Na konci roka 2016 bol svet napadnutý veľmi netriviálnym vírusom Trojan, šifrovanými vlastnými dokumentmi a multimediálnym obsahom s názvom NO_MORE_RANSOM. Ako dešifrovať súbory po vplyve tejto hrozby, a bude ďalej zvažované. Avšak je nevyhnutné varovať všetkých zaútočených používateľov, že neexistuje žiadna technika. Je to spôsobené použitím jedného z najpokročilejších šifrovacích algoritmov a stupňom penetrácie vírusu do počítačového systému alebo dokonca do lokálnej siete (hoci pôvodne nie je vypočítaný na sieťový efekt).

Čo je vírus NO_MORE_RANSOM a ako to funguje?

Všeobecne platí, že samotný vírus je klasifikovaný ako trojan typu I Love You, ktorý preniká do počítačového systému a šifruje používateľské súbory (zvyčajne multimédiá). Je pravda, že ak sa predkovia líšili len v šifrovaní, potom tento vírus vypožičal veľa z kedy raz silnej hrozby s názvom DA_VINCI_COD, kombinujúci funkcie extra. Po infikovaní väčšiny zvukových, obrazových, grafických alebo kancelárskych súborov je priradený dlhý názov s rozšírením NO_MORE_RANSOM obsahujúcim zložité heslo. Pri pokuse o otvorenie sa na obrazovke objaví správa, že súbory sú šifrované a kreatívy sú povinné zaplatiť určitú sumu za dešifrovanie.

Ako sa do systému dostala hrozba?

Odložme otázku, ako po vplyve NO_MORE_RANSOM dešifrovať súbory niektorého z vyššie uvedených typov a obrátiť sa na technológiupenetrácia vírusu do počítačového systému. Bohužiaľ, bez ohľadu na to, ako to znie gýčovito, ale používa starý osvedčený spôsob, podľa e-mailu prišiel list s otvorom pripevnenia, ktorý prijíma prevádzku užívateľské meno a škodlivého kódu.


Originálnosť, ako vidíme, sa táto technika nelíši. Avšak správa môže byť maskovaná pre bezvýznamný text. Alebo naopak, napríklad pokiaľ ide o veľké spoločnosti - podľa podmienok zmluvy. Je zrejmé, že priemerný úradník otvorí prílohu a potom prijíma a katastrofálne výsledky. Jeden z najjasnejších svetlice sa stala populárnou databázy šifrovanie balíček 1C. A to je vážna záležitosť.

NO_MORE_RANSOM: ako dešifrovať dokumenty?

Napriek tomu stojí za to obrátiť sa na hlavnú otázku. Pravdepodobne každý má záujem o dešifrovanie súborov. Vírus NO_MORE_RANSOM má vlastnú sekvenciu akcií. Pokiaľ sa používateľ pokúša dešifrovať ihneď po infekcii, môže to byť ešte vykonané. Ak je hrozba vysporiadaná v systéme pevne, bohužiaľ bez pomoci špecialistu tu nemôže urobiť. Ale aj oni sú najčastejšie bezmocní. Ak bola hrozba objavený v dobe, ako len jeden - kontaktné podpora antivírusovej spoločnosti (ešte nie všetky dokumenty sú zašifrované), poslať pár nedostupné pre súbor a analýzou originálov uložených na výmenných médiách, sa snaží obnoviť už infikované dokumenty kopírovanie na rovnakú jednotku flash všetko, čo je k dispozícii na otvorenie (aj keď je plnézáruka, že vírus neprenikla takými dokumentmi, tiež nie je). Po tom vernosť dopravca musí aspoň skontrolovať vírusov (malý).

algoritmus

tiež potrebné povedať, že šifrovanie vírus používa algoritmus RSA-3072, ktorý, na rozdiel od predtým použitej technológie RSA-2048 je tak komplexný, že výber správneho hesla, a to aj v prípade, že to bude riešiť celý kontingent antivírusových laboratórií môže trvať mesiace a roky. To znamená, že otázka, ako dešifrovať NO_MORE_RANSOM, vyžaduje pomerne časovo náročné. Ale čo mám robiť, ak potrebujem ihneď obnoviť informácie? Najprv odstráňte samotný vírus.

Môžete odstrániť vírus a ako to urobiť?

