Na konci roku 2016 byl svět napaden velmi netriviálním trojským virem, šifrováním vlastních dokumentů a multimediálním obsahem s názvem NO_MORE_RANSOM. Jak dešifrovat soubory po dopadu této hrozby, a budou zvažovány dále. Je však nutné okamžitě varovat všechny napadené uživatele, že neexistuje žádná jediná technika. To je způsobeno použitím jednoho z nejpokročilejších šifrovacích algoritmů a stupněm průniku viru do počítačového systému nebo dokonce do lokální sítě (i když se nejprve neupočítá na síťový efekt).

Co je virus NO_MORE_RANSOM a jak to funguje?

Obecně platí, že samotný virus je klasifikován jako trojan typu I Love You, který proniká do počítačového systému a šifruje uživatelské soubory (obvykle multimédia). Je pravda, že pokud se předek lišil pouze v šifrování, pak tento virus vypůjčil hodně z kdysi hlučné hrozby s názvem DA_VINCI_COD, která kombinovala rysy doplňků. Po infikování většiny zvukových, obrazových, grafických nebo kancelářských souborů je přiřazeno dlouhé jméno s příponou NO_MORE_RANSOM obsahující složité heslo. Při pokusu o jejich otevření se na obrazovce objeví zpráva, že soubory jsou zašifrovány a kreativy jsou povinny zaplatit určitou částku za dešifrování.

Jak se do systému dostává hrozba?

Ponecháme stranou otázku, jak po vlivu NO_MORE_RANSOM dešifrovat soubory kteréhokoliv z výše uvedených typů a obrátit se na technologiipenetraci viru do počítačového systému. Bohužel, bez ohledu na to, jak to zní kýčovitě, ale používá starý osvědčený způsob, podle e-mailu přišel dopis s otvorem připevnění, který přijímá provoz uživatelské jméno a škodlivého kódu.


Původnost, jak vidíme, se tato technika neliší. Zpráva však může být maskovaná pro bezvýznamný text. Nebo naopak, například pokud jde o velké společnosti - za podmínek smlouvy. Je zřejmé, že průměrný úředník otevře přílohu a poté přijímá a katastrofální výsledky. Jeden z nejjasnějších světlice se stala populární databáze šifrování balíček 1C. A to je vážná záležitost.

NO_MORE_RANSOM: jak dešifrovat dokumenty?

Stále stojí za to obrátit se na hlavní otázku. Pravděpodobně každý má zájem o dešifrování souborů. Virus NO_MORE_RANSOM má vlastní sekvenci akcí. Pokud se uživatel pokusí dešifrovat ihned po infekci, může to být ještě hotové. V případě, že hrozba je pevně usadil v systému, bohužel, bez pomoci odborníka není nutné. Ale i oni jsou nejčastěji bezmocní. Byla-li hrozba objeven v době, jak jen jeden - kontaktní podpora antivirové společnosti (ještě ne všechny dokumenty jsou zašifrovány), poslat pár nedostupné pro soubor a analýzou originálů uložených na výměnných médiích, se snaží obnovit již infikované dokumenty kopírování na stejnou jednotku flash vše, co je k dispozici pro otevírání (i když je plnézáruka, že virus nepronikl do takových dokumentů, také není). Po tom věrnost dopravce musí alespoň zkontrolovat virů (malý).

algoritmus

také třeba říci, že šifrování virus používá algoritmus RSA-3072, který, na rozdíl od dříve použité technologie RSA-2048 je tak komplexní, že výběr správného hesla, a to i v případě, že se to bude týkat celého kontingentu antivirových laboratoří, může trvat měsíce a roky. To znamená, že otázka, jak dešifrovat NO_MORE_RANSOM, vyžaduje poměrně časově náročné. Co ale mám dělat, když potřebuji okamžitě obnovit informace? Nejprve odstraňte samotný virus.

Můžete odstranit virus a jak to udělat?

