NO_MORE_RANSOM - hogyan kell visszafejteni a titkosított fájlokat?

2016 végén a világ megtámadtaegy nem triviális trójai vírus, amely titkosítja a NO_MORE_RANSOM nevű felhasználói dokumentumokat és multimédiás tartalmakat. A fájlok dekódolása a fenyegetés hatása után tovább fogják vizsgálni. Azonnal érdemes figyelmeztetni minden olyan felhasználót, akit megtámadtak, hogy nincs egységes módszertana. Ennek oka az egyik legfejlettebb titkosítási algoritmus, valamint a vírus behatolása a számítógépes rendszerbe vagy akár a helyi hálózathoz (bár eredetileg nem volt hálózati hatás).

Milyen típusú vírus NO_MORE_RANSOM és hogyan működik?

Általában a vírus osztályba sorolhatóTrójaiak, mint a Szeretlek, amelyek behatolnak a számítógépes rendszerbe és titkosítják a felhasználó fájljait (általában multimédiát). Ha azonban a progenitor csak a titkosítást illetően különbözött, akkor ez a vírus sokat vett egy DA_VINCI_COD nevű, egyszer szenzációs fenyegetésből, amely magában a kivizsgáló funkcióit egyesíti.

A fertőzés után a legtöbb audio-, video-, grafikus vagy irodai dokumentum hosszú nevét a komplex jelszóval rendelkező NO_MORE_RANSOM kiterjesztéssel rendelik.

a fájlok dekódolása többé nem vált ki váltságdíjat

Amikor megpróbálja megnyitni őket, egy üzenet jelenik meg a képernyőn, jelezve, hogy a fájlok titkosítva vannak, és valamilyen összeget kell fizetnie a visszafejtésre.

Hogyan terjed a veszély a rendszerre?

Hagyjuk el a kérdést, hogyan, miutánhatása NO_MORE_RANSOM dekódolja a fenti típusú fájlokat, és forduljon a vírus behatolásának technológiájához a számítógépes rendszerbe. Sajnálatos módon, bármennyire hangos is lehet, egy régi, bevált módszert használnak: egy e-mail cím kap egy levél egy mellékletgel, amely megnyitáskor a felhasználó rosszindulatú kódot kap.

Eredetiség, ahogy látjuk, ez a technika nemmás. Az üzenet azonban értelmetlen szövegként álcázható. Vagy ellenkezőleg, például ha nagyvállalatokról van szó, - bármely szerződés feltételeinek megváltozása esetén. Nyilvánvaló, hogy a hétköznapi alkalmazott megnyitja a csatolást, majd egy sajnálatos eredményt kap. Az egyik legfényesebb kitörés a népszerű 1C csomag adatbázisainak titkosítása volt. És ez komoly üzlet.

NO_MORE_RANSOM: hogyan kell a dokumentumokat dekódolni?

De mindazonáltal a fő kérdésre kell foglalkozni. Biztosan mindenki érdekli a fájlok dekódolásának módja. A NO_MORE_RANSOM vírusnak saját cselekvési sorrendje van. Ha a felhasználó megpróbálja a fertőzés után azonnal dekódolni, ez még mindig megvalósítható. Ha a fenyegetés szilárdan a rendszernél rendeződik, sajnos, a szakemberek nélkül nélkülözhetetlen. De gyakran tehetetlenek.

Ha a fenyegetést időben észlelték, az utatCsak egy - alkalmazni antivírus cégek támogatása (még nem minden dokumentum titkosítva), hogy küldjön egy pár megközelíthetetlen fájlok megnyitását és az alapján az eredeti elemzés, cserélhető adathordozókon tárolt, próbálja meg visszaállítani a már fertőzött dokumentumok mentése után ugyanazon az USB flash meghajtó minden mi mást áll rendelkezésre, hogy nyissa ki (bár a teljes garancia arra, hogy a vírus nem terjedt át ilyen dokumentumokat is nem). Ezt követően, a fuvarozó hűség szükséges ellenőrizni legalább egy víruskeresőt (ki tudja mit).

algoritmus

Külön kell mondani, és hogy a vírustitkosítás RSA-3072 algoritmus, ami, ellentétben a korábban használt RSA-2048 technológia annyira összetett, hogy a választás a helyes jelszót, még ha feltételezzük is, hogy ez fog foglalkozni a teljes függő anti-vírus laboratórium vehet hónapokig vagy évekig. Így a kérdés, hogyan lehet megfejteni NO_MORE_RANSOM igényelnek meglehetősen időigényes. De mi van, ha vissza kell állítani információt haladéktalanul? Először is -, hogy törölje magát a vírust.

Törölhetek egy vírust és hogyan?

