NO_MORE_RANSOM - πώς να αποκρυπτογραφήσει τα κρυπτογραφημένα αρχεία;

Στο τέλος του 2016, ο κόσμος δέχθηκε επίθεση από ένα πολύ ασήμαντο, trojan ιό κρυπτογραφεί τα έγγραφα και το περιεχόμενο των πολυμέσων, που ονομάστηκε NO_MORE_RANSOM. Πώς να αποκρυπτογραφήσει τα αρχεία μετά από έκθεση σε αυτήν την απειλή, και θα συζητηθεί περαιτέρω. Ωστόσο, τη στιγμή που είναι απαραίτητο να προειδοποιήσει όλους τους χρήστες που έχουν υποστεί επίθεση, ότι δεν υπάρχει ενιαία μεθοδολογία. Αυτό συνδέεται με έναν από τους πιο προηγμένους αλγόριθμους κρυπτογράφησης, και με το βαθμό της διείσδυσης του ιού στο σύστημα του υπολογιστή, ή ακόμα και ένα τοπικό δίκτυο (αν και αρχικά αποτελέσματα δικτύου και δεν υπολογίζεται).

Τι ένας ιός NO_MORE_RANSOM και πώς λειτουργεί;

Σε γενικές γραμμές, ο ίδιος ο ιός στην κατηγορία των Τρώων, όπως Σε αγαπώ, που διεισδύουν στο σύστημα ηλεκτρονικών υπολογιστών και για την κρυπτογράφηση των αρχείων του χρήστη (συνήθως πολυμέσων). Ωστόσο, εάν ένας παππούς και γιαγιά διέφεραν μόνο κρυπτογράφηση, αυτός ο ιός είναι πάρα πολύ δανειστεί από την άλλη μια συγκλονιστική απειλή που ονομάζεται DA_VINCI_COD, συνδυάζοντας στο ίδιο λειτουργεί και εκβιαστής.

Μετά τη μόλυνση, το μεγαλύτερο μέρος των αρχείων ήχου, βίντεο, γραφικά και έγγραφα γραφείου έχει έναν πολύ μεγάλο όνομα με NO_MORE_RANSOM επέκταση, που περιέχει ένα σύνθετο κωδικό πρόσβασης.

Όταν εμφανιστεί άνοιξε το μήνυμα ότι τα αρχεία είναι κρυπτογραφημένα και αποκρυπτογράφησης για το προϊόν θα πρέπει να πληρώσει κάποιο ποσό.

Ως απειλή να διεισδύσουν στο σύστημα;

Ας αφήσουμε μόνο του το ζήτημα του πώς, μετά την NO_MORE_RANSOM επιπτώσεις αποκρυπτογράφηση αρχείων οποιουδήποτε από τους παραπάνω τύπους, και να στραφούμε προς την τεχνολογία για τη διείσδυση του ιού στο σύστημα του υπολογιστή. Δυστυχώς, όπως τετριμμένη κι αν ακούγεται, χρησιμοποιεί απαρχαιωμένο τρόπο: μέσω e-mail έρχεται με ένα συνημμένο ανοίγει, ο χρήστης λαμβάνει την ενεργοποίηση και κακόβουλο κώδικα.

Πρωτοτυπία, όπως μπορούμε να δούμε, αυτή η τεχνική δεν είναι διαφορετική. Ωστόσο, το μήνυμα μπορεί να μεταμφιέζεται ως ένα νόημα τίποτα κείμενο. Ή, αντίθετα, για παράδειγμα, στην περίπτωση των μεγαλύτερων επιχειρήσεων, - μεταβολή των όρων της σύμβασης. Είναι κατανοητό ότι ένα συνηθισμένο υπάλληλος ανοίγει το συνημμένο, και στη συνέχεια και παίρνει φτωχά αποτελέσματα. Ένα από τα φωτεινότερα φωτοβολίδες έγινε δημοφιλής βάσεις πακέτο κρυπτογράφησης 1C δεδομένων. Και αυτό είναι ένα σοβαρό θέμα.

NO_MORE_RANSOM: πώς να αποκρυπτογραφήσει τα έγγραφα;

Αλλά ακόμα αξίζει τον κόπο να γυρίσει στο κύριο ερώτημα. Σίγουρα ο καθένας ενδιαφέρεται για το πώς να αποκρυπτογραφήσει τα αρχεία. ιός NO_MORE_RANSOM έχει μια σειρά ενεργειών. Αν ο χρήστης προσπαθήσει να εκτελέσει την αποκρυπτογράφηση αμέσως μετά τη μόλυνση, κάνουν κάτι άλλο γίνεται. Εάν η απειλή είναι σταθερά εγκαταστάθηκαν στο σύστημα, δυστυχώς, χωρίς τη βοήθεια των επαγγελματιών δεν μπορεί να κάνει. Αλλά είναι συχνά ανίσχυροι.

