NO_MORE_RANSOM - como descifrar os ficheiros cifrados?

Ao final de 2016, o mundo foi atacado por un virus moi trivial-Trojan criptografía documentos e contidos multimedia, NO_MORE_RANSOM alcumado. Como descifrar ficheiros tras a exposición a esta ameaza, e será discutido máis adiante. Con todo, xa que é necesario advertir a todos os usuarios que foron atacadas, que non existe unha metodoloxía única. Esta está ligada cun dos algoritmos de cifrado máis avanzadas, e co grao de penetración do virus para o sistema informático, ou mesmo unha rede de área local (aínda que inicialmente en efectos de rede e que non é calculado).

Que un virus NO_MORE_RANSOM e como funciona?

Xeralmente, o propio virus como clase de Trojans, como Quérote, que penetran no sistema informático e cifrar os ficheiros do usuario (normalmente multimedia). Con todo, se un avó diferían só cifrado, este virus é moi prestado da ameaza, xa sensacional chamado DA_VINCI_COD, combinando en si tamén funciona chantagista.

Despois da infección, a maioría dos arquivos de audio, vídeo, gráficos e documentos de oficina se lle atribúe un nome moi longo cun NO_MORE_RANSOM extensión que contén un contrasinal complexa.

Cando mensaxe aberta parece que os arquivos son criptografía e descifrar para o produto que ten que pagar algunha cantidade.

Como unha ameaza para penetrar no sistema?

Imos deixar soa a cuestión de como, tras a NO_MORE_RANSOM impacto descifrar arquivos de calquera dos tipos anteriores, e Xire á tecnoloxía para penetrar o virus para o sistema informático. Desafortunadamente, como brega que isto poida soar, usa xeito antiga: a través do correo electrónico inclúe un anexo é aberto, o usuario recibe a activación e código malicioso.

Orixinalidade, como vemos, esta técnica non é diferente. Con todo, a mensaxe pode ser disfrazado como un nada texto sen sentido. Ou, pola contra, por exemplo, no caso de grandes empresas, - un cambio nas condicións dun contrato. Enténdese que un funcionario común abre o anexo, e logo, e obtén resultados pobres. Unha das chamas máis brillantes tornáronse populares bases de paquete de cifrado 1C datos. E este é un asunto serio.

NO_MORE_RANSOM: como descifrar os documentos?

Senón que paga a pena volver a cuestión principal. Certamente todos están interesados en como descifrar os ficheiros. virus NO_MORE_RANSOM ten unha secuencia de accións. Se o usuario tenta executar descifrado inmediatamente despois da infección, facelo algo máis rápido posible. A ameaza está firmemente resolta no sistema, por desgraza, sen a axuda de profesionais non poden facer. Pero son moitas veces impotente.

A ameaza foi detectada en tempo hábil, o xeito único - aplicable ao apoio empresas de antivirus (non todos os documentos foron criptografada) para enviar un par inaccesible para abrir ficheiros e na base da análise orixinal, almacenados en medios removível, proba dar documentos xa infectadas previamente copia da mesma unidade flash USB que máis está dispoñible para abrir (aínda que unha garantía total de que o virus non se estender para os documentos non é o mesmo). Despois diso, por unha lealdade transportadora é necesario comprobar, polo menos, un escáner de virus (que sabe o que).

algoritmo

Debemos tamén mencionar o feito de que para cifrar o virus utiliza o algoritmo RSA-3072, que, en contraste coa tecnoloxía RSA-2048 usada anteriormente é tan complexo, que a selección do contrasinal correcta, mesmo admitindo que isto vai xestionar todo o continxente de laboratorios antivirus , pode levar meses ou anos. Así, a cuestión de como descifrar NO_MORE_RANSOM, esixen bastante lento. Pero e se precisa restaurar información inmediatamente? Primeiro de todo - para eliminar o virus en si.

Pode eliminar o virus e como facelo?

