NO_MORE_RANSOM - како да ја декриптира шифрирана датотека?

На крајот на 2016 година, светот беше нападнат од страна на многу тривијални-тројански вирус енкриптира документи и мултимедијални содржини, наречена NO_MORE_RANSOM. Како да декриптирате датотеки после изложување на оваа закана, и ќе се дискутира понатаму. Сепак, еднаш тоа е потребно да ги предупреди сите корисници кои биле нападнати, дека не постои единствена методологија. Ова е поврзано со една од најпознатите напредни алгоритми за енкрипција, и со степенот на пенетрација на вирусот во компјутерски систем, или дури и на локална мрежа (иако на почетокот на мрежата ефекти и не се пресметува).

Што NO_MORE_RANSOM вирус и како тоа функционира?

Општо земено, на самиот вирус што се класа на тројанци како што Те сакам, кои продираат во компјутерски систем и шифрирањето на податоци на корисникот (обично мултимедија). Меѓутоа, ако баба или дедо се разликува само енкрипција, овој вирус е многу позајмени од еднаш сензационални закана наречена DA_VINCI_COD, комбинирајќи во себе, исто така, функционира extortionist.

По инфекцијата, поголемиот дел од аудио фајлови, видео, графика и канцелариски документи е доделен многу долго име со NO_MORE_RANSOM продолжување, кој содржи комплекс лозинка.

Кога ќе се отвори пораката дека датотеките се шифрирани и декрипција за производот што треба да плаќаат некои износ.

Како закана да навлезат во системот?

Да ги оставиме сами на прашањето за тоа како, по NO_MORE_RANSOM влијанието декриптирање датотеки на било која од горенаведените видови, и да се сврти на технологијата за освојување на вирусот во компјутерски систем. За жал, како старомоден како што звучи, тоа го користи старомоден начин: преку e-mail доаѓа со прилог е отворена, корисникот добива активирање и малициозен код.

Оригиналност, како што можете да видите, оваа техника не се разликува. Сепак, пораката може да бидат маскирани како бесмислен текст ништо. Или, пак, напротив, на пример, во случај на поголеми компании, - промена во условите на договорот. Разбирливо е дека еден обичен службеник отвора приврзаност, а потоа и добива лоши резултати. Една од најпаметните ракети станаа популарни енкрипција пакет бази 1C податоци. И ова е сериозна работа.

NO_MORE_RANSOM: како да се дешифрира документи?

Но сепак вреди да се сврти кон главното прашање. Сигурно сите се заинтересирани за тоа како да ја декриптира датотеки. NO_MORE_RANSOM вирусот има низа на активности. Ако корисникот се обидува да изврши декрипција веднаш по настанувањето на инфекцијата, го прават тоа нешто друго што е можно. Ако закана е цврсто решено во системот, за жал, без помош на професионалци не може да го направи. Но, тие често се немоќни.

Ако закана е откриен во навремено, начинот на кој само еден - се однесува на анти-вирус компании поддршка (но не сите документи се енкриптирани) да испрати еден пар недостапни за отворање на датотеки и врз основа на оригиналната анализа, се чуваат на пренослив медиум, обидете се да се врати веќе заразени документи претходно копирање на истиот USB флеш диск што друго е на располагање за да се отвори (иако целосна гаранција дека вирусот не се шири на таквите документи не е исто). После тоа, за лојалност на превозникот, потребно е да се провери барем еден вирус скенерот (кој знае што).

алгоритам

Ние исто така треба да се спомене и фактот дека за да го криптирате на вирусот користи RSA-3072 алгоритам, кој, за разлика од претходно користени RSA-2048 технологијата е толку сложен, дека изборот на правилната лозинка, дури и под претпоставка дека тоа ќе се справи со целиот контингент на анти-вирус лаборатории , тоа може да трае со месеци или години. Така, прашањето за тоа како да се дешифрира NO_MORE_RANSOM, бараат доста време. Но, што ако ви треба веднаш да се врати на податоци? Прво на сите - за бришење на самиот вирус.

Дали е можно да го отстраните вирусот и како да го направам тоа?

