Pod koniec 2016 roku świat został zaatakowany przez bardzo nietrywialny wirus trojański, niestandardowe dokumenty szyfrujące i zawartość multimedialną o nazwie NO_MORE_RANSOM. Jak odszyfrować pliki po zderzeniu z tym zagrożeniem i będą one rozpatrywane dalej. Jednak natychmiast trzeba ostrzec wszystkich zaatakowanych użytkowników, że nie ma jednej techniki. Wynika to z użycia jednego z najbardziej zaawansowanych algorytmów szyfrowania oraz ze stopniem penetracji wirusa do systemu komputerowego, a nawet do sieci lokalnej (chociaż początkowo nie jest on obliczany na podstawie efektu sieci).

Co to jest wirus NO_MORE_RANSOM i jak działa?

Zasadniczo sam wirus jest klasyfikowany jako trojan typu I Love You, który przenika do systemu komputerowego i szyfruje pliki użytkownika (zwykle multimedia). To prawda, że ​​jeśli przodek różni się tylko szyfrowaniem, to ten wirus pożyczył dużo od niegdyś głośnego zagrożenia o nazwie DA_VINCI_COD, łącząc cechy dodatków. Po zainfekowaniu większości plików audio, wideo, graficznych lub biurowych, przydzielana jest długa nazwa z rozszerzeniem NO_MORE_RANSOM zawierającym złożone hasło. Gdy próbujesz je otworzyć, na ekranie pojawia się komunikat, że pliki są zaszyfrowane, a kreacje są zobowiązane do zapłaty pewnej kwoty za odszyfrowanie.

W jaki sposób zagrożenie wchodzi do systemu?

Pozostawmy na boku pytanie, w jaki sposób, po wpłynięciu NO_MORE_RANSOM na odszyfrowanie plików dowolnego z powyższych typów, i zwrócić się do technologiiprzenikanie wirusa do systemu komputerowego. Niestety, bez względu na to, jak banalnie to brzmi, wykorzystuje starą sprawdzoną drogę: przez e-mail przyszedł do nas z otworem mocującym, który odbiera pracę użytkownika i złośliwy kod.


oryginalne, jak widać, ta technika jest inna. Wiadomość może być jednak zamaskowana na tekst bez znaczenia. Lub odwrotnie, na przykład w przypadku dużych firm - pod zmieniającymi się warunkami umowy. Oczywiste jest, że przeciętny urzędnik otwiera załącznik, a następnie odbiera i katastrofalnymi skutkami. Jednym z najjaśniejszych błysków było szyfrowanie baz danych popularnego pakietu 1C. I to jest poważna sprawa.

NO_MORE_RANSOM: jak odszyfrować dokumenty?

Warto jednak zwrócić się do głównego pytania. Prawdopodobnie każdy jest zainteresowany tym, jak odszyfrować pliki. Wirus NO_MORE_RANSOM ma swoją własną sekwencję działań. Jeśli użytkownik spróbuje odszyfrować natychmiast po infekcji, nadal można to zrobić. Jeśli zagrożenie jest prawidłowo rozliczane w systemie, niestety, bez pomocy specjalisty nie jest konieczne. Ale nawet oni najczęściej są bezsilni. Jeśli zagrożenie zostało odkryte w czasie, tylko jeden sposób - do kontaktu firm wsparcie antywirusowe (jeszcze nie wszystkie dokumenty są szyfrowane), wysłać kilka niedostępne pliku i analizując oryginały przechowywane na nośnikach wymiennych, spróbuj odzyskać już zainfekowane dokumenty przed kopiowaniem na ten sam dysk flash, który jest dostępny do otwarcia (chociaż pełnygwarancja, że ​​wirus nie przeniknął takich dokumentów również nie jest). Po tym wierność nośnik musi przynajmniej sprawdzić skaner antywirusowy (mały).

algorytm

Należy także podkreślić, że szyfrowanie wirus wykorzystuje algorytm RSA 3072, które, w przeciwieństwie do wcześniej stosowanych technologii RSA 2048 jest tak złożony, że wybór właściwej hasła, nawet jeśli że zajmie się całym kontyngentem laboratoriów antywirusowych, może potrwać miesiące i lata. W związku z tym pytanie, jak rozszyfrować NO_MORE_RANSOM, wymaga dość czasochłonne. Ale co powinienem zrobić, jeśli muszę natychmiast przywrócić informacje? Przede wszystkim - usuń samego wirusa.

Czy potrafisz usunąć wirusa i jak to zrobić?

