NO_MORE_RANSOM - kako dešifrirati šifrirane datoteke?

Krajem 2016. godine svijet je napadnut vrlo netrivialnim trojanskim virusom, šifriranim prilagođenim dokumentima i multimedijskim sadržajima nazvanim NO_MORE_RANSOM. Kako dešifrirati datoteke nakon utjecaja ove prijetnje, i dalje će se razmatrati. Međutim, odmah je potrebno upozoriti sve napadnute korisnike da ne postoji jedinstvena tehnika. Razlog tome je uporaba jednog od najnaprednijih algoritama enkripcije i stupnja prodora virusa u računalni sustav ili čak lokalne mreže (iako se u početku ne računa na mrežni učinak).


Što je virus NO_MORE_RANSOM i kako radi?

Općenito, virus se klasificira kao trojanskog tipa I Love You, koji prodire u računalni sustav i šifrira korisničke datoteke (obično multimedijske). Istina, ako se predak razlikovao samo u šifriranju, onda je taj virus mnogo posudio od nekada glasne prijetnje nazvane DA_VINCI_COD, kombinirajući značajke dodataka.
Nakon zaraze većine audio, video, grafičkih ili uredskih datoteka, dodijeljeno je dugo ime s NO_MORE_RANSOM ekstenzijom koja sadrži složenu lozinku.
Kada ih pokušate otvoriti, na zaslonu se pojavljuje poruka da su datoteke šifrirane, a kreacije moraju platiti određeni iznos za dešifriranje.

Kako prijetnja ulazi u sustav?

Ostavimo po strani pitanje kako, nakon utjecaja NO_MORE_RANSOM-a na dešifriranje datoteka bilo kojeg od gore navedenih tipova, i obratiti se tehnologijiprodiranje virusa u računalni sustav. Nažalost, bez obzira koliko banalno zvučalo, za to se koristi stara dokazana metoda: e-poruka s privitkom dolazi na adresu e-pošte koja otvara korisnika i prima zlonamjerni kod.


Originalnost, kao što vidimo, ova se tehnika ne razlikuje. Međutim, poruka može biti maskirana za besmisleni tekst. Ili, naprotiv, na primjer, kada su u pitanju velike tvrtke - prema uvjetima ugovora. Jasno je da prosječni službenik otvara privitak, a zatim dobiva strašan rezultat. Jedan od najsjajnijih bljeskova bio je enkripcija baza popularnog 1C paketa. A ovo je ozbiljna stvar.

NO_MORE_RANSOM: kako dešifrirati dokumente?

Ipak, vrijedi se okrenuti glavnom pitanju. Vjerojatno je svatko zainteresiran za dešifriranje datoteka. Virus NO_MORE_RANSOM ima vlastiti slijed radnji. Ako korisnik pokuša dešifrirati odmah nakon infekcije, to se ipak može učiniti. Ako je prijetnja riješena u sustavu čvrsto, na žalost, bez pomoći stručnjaka ovdje ne može učiniti. Ali čak i oni su najčešće nemoćni. Ako je prijetnja otkrivena na vrijeme, jedini način je da kontaktirate antivirusnu podršku (još nisu svi dokumenti šifrirani), pošaljite par nepristupačnih datoteka za otvaranje i, na temelju analize izvornika pohranjenih na izmjenjivim medijima, pokušajte oporaviti već zaražene dokumente, unaprijed kopirati na isti flash pogon sve što je dostupno za otvaranje (iako je punojamstvo da virus ne prodire u takve dokumente također nije). Nakon toga, za vjernost, medij mora biti provjeren barem antivirusnim skenerom (nečim).

Algoritam

Također treba napomenuti da virus za enkripciju koristi RSA-3072 algoritam, koji je, za razliku od prethodno primijenjene tehnologije RSA-2048, toliko složen da je odabir željene lozinke, čak i ako da će se time baviti cijeli kontingent antivirusnih laboratorija, može potrajati mjesecima i godinama. Dakle, pitanje kako dešifrirati NO_MORE_RANSOM zahtijeva puno privremenih troškova. Ali što trebam učiniti ako moram odmah vratiti podatke? Prije svega - uklonite sam virus.

Možete li ukloniti virus i kako to učiniti?