Εάν η απειλή έχει ανιχνευθεί εγκαίρως, ο τρόπος που μόνο ένα - ισχύει για τη στήριξη εταιρείες προστασίας από ιούς (ακόμα δεν έχουν όλα τα έγγραφα που έχουν κρυπτογραφηθεί) για να στείλετε ένα ζευγάρι απρόσιτες για το άνοιγμα των αρχείων και με βάση την αρχική ανάλυση, είναι αποθηκευμένα σε αφαιρούμενο μέσο, να προσπαθήσει να αποκαταστήσει ήδη μολυνθεί έγγραφα στο παρελθόν αντιγραφή στην ίδια μονάδα flash USB ό, τι άλλο είναι διαθέσιμο για να ανοίξει (αν και μια πλήρης εγγύηση ότι ο ιός δεν έχει εξαπλωθεί στα εν λόγω έγγραφα δεν είναι το ίδιο). Μετά από αυτό, για την πίστη φορέα, είναι απαραίτητο να ελέγχεται τουλάχιστον μία ανίχνευσης ιών (ποιος ξέρει τι).

αλγόριθμος

Θα πρέπει επίσης να αναφέρουμε το γεγονός ότι για να κρυπτογραφήσετε τον ιό χρησιμοποιεί RSA-3072 αλγόριθμο, ο οποίος, σε αντίθεση με την προηγουμένως χρησιμοποιηθεί η τεχνολογία RSA-2048 είναι τόσο πολύπλοκη, ώστε η επιλογή του σωστού κωδικού πρόσβασης, ακόμη και αν υποτεθεί ότι αυτή θα ασχοληθεί με ολόκληρο το σώμα των εργαστηρίων anti-virus , μπορεί να χρειαστούν μήνες ή και χρόνια. Έτσι, το ζήτημα του πώς να αποκρυπτογραφήσει NO_MORE_RANSOM, απαιτούν αρκετά χρονοβόρα. Τι γίνεται όμως αν θέλετε να επαναφέρετε τις πληροφορίες αμέσως; Πρώτα απ 'όλα - για να διαγράψετε τον ίδιο τον ιό.

Είναι δυνατόν να αφαιρέσετε τον ιό και πώς να το κάνουμε;

Στην πραγματικότητα, δεν είναι δύσκολο να γίνει. Κρίνοντας από την αλαζονεία των δημιουργών του ιού, η απειλή του συστήματος του υπολογιστή δεν είναι καλυμμένη. Αντίθετα - ακόμα κερδοφόρα «samoudalitsya» μετά το πέρας των ανωτέρω δράσεων.

Παρ 'όλα αυτά, σε πρώτη φάση, ακολουθώντας το παράδειγμα του ιού, εξακολουθεί να πρέπει να εξουδετερωθεί. Το πρώτο βήμα είναι να χρησιμοποιήσετε ένα φορητό προστατευτικό επιχειρήσεις κοινής ωφέλειας, όπως KVRT, Malwarebytes, Dr. Web CureIt! και τα παρόμοια. Σημείωση: χρησιμοποιείται για τη δοκιμή του προγράμματος θα πρέπει να είναι ενός φορητού τύπου είναι υποχρεωτική (χωρίς να εγκαταστήσετε τίποτα στον σκληρό δίσκο με τρεχούμενο άριστα από το αφαιρούμενο μέσο). Εάν εντοπιστεί μια απειλή, θα πρέπει να αφαιρούνται αμέσως.

Αν μια τέτοια ενέργεια δεν προβλέπεται, θα πρέπει πρώτα να πάτε στο «Διαχείριση Εργασιών» και να τελειώσει αυτό όλες τις διαδικασίες που σχετίζονται με τον ιό, ταξινομημένα με βάση το όνομα υπηρεσίας (τυπικά, η διαδικασία Runtime Broker).

Μετά την απομάκρυνση του προβλήματος, θα πρέπει να καλέσετε τον Επεξεργαστή μητρώου (regedit στο μενού «Run») και αναζητήστε τον τίτλο «Client Server Runtime System» (χωρίς τα εισαγωγικά), και στη συνέχεια, χρησιμοποιώντας το μενού κίνηση για τα αποτελέσματα των «Εύρεση επόμενου ...» για να αφαιρέσετε όλα τα αντικείμενα που βρίσκεις. Στη συνέχεια θα πρέπει να επανεκκινήσετε τον υπολογιστή και να πιστεύουν στο «Διαχείριση Εργασιών» για να δούμε αν υπάρχει η απαιτούμενη διαδικασία.

Κατ 'αρχήν, το ζήτημα του πώς να αποκρυπτογραφήσουν τον ιό NO_MORE_RANSOM είναι ακόμα σε στάδιο της λοίμωξης, και μπορεί να λυθεί με αυτή τη μέθοδο. Η πιθανότητα της εξουδετέρωσης, βέβαια, είναι μικρό, αλλά υπάρχει μια πιθανότητα.