Всушност, тоа не е тешко да се направи. Судејќи според ароганцијата на креаторите на вирусот, со закана од компјутерски систем не се маскирани. Напротив - тоа дури и профитабилен "samoudalitsya" по завршувањето на горенаведените активности.

Сепак, во прво време, по водството на вирусот, се уште мора да се неутрализира. Првиот чекор е да се користи преносен заштитни претпријатија, како KVRT, Malwarebytes, д-р Веб CureIt! и слично. Забелешка: се користи за тестирање на програмата треба да биде пренослив тип е задолжителен (без да инсталирате ништо на хард диск со работи оптимално од пренослив медиум). Ако се открие закана, треба да се отстранат веднаш.

Доколку не се обезбеди таква акција, прво мора да одат на "Task Manager" и го заврши сите процеси поврзани со вирусот, сортирани по име на услуга (обично, процесот траење Брокер).

По отстранување на проблемот, ние мора да се јавите на Registry Editor (regedit во менито "Run") и алатка за пребарување за титулата "Клиент сервер траење систем" (без наводници), а потоа со помош на менито потег на резултатите од "Најди следно ..." да ги отстрани сите пронајдени предмети. Следна треба да го рестартирате компјутерот, и да се верува во "Task Manager" за да се види дали има потребниот процес.

Во принцип, на прашањето за тоа како да се дешифрира NO_MORE_RANSOM вирусот се уште е на сцената на инфекцијата, и може да се реши со овој метод. Веројатноста за неутрализација, се разбира, е мала, но постои шанса.

Како да декриптирате датотеки криптирани NO_MORE_RANSOM: бекап

Но, има уште еден метод, кој малку луѓе знаат, па дури и се погоди. Фактот дека на оперативниот систем постојано создава свој бекап сенка (на пример, во случај на наплата), или намерно создавање на такви слики. Како што покажува практиката, овој вирус не влијае на оние примероци (во неговата структура, тоа е едноставно не се предвидени, иако тоа е можно).

Така, проблемот за тоа како да се дешифрира NO_MORE_RANSOM, се сведува на, со цел да се користи тој знак. Меѓутоа, за да го користите на Windows стандардни алатки не се препорачува за ова (и многу корисници на скриени копии нема да има пристап на сите). Затоа, треба да го користите алатка ShadowExplorer (тоа е пренослив).

За да го направите, едноставно се кандидира на извршна програма датотека, сортирање на информации од страна на датум или наслов, одберете ја посакуваната форма (датотеки, папки, или целиот систем) и преку менито PCM за користење на извозот линија. Понатаму едноставно избрани директориумот во кој тековната копија ќе се чуваат, а потоа користи стандарден обновување на процесот.

трети лица алатки

Се разбира, проблемот за тоа како да се дешифрира NO_MORE_RANSOM, многу лаборатории нудат свои решенија. На пример, "Kaspersky Lab" препорачува употреба на сопствени софтверски производ Kaspersky Decryptor, претставени во две верзии - Rakhini и ректорот.

Не помалку интересен изглед и сличен развој како NO_MORE_RANSOM декодер од д-р Web. Но, тука е неопходно веднаш да се земе во предвид дека употребата на овие програми е оправдано само во случај на брзо откривање закана, а не сите датотеки се инфицирани. Ако вирусот е цврсто вградени во системот (кога криптирани датотеки едноставно не може да се спореди со нивните не-енкриптирани оригинали), и како апликација може да се бескорисни.

Како резултат на

Всушност, може да се заклучи само едно: да се бори против вирусот мора да биде исклучиво на сцената на инфекција, кога таму е само првиот енкрипција на датотеки. Во принцип, тоа е најдобро да се отвори прикачувања во e-mail пораки добиени од сомнителни извори (ова се однесува исклучиво на клиентите, се инсталира директно на вашиот компјутер - Outlook, Oulook Express, итн.) Покрај тоа, ако работникот има на располагање на листата на клиенти и партнери за да се обрати на отворањето на "Лево" пораки, тоа е сосема несоодветни, како и повеќето ангажирање на договори знак необјавување на трговски тајни, и сајбер безбедноста.