W rzeczywistości łatwo to zrobić. Sądząc przez twórców arogancja groźbą wirusa do systemu komputerowego nie jest maskowany. Wręcz przeciwnie - nawet po zakończeniu akcji dochodzi do "autodestrukcji". Jednak początkowo, w następstwie wirusa, należy go jednak zneutralizować. Pierwszą rzeczą jest korzystanie z przenośnych narzędzi bezpieczeństwa, takich jak KVRT, Kaspersky, Dr. Web CureIt! i lubię je. Uwaga: używany do programów badań powinny być przenośne typu obowiązkowe (bez instalacji na dysku twardym wraz z uruchomieniem najlepiej z nośników wymiennych). Jeśli zostanie wykryte zagrożenie, należy je natychmiast usunąć. Jeśli te kroki nie są przewidziane, należy przejść do „Task Manager” i skończyć wszystkie procesy związane z wirusem posortowane według nazwy usługi(z reguły jest to proces Runtime Broker). Po usunięciu zadania należy wywołać edytor rejestru (regedit z menu Run) i ustawić wyszukiwanie nazwy "System wykonawczy serwera klienta" (bez cudzysłowów), a następnie użyć menu przenoszenia "Znajdź następny", aby usunąć wszystkie znalezione elementy. . Następnie musisz ponownie uruchomić komputer i uwierzyć w "Menedżer zadań", nie ma pożądanego procesu.
Zasadniczo kwestię sposobu odszyfrowania wirusa NO_MORE_RANSOM na etapie infekcji można rozwiązać za pomocą tej metody. Prawdopodobieństwo jego neutralizacji jest oczywiście niewielkie, ale jest szansa.

Jak odszyfrować pliki zaszyfrowane NO_MORE_RANSOM: kopie zapasowe

Ale istnieje inna metoda, którą niewielu ludzi zna, a nawet odgaduje. Fakt, że sam system operacyjny stale tworzy własne kopie zapasowe (na przykład w przypadku odzyskiwania) lub użytkownik celowo tworzy takie obrazy. Jak pokazuje praktyka, to na takich kopiach wirus nie wpływa (w jego strukturze po prostu nie jest dostarczany, chociaż nie jest wykluczony). Tak więc, problem z odszyfrowaniem NO_MORE_RANSOM polega na tym, aby go dokładnie użyć. Jednak nie zaleca się używania standardowego sprzętu biurowego dla systemu Windows (a wielu użytkowników w ogóle nie będzie miało dostępu do ukrytych kopii). Dlatego musisz zastosować program ShadowExplorer (jest przenośny). Aby odzyskać, wystarczy uruchomić plik wykonywalny programu, posortować informacje według daty lub sekcji, wybrać żądaną kopię (plik, folder lub cały system) i przez menu PCM.używać linii eksportowej. Potem wystarczy wybrać katalog, w którym aktualna kopia zostanie zapisany, a następnie użył standardowego procesu odzyskiwania.

Narzędzia innych firm

Oczywiście, problem jak rozszyfrować NO_MORE_RANSOM, wiele laboratoriów oferować swoje własne rozwiązania. Na przykład, „Kaspersky Lab” zaleca używanie własnego oprogramowania Kaspersky deszyfrującego, dostępny w dwóch wersjach - Rakhini i Rektor. Nie mniej ciekawy wygląd i konstrukcja podobna jak dekoder dr NO_MORE_RANSOM Web. Ale to powinno natychmiast uznają, że korzystanie z takich programów jest uzasadnione tylko w przypadku szybkiego wykrywania zagrożeń jeszcze nie wszystkie zostały zainfekowane pliki. Jeśli wirus jest mocno rozliczane w systemie (z zaszyfrowanych plików po prostu nie można porównać z ich pierwotnej postaci niezaszyfrowanej), a taki wniosek może się nie powieść.

W wyniku

W rzeczywistości, wniosek jest tylko jeden: do walki z wirusem musi dopiero na etapie zakażenia, gdy istnieje tylko pierwszy szyfrowania plików. W ogóle, to lepiej nie otwierać załączników e-mail otrzymane od wątpliwych źródeł (dotyczy to instalowany bezpośrednio na komputerze tylko klienta - Microsoft Outlook, Oulook Express, itd.). Ponadto, jeżeli pracownik ma listę adresów klientów i partnerów, otwierając wiadomości „left” jest zupełnie niepraktyczne, ponieważ większość przy zatrudnianiu umowę o poufności podpisanej przez tajemnice handlowe i cyberbezpieczeństwa.