Valójában nem nehéz ezt megtenni. A vírus alkotóinak durvasága alapján a számítógépes rendszer fenyegetése nem maszkolódik. Éppen ellenkezőleg, még előnyösebb is, ha a cselekvések befejezése után "kiszáll".

többé nem szabad megváltani a vírust, hogyan kell megfejteni

Mindazonáltal először a vírussal kapcsolatosan,Ennek ellenére semlegesíteni kell. Először is hordozható védelmi segédeszközöket kell használni, mint a KVRT, a Malwarebytes, a Dr.Sc. Web CureIt! és hasonlók. Felhívjuk figyelmét, hogy az ellenőrzéshez használt programoknak hordozhatónak kell lenniük (a merevlemezre való telepítés nélkül, az optimális indítással a cserélhető adathordozón). Ha fenyegetést észlel, azonnal el kell távolítani.

nincs több váltságdíj a dokumentumok dekódolásához

Ha ilyen cselekvéseket nem biztosítanak,először menjen a "Feladatkezelő" -be, és töltse ki a vírushoz kapcsolódó összes folyamatot, rendezze a szolgáltatásokat név szerint (ez rendszerint a Runtime Broker eljárás).

többé nem szabad megváltani egy vírust, hogyan kell a fájlokat dekódolni

A feladat eltávolítása után meg kell hívnia a szerkesztőt(regedit a "Run" menüben), és a keresést a "Client Server Runtime System" néven adja meg (idézőjelek nélkül), majd a "További keresés ..." találatok alapján használja a navigációs menüt, törölje az összes talált elemet. Ezután újra kell indítani a számítógépet, és el kell hinnünk a "Feladatkezelő" -ban, legyen szó keresési folyamatról.

Elvileg ez a módszer megoldja a NO_MORE_RANSOM vírus megfejtését a fertőzés szakaszában. A semlegesítés valószínűsége természetesen nem nagyszerű, de van esély.

A titkosított fájlok dekódolása NO_MORE_RANSOM: biztonsági másolatok

De van még egy technika, amelyből kevesen vannaktudja, sőt kitalál. Az a tény, hogy maga az operációs rendszer létrehozza saját árnyék-mentéseit (például helyreállítás esetén), vagy a felhasználó szándékosan készít ilyen képeket. Mint a gyakorlat azt mutatja, a vírus nem befolyásolja az ilyen példányokat (a szerkezetében egyszerűen nincs megadva, bár nem kizárt).

Így a probléma, hogyan lehet megfejteniNO_MORE_RANSOM, jön le, hogy használja őket. Azonban nem ajánlott szabványos Windows-eszközöket használni ehhez (és sok felhasználónak egyáltalán nem férnek hozzá rejtett másolatokhoz). Ezért a ShadowExplorer segédprogramot (hordozható) kell használni.

hogyan kell visszafejteni a titkosított fájlokat?

A visszaállításhoz csak futtatni kellfuttatható programfájl, rendezheti az adatokat dátum vagy szakasz szerint, válassza ki a kívánt másolatot (fájl, mappa vagy teljes rendszer), és használja a kiviteli sort a PCM menüből. Ezután egyszerűen válassza ki azt a könyvtárat, amelyben az aktuális másolat mentésre kerül, majd használja a szokásos helyreállítási folyamatot.

Harmadik féltől származó segédprogramok

Természetesen az a probléma, hogy hogyan lehet megfejteniNO_MORE_RANSOM, sok laboratórium saját megoldást kínál. Például a Kaspersky Lab a saját Kaspersky Decryptor szoftvertermék használatát javasolja, két változatban - Rakhini és Rector.

Hasonlóan érdekesek is hasonlóaka NO_MORE_RANSOM dekódoló fejlesztése Dr. Web. De itt azonnal meg kell fontolni, hogy az ilyen programok használata csak a veszély gyors felismerése esetén indokolt, amennyiben az összes fájlt nem fertőzték meg. Ha a vírus határozottan létre van hozva a rendszerben (amikor a titkosított fájlokat nem lehet összehasonlítani a titkosítatlan eredetikével), és az ilyen alkalmazások használhatatlanok lehetnek.

Ennek eredményeként

Valójában csak egy következtetés van: A vírus elleni küzdelem csak a fertőzés szakaszában szükséges, amikor csak az első fájlokat titkosítják. Általában az a legjobb, hogy ne nyissa mellékletek e-mail üzeneteket kapott kétes forrásokból (ez vonatkozik a kizárólag az ügyfelek, telepíteni közvetlenül a számítógépre - Outlook, Oulook Express, stb.) Ezen felül, ha a munkavállaló rendelkezésére áll egy listát a vásárlók és a partnerek kezelése megnyitása a „bal” üzenet elég megfelelő, mivel a legtöbb felvételével jele titoktartási megállapodásokat az üzleti titkok és számítógépes biztonság.

</ p>

Értékelés: