NO_MORE_RANSOM - kiel por deĉifri la ĉifrita dosierojn?

Fine 2016, la mondo estis atakita de tre bagatelaj-trojan viruson ifri dokumentojn kaj plurmedia enhavo, sinkronigis NO_MORE_RANSOM. Kiel deĉifri dosierojn post ekspozicio al tiu minaco, kaj estos diskutita plu. Tamen, iam ĝi estas necesa por averti ĉiuj uzantoj kiuj estas atakitaj, ke ekzistas neniu ununura metodiko. Tiu estas konektita kun unu el la plej progresinta ĉifrado algoritmoj, kaj kun la grado de penetrado de la virus en la komputila sistemo, aŭ eĉ reto de loka areo (kvankam komence sur reto efikoj kaj ĝi ne estas kalkulita).

Kia NO_MORE_RANSOM viruso kaj kiel ĝi funkcias?

Ĝenerale, la viruson sin kiel klaso de trojanoj kiel ekzemple I Love You, kiu penetras en la komputila sistemo kaj kodi la uzanto dosierojn (kutime plurmedia). Tamen, se geavo diferencis nur ĉifrado, tiu viruso estas multege pruntis de la iam sensaciaj minaco nomita DA_VINCI_COD, kombinante en si mem ankaŭ funkcias extortionist.

Post infekto, la plimulto de arkivoj de audio, video, grafiko kaj oficejo dokumentoj estas asignita tre longa nomo kun etendo NO_MORE_RANSOM, enhavantaj kompleksan pasvorton.

Kiam malfermiĝis mesaĝo aperas ke la dosieroj estas ĉifrita kaj deĉifrita por la produkto vi devas pagi iun kvanton.

Kiel minacon penetri en la sistemo?

Ni lasu sole la demandon de kiel, post la trafo NO_MORE_RANSOM malĉifri dosierojn de ajna el la supre tipoj kaj revenu al teknologio por penetri la viruson en la komputila sistemo. Bedaŭrinde, kiel cursi kiel ĝi povas soni, ĝi uzas malnovmoda maniero: per retpoŝto venas kun alligiteco estas malfermita, la uzanto ricevas la aktivigo kaj malica kodo.

Originaleco, kiel ni povas vidi, ĉi tiu tekniko estas ne malsama. Tamen, la mesaĝo povas esti alivestita kiel sensignifa teksto nenion. Aŭ, male, ekzemple, en la kazo de pli granda kompanioj, - ŝanĝo en la kondiĉoj de kontrakto. Ĝi komprenas ke ordinara oficisto malfermas la alligiteco, kaj tiam kaj ricevas malriĉaj rezultoj. Unu el la plej brila bengalas iĝis populara ĉifrado pako bazoj 1C datumoj. Kaj tio estas grava afero.

NO_MORE_RANSOM: kiel deĉifri la dokumentoj?

Sed ankoraŭ valoras ĝin turni al la ĉefa demando. Certe ĉiuj estas interesita en kiel por deĉifri la dosierojn. NO_MORE_RANSOM viruson havas sekvencon de agoj. Se la uzanto provas plenumi malĉifro tuj post infekto, faras ĝin ion alian kiel eble. Se la minaco estas firme starigis en la sistemo, ve, sen la helpo de profesiuloj povas fari. Sed ili estas ofte senpovaj.

Se la minaco estis detektita en oportuna maniero, la maniero nur unu - apliki al antivirus kompanioj subteno (tamen ne ĉiuj dokumentoj estis ĉifrita) por sendi paron nealirebla por malfermi dosierojn kaj surbaze de la origina analizo, stokita sur forprenebla amaskomunikiloj, provu redoni jam infektitaj dokumentoj antaŭe kopii en la sama USBa ekbrila stirado ajn alia estas disponebla por malfermi (kvankam plena garantio, ke la viruso ne disvastigxis al tiaj dokumentoj ne estas la sama). Poste, dum aviad lojalecon necesas kontroli minimume viruson skanilo (kiu scias, kio).

algoritmo

Ni devus ankaŭ mencii la fakton ke por ĉifri la viruson uzas RSA-3072 algoritmo, kiu, kontraste al la antaŭe uzita RSA-2048 teknologio estas tiel kompleksa, ke la elekto de la ĝusta pasvorton, eĉ supozante ke tio faros al la tuta kontingento de antivirus laboritorioj , ĝi povas preni monatojn aŭ jarojn. Tiel, la demando de kiel deĉifri NO_MORE_RANSOM, postulas tute temporaba. Sed kion se vi bezonas restarigi informo tuj? Unue - forigi la viruson mem.

Ĉu eblas forigi la viruson kaj kiel fari ĝin?