Πώς να αποκρυπτογραφήσετε αρχεία που έχουν κρυπτογραφηθεί NO_MORE_RANSOM: αντίγραφα ασφαλείας

Αλλά υπάρχει και μια άλλη μέθοδος, που γνωρίζουν λίγοι άνθρωποι ή ακόμα και εικασία. Το γεγονός ότι το λειτουργικό σύστημα δημιουργεί συνεχώς τη σκιά αντίγραφα ασφαλείας του (για παράδειγμα, στην περίπτωση της ανάκτησης), είτε με τη δημιουργία σκόπιμα τέτοιες εικόνες. Όπως δείχνει η πρακτική, αυτός ο ιός δεν επηρεάζει αυτά τα αντίγραφα (στη δομή του, είναι απλά δεν παρέχεται, αν είναι δυνατόν).

Έτσι, το πρόβλημα του πώς να αποκρυπτογραφήσει NO_MORE_RANSOM, βράζει κάτω για να χρησιμοποιήσετε αυτό το σύμβολο. Ωστόσο, για να χρησιμοποιήσετε το Windows τυπικά εργαλεία δεν συνιστώνται για το σκοπό αυτό (και πολλοί χρήστες με τα κρυμμένα αντίγραφα δεν θα έχουν πρόσβαση σε όλα). Ως εκ τούτου, θα πρέπει να χρησιμοποιήσετε το βοηθητικό πρόγραμμα ShadowExplorer (είναι φορητό).

Για να επαναφέρετε, απλά εκτελέστε το εκτελέσιμο αρχείο του προγράμματος, να ταξινομήσετε τις πληροφορίες με βάση την ημερομηνία ή τον τίτλο, επιλέξτε το επιθυμητό αντίγραφο (αρχεία, φακέλους, ή ολόκληρο το σύστημα) και μέσω του μενού PCM για να χρησιμοποιήσετε τη γραμμή των εξαγωγών. Περαιτέρω απλά επιλεγμένο κατάλογο στον οποίο θα αποθηκευτεί το τρέχον αντίγραφο και στη συνέχεια χρησιμοποιεί την τυπική διαδικασία ανάκτησης.

εργαλεία τρίτων

Φυσικά, το πρόβλημα του πώς να αποκρυπτογραφήσουν NO_MORE_RANSOM, πολλά εργαστήρια προσφέρουν τις δικές τους λύσεις. Για παράδειγμα, «Kaspersky Lab» συνιστά τη χρήση των δικών της προϊόντων λογισμικού της Kaspersky Decryptor, που παρουσιάζονται σε δύο εκδόσεις - Rakhini και Πρύτανης.

Δεν είναι λιγότερο ενδιαφέρουσα ματιά και μια παρόμοια εξέλιξη, όπως αποκωδικοποιητή NO_MORE_RANSOM από τον Dr. Web. Αλλά εδώ θα πρέπει αμέσως να ληφθεί υπόψη ότι η χρήση τέτοιων προγραμμάτων δικαιολογείται μόνο σε περίπτωση ταχείας ανίχνευσης απειλών, ενώ δεν έχουν όλα τα αρχεία που έχουν μολυνθεί. Αν ο ιός είναι σταθερά εδραιωμένη στο σύστημα (όταν κρυπτογραφημένα αρχεία απλά δεν μπορεί να συγκριθεί με μη κρυπτογραφημένα πρωτότυπα τους), και η εφαρμογή αυτή μπορεί να είναι άχρηστο.

Ως αποτέλεσμα

Στην πραγματικότητα, το συμπέρασμα είναι μόνο μία: την καταπολέμηση του ιού πρέπει να είναι αποκλειστικά και μόνο για το στάδιο της λοίμωξης, όταν υπάρχει μόνο η πρώτη κρυπτογράφηση των αρχείων. Σε γενικές γραμμές, το καλύτερο είναι να μην ανοίγετε συνημμένα σε μηνύματα ηλεκτρονικού ταχυδρομείου που έλαβε από αμφίβολες πηγές (αυτό αφορά αποκλειστικά για τους πελάτες, που έχει εγκατασταθεί απευθείας στον υπολογιστή σας - Outlook, Oulook Express, κ.λπ.). Επιπλέον, αν ο εργαζόμενος έχει στη διάθεσή της τον κατάλογο των πελατών και των συνεργατών για την αντιμετώπιση του ανοίγματος των «Αριστερά» μηνύματα είναι αρκετά ακατάλληλη, καθώς οι περισσότεροι στην πρόσληψη συμφωνίες εμπιστευτικότητας σημάδι των εμπορικών μυστικών και της ασφάλειας στον κυβερνοχώρο.