V skutočnosti je to jednoduché. Súdiac podľa arogancia tvorcov vírusov ohrozenia počítačového systému nie je maskovaný. Naopak - dokonca ziskové "sebaobrany" po ukončení akcie. Na začiatku by však mal byť napriek tomu neutralizovaný. Prvá vec je používať prenosné bezpečnostné nástroje ako KVRT, Kaspersky, Dr. Web CureIt! a ako im. Poznámka: Aplikácia na kontrolu programu by mala byť podľa potreby prenosná (bez inštalácie na pevný disk s uvedením do prevádzky v optimálnej verzii vymeniteľného média). Ak je hrozba zistená, mala by byť okamžite odstránená. Ak sa tieto akcie nepočítajú, musíte sa najprv prihlásiť do Správcu úloh a dokončiť všetky procesy spojené s týmto vírusom, a to triedením služby podľa mena(spravidla je to proces Runtime Broker). Po odstránení tohto problému by malo dôjsť Editor databázy Registry (regedit z "Run") a nastavte hľadanie názvu «Client Server Runtime System» (bez úvodzoviek) a potom pomocou navigačné menu s výsledkami "Find Next", aby sa odstránili všetky nájdené položky , Ďalej je potrebné reštartovať počítač a verí v "Správcu úloh", neexistuje žiadny požadovaný proces.
V zásade je otázka, ako dešifrovať vírus NO_MORE_RANSOM vo fáze infekcie môže byť vyriešený týmto spôsobom. Pravdepodobnosť neutralizácie je samozrejme malá, ale existuje šanca.

Ako dešifrovať súbory zašifrované NO_MORE_RANSOM: záložný

Ale je tu iný spôsob, ktorý len málo ľudí vie, alebo dokonca odhadnúť. Skutočnosť, že operačný systém vždy vytvára svoj vlastný tieň zálohu (napríklad v prípade obnovy) alebo užívateľ zámerne vytvoriť také obrazy. V praxi je na taký vírus neovplyvňuje (v jeho štruktúre je jednoducho nie je k dispozícii, aj keď je to možné). Takže problém, ako dekódovať NO_MORE_RANSOM, je presne použiť. Neodporúča sa však používať štandardné kancelárske zariadenia pre systém Windows (a mnohí používatelia vôbec nemajú prístup k skrytým kópiám). Preto musíte použiť nástroj ShadowExplorer (je prenosný). Pre obnovenie stačí spustiť spustiteľný súbor, zoradiť informácie podľa dátumu alebo kapitol, vyberte požadovaný súbor (súbor, priečinok alebo celý systém) a ponuku PKMpoužite exportný reťazec. Potom jednoducho vyberte adresár, na ktorom bude uložená aktuálna kópia, a potom použite štandardný proces obnovy.

Nástroje tretích strán

Samozrejme, mnohé z laboratórií ponúkajú svoje vlastné riešenia problému dešifrovania NO_MORE_RANSOM. Napríklad spoločnosť Kaspersky Lab odporúča používať vlastný softvér Kaspersky Anti-Virus, ktorý je uvedený v dvoch úpravách - Rakhini a Rector. Nemenej zaujímavý vzhľad a podobný vývoj ako dekodér NO_MORE_RANSOM od Dr. Web. Tu však stojí za zmienku, že používanie takýchto programov je odôvodnené len v prípade rýchleho odhalenia hrozby, kým nie sú infikované všetky súbory. Ak je vírus v systéme tesný (keď sú šifrované súbory jednoducho nemožné porovnávať s nezašifrovanými originálmi) a takéto aplikácie môžu byť márne.

V dôsledku toho

záver skutočne naznačuje len jeden: boj proti tomuto vírusu musí byť výlučne v štádiu infekcie pri šifrovaní iba prvých súborov. Vo všeobecnosti sa odporúča, aby ste neotvárali prílohy e-mailov z pochybných zdrojov (to platí len pre klientov nainštalovaných priamo v počítači - Microsoft Outlook, Oulook Express atď.). Okrem toho, ak zamestnanec spoločnosti má zoznam adries klientov a partnerov, otváranie "ľavých" správ sa stáva absolútne nevhodné, pretože väčšina pri nábore podpísala zmluvu o nezverejnení obchodných tajomstiev a kybernetickej bezpečnosti.