Efektive, ne estas malfacile fari. Al juĝi por la arogantecon de la virus kreintoj, la minaco de la komputila sistemo ne maskita. Male - ĝi eĉ profita "samoudalitsya" post la fino de la menciitaj agoj.

Tamen, unue, kondukate de la virus, ĝi ankoraŭ devas esti neŭtraligita. La unua paŝo estas uzi porteblan protekta utilecoj kiel KVRT, Malwarebytes, Dr. TTT CureIt! kaj similaj. Noto: uzata por testi la programo devus esti de portebla tipo estas deviga (sen instali ion ajn sur la malmola disko kun kuranta optimume de la forprenebla amaskomunikiloj). Se minaco estas detektita, ĝi devus esti forigita tuj.

Se tia ago ne estas provizita, vi devas unue iri al la "Task Manager" kaj fini ĝin ĉiuj procezoj asociitaj kun la virus, ordigitaj laŭ servo nomo (tipe, la procezo Rultempa Broker).

Post eltiri la problemo, ni devas alvoki la Registro Redaktanto (regedit en la menuo "Run") kaj serĉi la titolo «Kliento Servilo Rultempa sistemo» (sen la citiloj), kaj poste uzante la movo menuo sur la rezultoj de "Trovu Sekva ..." forigi ĉiujn trovis erojn. Sekva necesas restartigi la komputilon, kaj kredi je la "Task Manager" por vidi se estas la postulata procezo.

Principe, la demando de kiel deĉifri NO_MORE_RANSOM viruson ankoraŭ sur scenejo de infekto, kaj povas esti solvitaj per tiu metodo. La probablo de neŭtraligo, kompreneble, estas malgranda, sed ekzistas ŝanco.

Kiel deĉifri dosierojn koditaj NO_MORE_RANSOM: sekurkopioj

Sed ekzistas alia metodo, kiun kelkaj personoj konas eĉ konjekton. La fakto ke la mastruma sistemo konstante kreas sian propran ombron sekurkopioj (ekzemple, en kazo de reakiro), aŭ per intence krei tiajn bildojn. Kiel praktiko montras, tiu viruso ne influas tiuj kopioj (en lia strukturo, ĝi estas simple ne provizita, kvankam ĝi eblas).

Tiel, la problemo de kiel deĉifri NO_MORE_RANSOM, bolas malsupren al por uzi tiun simbolon. Tamen, uzi Windows normo iloj ne estas rekomendita por tiu (kaj multaj uzantoj la kaŝita kopioj ne havas aliron entute). Tial, vi devas uzi la utileco ShadowExplorer (ĝi estas portebla).

Por restarigi, simple kuri la ruleblan programon dosiero, ordigi la informon laŭ dato aŭ titolo, elektu kopion (dosieroj, dosierujoj, aŭ la tuta sistemo) kaj tra la PCM menuo uzi la eksportado linio. Plue simple elektita dosierujo en kiu la aktuala ekzemplero estos stokitaj kaj poste uzas la normon reakiro procezo.

Triaj iloj

Kompreneble, la problemo de kiel deĉifri NO_MORE_RANSOM, multaj laboratorioj ofertas siajn proprajn solvojn. Ekzemple, "Kaspersky Lab" rekomendas la uzon de lia propra programaro produkto Kaspersky Decryptor, prezentita en du versioj - Rakhini kaj Gvidanto.

Ne malpli interesa aspekto kaj simila evoluo kiel NO_MORE_RANSOM decodificador de D-ro TTT. Sed ĉi tie estas necese tuj por konsideri ke la uzo de tiaj programoj estas pravigita nur en kazo de rapida minaco malkaŝo, dum ne ĉiuj la dosieroj estis infektitaj. Se la viruso estas firme enradikiĝinta en la sistemo (kiam ĉifrita dosieroj simple ne povas esti komparata kun siaj ne-ĉifrita originaloj), kaj tia aplikaĵo eble estas senutila.

Rezulte

Fakte, la konkludo estas nur unu: batali la virus devas esti sole sur la scenejo de infekto, kiam estas nur la unua ĉifrado de dosieroj. Ĝenerale, ĝi estas plej bone ne malfermi kunaj en retpoŝto mesaĝojn ricevis de dubinda fontoj (tio rilatas ekskluzive al klientoj, instalita rekte en via komputilo - Outlook, Oulook Express, ktp). Krome, se la oficisto disponas listo de klientoj kaj partneroj por trakti la malfermo de la "Maldekstra" mesaĝojn ĝi estas sufiĉe netaŭga, kiel plej en contratación signo konfidencaj interkonsentoj de komerco sekretojn, kaj ciber sekureco.