Ve skutečnosti je to snadné. Soudě podle arogance tvůrců virů ohrožení počítačového systému není maskován. Naopak - dokonce ziskové "sebezničení" po skončení akce. Nicméně na počátku by měl být v důsledku viru neutralizován. První věcí je použití přenosných bezpečnostních nástrojů, jako jsou KVRT, Kaspersky, Dr. Web CureIt! a stejně jako oni. Poznámka: používá se pro testovacích programů by mělo být přenosné typu povinné (bez nutnosti instalace na pevný disk s uvedením nejlépe s vyměnitelné médium). Pokud je hrozba zjištěna, měla by být okamžitě odstraněna. Jsou-li tyto kroky nebyly poskytnuty, musíte jít do „Správce úloh“ a dokončit všechny procesy spojené s virem seřazené podle názvu služby(zpravidla jde o proces Runtime Broker). Po odstranění tohoto problému by mělo dojít Editor registru (regedit z „Run“) a nastavte hledání názvu «Client Server Runtime System» (bez uvozovek) a potom pomocí navigační menu s výsledky „Find Next“, aby se odstranily všechny nalezené položky . Poté musíte restartovat počítač a věřit v "Správce úloh", neexistuje žádný požadovaný proces.
V zásadě je otázka, jak dešifrovat virus NO_MORE_RANSOM ve fázi infekce může být vyřešen tímto způsobem. Pravděpodobnost neutralizace je samozřejmě malá, ale existuje šance.

Jak dešifrovat soubory zašifrované NO_MORE_RANSOM: záložní

Ale je tu jiný způsob, který jen málo lidí ví, nebo dokonce odhadnout. Skutečnost, že operační systém vždy vytváří svůj vlastní stín zálohu (například v případě obnovy) nebo uživatel záměrně vytvořit takové obrazy. V praxi je na takový virus neovlivňuje (v jeho struktuře je prostě není k dispozici, i když je to možné). Problém, jak dekódovat NO_MORE_RANSOM, je tedy přesně použít. Aby však bylo možné použít tuto normu prostředky Windows se nedoporučuje (a mnoho uživatelů na Skrytá nezískají přístup vůbec). Proto musíte použít nástroj ShadowExplorer (je přenosný). Pro obnovení stačí spustit spustitelný soubor, seřadit informace podle data nebo kapitol, vyberte požadovaný soubor (soubor, složku nebo celý systém) a nabídku PKMpoužijte exportní řetězec. Poté jednoduše vyberte adresář, kam bude uložena aktuální kopie, a potom použijte standardní proces obnovy.

nástroje třetích stran

Samozřejmě, že problém, jak dešifrovat NO_MORE_RANSOM, mnoho laboratoří nabízet své vlastní řešení. Kaspersky Lab například doporučuje používat svůj vlastní software Kaspersky Anti-Virus, který je prezentován ve dvou modifikacích - Rakhini a Rector. Ne méně zajímavý vzhled a podobný vývoj jako dekodér NO_MORE_RANSOM od Dr. Web. Zde ale stojí za zmínku okamžitě, že použití takových programů je oprávněné pouze v případě rychlého odhalení hrozby, dokud nebudou všechny soubory napadeny. V případě, že virus je pevně usadil v systému (s šifrované soubory prostě nelze srovnávat s jejich původní nešifrované), a taková žádost může selhat.

V důsledku toho

ve skutečnosti, že závěr je jediný: v boji proti viru se provede pouze ve fázi infekce, kdy je pouze první šifrování souborů. Obecně lze říci, že je lepší otevřít e-mailové přílohy přijaté od pochybných zdrojů (to platí nainstalován přímo na počítači pouze klienta - Microsoft Outlook, Oulook Express, atd.). Kromě toho, v případě, že zaměstnanec má seznam adres zákazníků a partnerů, otevření zprávy „levice“ je zcela nepraktický, protože většina při přijímání dohody mlčenlivosti podepsané obchodní tajemství a kybernetické bezpečnosti.