En realidade, non é difícil de facer. A xulgar pola arrogancia dos creadores de virus, a ameaza do sistema do ordenador non é enmascarado. Pola contra - aínda rendible "samoudalitsya" tras o fin das accións anteriormente mencionadas.

Con todo, en primeiro lugar, seguindo a ligazón do virus, debe aínda ser neutralizado. O primeiro paso é utilizar un utilidades de protección portátiles como KVRT, Malwarebytes, Dr. CureIt web! e similares. NOTA: usado para probar o programa debe ser dun tipo portátil é obrigatoria (sen instalar nada no disco duro co funcionamento de forma optimizada dende a medios removível). Se se detecta unha ameaza, debe ser eliminado inmediatamente.

Se esta acción non se fornece, ten que primeiro ir ao "Xestión de tarefas" e remata-lo todos os procesos asociados co virus, ordenadas por nome do servizo (normalmente, o proceso Runtime Broker).

Despois de eliminar o problema, debemos chamar o Editor do Rexistro (regedit no menú "Run") e buscar o título «Client Server Runtime Sistema" (sen as comiñas) e, a continuación, usar o menú de movemento nos resultados do "Find Next ..." para eliminar todos os elementos atopados. Logo, ten que reiniciar o computador, e crer no "Task Manager" para ver se hai o proceso necesario.

En principio, a cuestión de como descifrar virus NO_MORE_RANSOM aínda está no estadio da infección, e pode ser resolto por este método. A probabilidade de neutralización, por suposto, é pequeno, pero hai unha oportunidade.

Como descifrar ficheiros cifrados NO_MORE_RANSOM: backups

Pero hai outro método, que poucas persoas saben ou mesmo palpite. O feito de que o sistema operativo constantemente crea os seus propios backups sombra (por exemplo, en caso de recuperación), ou creando deliberadamente tales imaxes. Como a práctica demostra, este virus non afecta estas copias (na súa estrutura, é simplemente non facilitados, aínda que sexa posible).

Así, o problema de como descifrar NO_MORE_RANSOM, resúmese a fin de utilizar este símbolo. Con todo, para usar ferramentas estándar de Windows non recomendado para iso (e moitos usuarios para as copias ocultas non terá acceso a todos). Polo tanto, ten que usar o ShadowExplorer utilidade (é portátil).

Para restaurar, basta con executar o arquivo executable arquivo de programa, clasificar a información por data ou título, escolla a copia desexada (arquivos, carpetas ou todo o sistema) e a través do menú PCM a usar a liña de exportación. Ademais directorio simplemente seleccionado no que a copia actual serán gardados e, a continuación, utiliza o proceso de recuperación estándar.

Ferramentas de terceiros

Por suposto, o problema de como descifrar NO_MORE_RANSOM, moitos laboratorios ofrecen as súas propias solucións. Por exemplo, "Kaspersky Lab" recomenda o uso do seu propio produto de software Kaspersky Decryptor, presentado en dúas versións - Rakhini e Rector.

mirar non menos interesante e un desenvolvemento similar, como NO_MORE_RANSOM decodificador polo Dr. Web. Pero aquí é necesario inmediatamente para ter en conta que o uso de tales programas só se xustifica en caso de detección de ameazas rápida, mentres que non todos os ficheiros foron infectados. Se o virus está firmemente enraizada no sistema (cando arquivos criptografada só non se pode comparar cos seus orixinais non cifradas), e esta aplicación pode ser inútil.

como resultado

En realidade, a conclusión é unha soa: a combater o virus debe ser unicamente na fase da infección, cando hai só o primeiro cifrado de ficheiros. En xeral, é mellor non abrir arquivos adxuntos en mensaxes de correo electrónico recibidas a partir de fontes dubidosas (isto refírese exclusivamente aos clientes, instalado directamente no seu ordenador - Outlook, Oulook Express, etc.). Ademais, se o empregado ten á súa disposición unha lista de clientes e socios para abordar a apertura das mensaxes de "esquerda" que é moi axeitado, como a maioría na contratación de acordos de confidencialidade sinal de segredos comerciais e de seguridade cibernética.