. Tetapi mereka sering tidak berkuasa.

Jika ancaman telah dikesan tepat pada masanya, cara hanya satu - digunapakai untuk sokongan syarikat-syarikat antivirus (tetapi tidak semua dokumen telah disulitkan) untuk menghantar pasangan yang tidak dapat dicapai untuk membuka fail dan atas dasar analisis asal, disimpan dalam media boleh alih, cuba untuk mengembalikan dokumen sudah dijangkiti sebelum ini penyalinan pada pemacu denyar USB yang sama apa-apa sahaja boleh didapati untuk membuka (walaupun jaminan penuh bahawa virus itu tidak merebak ke dokumen-dokumen tersebut tidak sama). Selepas itu, untuk kesetiaan carrier ia adalah perlu untuk memeriksa sekurang-kurangnya pengimbas virus (yang mengetahui apa).

algoritma

Kita juga perlu menyebut fakta bahawa untuk menyulitkan virus yang menggunakan algoritma RSA-3072, yang, berbeza dengan teknologi RSA-2048 yang digunakan sebelum ini begitu kompleks, bahawa pemilihan kata laluan yang betul, walaupun menganggap bahawa ini akan berurusan dengan keseluruhan kontinjen makmal anti-virus , ia boleh mengambil bulan atau tahun. Oleh itu, persoalan bagaimana untuk mentafsirkan NO_MORE_RANSOM, memerlukan agak memakan masa. Tetapi bagaimana jika anda perlu untuk memulihkan maklumat serta-merta? Pertama sekali - untuk memadam virus itu sendiri.

Adakah mungkin untuk menghapuskan virus dan bagaimana untuk melakukannya?

Sebenarnya, ia tidak sukar untuk dilakukan. Berdasarkan keangkuhan pencipta virus, ancaman sistem komputer tidak bertopeng. Sebaliknya - ia lebih menguntungkan "samoudalitsya" selepas berakhirnya tindakan yang dinyatakan di atas.

Walau bagaimanapun, pada mulanya, berikutan membawa virus itu, ia masih perlu disingkirkan. Langkah pertama adalah dengan menggunakan utiliti perlindungan mudah alih seperti KVRT, Malwarebytes, Dr. Web CureIt! dan sebagainya. Nota: digunakan untuk menguji program berkenaan hendaklah terdiri daripada jenis mudah alih adalah wajib (tanpa memasang apa-apa pada cakera keras dengan berjalan secara optimal dari media boleh alih). Jika ancaman dikesan, ia perlu dikeluarkan dengan segera.

Jika tindakan itu tidak diberikan, anda mesti pergi ke "Task Manager" dan menyelesaikan semua proses yang berkaitan dengan virus ini, disusun mengikut nama perkhidmatan (biasanya, proses Runtime Broker).

Selepas mengeluarkan masalah ini, kita mesti memanggil Registry Editor (regedit dalam menu "Run") dan mencari tajuk «Server Pelanggan Runtime System» (tanpa tanda petikan), dan kemudian menggunakan menu langkah pada keputusan "Cari Seterusnya ..." untuk membuang semua barang-barang yang ditemui. Seterusnya anda perlu untuk memulakan semula komputer, dan untuk mempercayai dalam "Task Manager" untuk melihat jika terdapat proses yang diperlukan.

Pada dasarnya, persoalan bagaimana untuk mentafsirkan NO_MORE_RANSOM virus masih di peringkat jangkitan, dan boleh diselesaikan dengan kaedah ini. Kebarangkalian peneutralan, sudah tentu, adalah kecil, tetapi ada peluang.

Bagaimana untuk menyahsulit fail NO_MORE_RANSOM disulitkan: sandaran

Tetapi ada kaedah lain, yang tidak ramai yang tahu atau rasa. Hakikat bahawa sistem operasi yang sentiasa mencipta sandaran bayang-bayang sendiri (sebagai contoh, dalam kes pemulihan), atau dengan sengaja mewujudkan imej tersebut. Sebagai amalan menunjukkan, virus ini tidak memberi kesan kepada mereka salinan (dalam struktur, ia adalah semata-mata tidak diberikan, walaupun ia mungkin).

Oleh itu, masalah bagaimana untuk mentafsirkan NO_MORE_RANSOM, bisul ke untuk menggunakan simbol itu. Walau bagaimanapun, untuk menggunakan Windows alat standard tidak digalakkan untuk ini (dan ramai pengguna kepada salinan tersembunyi tidak akan mempunyai akses langsung). Oleh itu, anda perlu menggunakan ShadowExplorer utiliti (ia adalah mudah alih).

Untuk memulihkan, hanya menjalankan laku fail program, menyusun maklumat dengan tarikh atau tajuk, pilih salinan yang dikehendaki (fail, folder, atau keseluruhan sistem) dan melalui menu PCM untuk menggunakan talian eksport. Lanjut direktori hanya dipilih di mana salinan semasa akan disimpan dan kemudian menggunakan proses pemulihan standard.

Alat pihak ketiga

Sudah tentu, masalah bagaimana untuk mentafsirkan NO_MORE_RANSOM, banyak makmal menawarkan penyelesaian mereka sendiri. Sebagai contoh, "Kaspersky Lab" mengesyorkan penggunaan produk perisian sendiri Kaspersky Decryptor, dibentangkan di dalam dua versi - Rakhini dan Rektor.

rupa yang tidak kurang menarik dan pembangunan yang sama seperti NO_MORE_RANSOM decoder oleh Dr. Web. Tetapi di sini ia adalah perlu segera untuk mengambil kira bahawa penggunaan program itu dibenarkan hanya dalam kes pengesanan ancaman pesat, manakala tidak semua fail yang telah dijangkiti. Jika virus ini berakar umbi dalam sistem (apabila disulitkan fail tidak boleh dibandingkan dengan dokumen asal bukan disulitkan mereka), dan permohonan itu boleh menjadi sia-sia.

Akibatnya

Malah, kesimpulannya adalah hanya satu: untuk melawan virus mestilah semata-mata kepada peringkat jangkitan, apabila hanya ada penyulitan pertama fail. Secara umum, ia adalah yang terbaik untuk tidak membuka lampiran dalam mesej e-mel yang diterima daripada sumber yang meragukan (ini merujuk secara eksklusif kepada pelanggan, dipasang terus pada komputer anda - Outlook, Oulook Express, dan lain-lain). Di samping itu, jika pekerja mempunyai sekurang-pelupusan senarai pelanggan dan rakan-rakan untuk menangani pembukaan "Kiri" mesej ianya agak tidak sesuai, kerana kebanyakan dalam pengambilan perjanjian rahsia tanda rahsia perdagangan, dan keselamatan siber.