Zapravo, lako je to učiniti. Sudeći po drskosti tvoraca virusa, prijetnja u računalnom sustavu nije maskirana. Naprotiv - čak je i profitabilno "samouništenje" nakon završetka akcije.
Međutim, u početku, nakon virusa, ipak bi ga trebalo neutralizirati. Prva stvar je korištenje prijenosnih sigurnosnih alata kao što su KVRT, Kaspersky, Dr. Web CureIt! i sviđa im se. Napomena: Zahtjev za provjeru programa treba biti prenosiv prema potrebi (bez instaliranja na tvrdi disk uz pokretanje u optimalnoj verziji izmjenjivog medija). Ako je prijetnja otkrivena, treba je odmah ukloniti.
Ako te radnje nisu predviđene, najprije se morate prijaviti u Upravitelj zadataka i dovršiti sve procese povezane s virusom, sortiranjem usluge prema imenu(u pravilu, to je proces Runtime Broker).
Nakon uklanjanja zadatka, morate pozvati uređivač registra (regedit iz izbornika Run) i postaviti traženje naziva "Client Server Runtime System" (bez navodnika), a zatim pomoću "Find Next" pomaknite izbornik za brisanje svih pronađenih stavki. , Dalje, morate ponovno pokrenuti računalo i vjerujte u "Task Manager", ne postoji željeni proces.
U načelu, pitanje kako dešifrirati virus NO_MORE_RANSOM u fazi infekcije može se riješiti ovom metodom. Vjerojatnost njezine neutralizacije je, naravno, mala, ali postoji šansa.

Kako dešifrirati datoteke šifrirane NO_MORE_RANSOM: sigurnosne kopije

Ali postoji još jedna metoda koju malo ljudi zna ili čak i pogađa. Činjenica da sam operativni sustav stalno stvara vlastite sigurnosne kopije u sjeni (na primjer, u slučaju oporavka) ili korisnik namjerno stvara takve slike. Kao što praksa pokazuje, ona je na takvim kopijama koje virus ne utječe (u njegovoj strukturi to jednostavno nije osigurano, iako nije isključeno). Dakle, problem kako dekodirati NO_MORE_RANSOM je da ga koristite točno. Međutim, nije preporučljivo koristiti standardnu ​​uredsku opremu za Windows (a mnogi korisnici uopće neće imati pristup skrivenim kopijama). Stoga morate primijeniti uslužni program ShadowExplorer (prenosiv je).
Da biste se oporavili, jednostavno trebate pokrenuti izvršnu datoteku programa, sortirati podatke po datumu ili odjeljku, odabrati željenu kopiju (datoteku, mapu ili cijeli sustav) i kroz PCM izbornik.koristite niz za izvoz. Zatim jednostavno odaberite direktorij u kojem će se pohraniti trenutna kopija, a zatim upotrijebite standardni proces oporavka.

Komunalne usluge treće strane

Naravno, mnogi laboratoriji nude vlastita rješenja problema dešifriranja NO_MORE_RANSOM. Na primjer, Kaspersky Lab preporučuje korištenje vlastitog programa Kaspersky Anti-Virus, koji je prikazan u dvije modifikacije - Rakhini i Rector.
Ne manje zanimljiv izgled i sličan razvoj kao dekoder NO_MORE_RANSOM od Dr. Web. No, ovdje valja odmah napomenuti da je korištenje takvih programa opravdano samo u slučaju brzog otkrivanja prijetnje, sve dok se sve datoteke ne zaraze. Ako je virus zbijeno u sustavu (kada je šifrirane datoteke jednostavno nemoguće usporediti s njihovim nešifriranim izvornicima), i takve aplikacije mogu biti uzaludne.

Kao rezultat toga

Zapravo, zaključak sugerira samo jedan: borba protiv ovog virusa mora biti isključivo u fazi infekcije, kada se šifriraju samo prve datoteke. Općenito, najbolje je ne otvarati privitke e-pošte iz upitnih izvora (to se odnosi samo na klijente instalirane izravno na vaše računalo - Microsoft Outlook, Oulook Express, itd.). Osim toga, ako zaposlenik tvrtke ima popis adresa klijenata i partnera, otvaranje "lijevih" poruka postaje apsolutno neprimjereno, jer većina prilikom zapošljavanja potpisuje ugovor o neotkrivanju poslovnih tajni i cybersecurity.

Povezane publikacije