NO_MORE_RANSOM - как да декриптират криптираните файлове?

В края на 2016 г. светът беше атакуван от много нетривиален троянски вирус, който криптира потребителски документи и мултимедийно съдържание, наречено NO_MORE_RANSOM. Как да дешифрираме файловете след въздействието на тази заплаха ще бъде разгледано допълнително. Все пак, веднага си струва да предупредите всички потребители, които са били атакувани, че няма унифицирана методология. Това се дължи на използването на един от най-напредналите алгоритми за кодиране,

Какъв вирус е NO_MORE_RANSOM и как работи?

Като цяло, самият вирус се приписва на клас троянци като "Обичам те", които проникват в компютърната система и криптират файловете на потребителя (обикновено мултимедия). Ако обаче прогениторът се различаваше само от криптирането, този вирус отне много от сензационната заплаха, наречена DA_VINCI_COD, която съчетава функциите на изнудвача само по себе си.

След заразяването, повечето файлове с аудио, видео, графики или офис документи получават дълго име с разширение NO_MORE_RANSOM, съдържащо сложна парола.

Когато се опитате да ги отворите, на екрана се появява съобщение, което показва, че файловете са шифровани и трябва да платите известна сума за декриптиране.

Как заплахата проникне в системата?

Да оставим въпроса как да декодираме файловете на всеки от горепосочените видове след излагането на NO_MORE_RANSOM, но да се обърнем към технологията на проникване на вируса в компютърната система. За съжаление, въпреки че може да звучи зловещо, използва се стар доказан метод: адреса на електронната поща получава писмо с прикачен файл, който при отваряне получава злонамерен код.

Оригиналността, както виждаме, тази техника не е различна. Съобщението обаче може да бъде прикрито като безсмислен текст. Или, напротив, например, ако става дума за големи компании, - при промяна на условията на всеки договор. Ясно е, че обикновеният чиновник отваря привързаността и след това получава оплакващ се резултат. Едно от най-ярките избухвания бе криптирането на базите данни на популярния пакет 1C. И това е сериозен бизнес.

NO_MORE_RANSOM: как да декодирам документи?

Но въпреки това е необходимо да се обърне внимание на основния въпрос. Разбира се, всеки се интересува от това как да дешифрира файловете. Вирусът NO_MORE_RANSOM има своя собствена последователност от действия. Ако потребителят се опита да декриптира веднага след заразяването, това все още може да се направи по някакъв начин. Ако заплахата се е установила стабилно в системата, уви, без помощта на специалисти тук е абсолютно необходимо. Но те често са безсилни.

Ако заплахата е била открита навреме, начина, по който само един - прилага по отношение на антивирусните компании поддръжка (все още не всички документи са били криптирани) да изпрати един чифт недостъпна за отваряне на файлове и на базата на първоначалния анализ, съхранена на преносим носител, опитайте се да се възстанови вече заразени документи по-рано копиране на същото флаш устройство всичко, което все още е достъпно за отваряне (въпреки че няма гаранция, че вирусът не е проникнал в такива документи). След това, за да е истина, превозвачът трябва да бъде проверен поне от антивирусен скенер (никога не знаеш какво).

алгоритъм

Ние трябва да споменем и факта, че за шифроване на вируса използва RSA-3072 алгоритъм, който, за разлика от по-рано се използва RSA-2048 технологията е толкова сложна, че изборът на правилната парола, дори да се предположи, че това ще се занимава с цялостния контингент на антивирусните лаборатории , може да отнеме месеци и години. По този начин, въпросът за това как да дешифрира NO_MORE_RANSOM ще изисква доста време. Но какво ще стане, ако трябва да възстановите информацията веднага? Преди всичко премахнете самия вирус.

Мога ли да изтрия вирус и как?

Всъщност не е трудно да се направи това. Съдейки по натрапчивостта на създателите на вируса, заплахата в компютърната система не е маскирана. Напротив, дори е изгодно за нея да "излезе" след края на действията.

Въпреки това, на пръв поглед, на петата на вируса, тя трябва да бъде неутрализирана. На първо място е необходимо да се използват преносими защитни средства като KVRT, Malwarebytes, Dr.Sc. Уеб CureIt! и други подобни. Моля, имайте предвид, че програмите, използвани за проверка, трябва да бъдат преносими, без да се провалят (без да се инсталира на твърдия диск с оптимално стартиране от сменяемите носители). Ако бъде открита заплаха, тя трябва да бъде премахната незабавно.

Ако не е предвидено такова действие, трябва първо да отидете на раздела "Task Manager" и го довърши всички процеси, свързани с вируса, сортирани по името на услугата (обикновено, процесът Runtime Broker).

След отстраняване на причината за проблема е необходимо Registry Editor (регентство в менюто "Run") и търсене на титлата «Client Server Runtime система" (без кавичките), а след това с помощта на резултатите от движещ се в менюто "Намери daleehellip;", за да се отстранят всички намерените предмети. След това трябва да рестартирате компютъра и да вярваме в "Task Manager", за да се види дали има нужния процес.

По принцип въпросът за това как да дешифрира NO_MORE_RANSOM вируса на етапа на инфекцията може да бъде решен с този метод. Вероятността за неутрализирането му, разбира се, не е голяма, но има шанс.

Как да декриптираме файлове, шифровани NO_MORE_RANSOM: архиви

Но има още една техника, която малко хора знаят или дори предполагат. Факт е, че самата операционна система постоянно създава собствени архиви в сянка (например при възстановяване) или потребителят умишлено създава такива изображения. Както показва практиката, вирусът не оказва влияние върху такива копия (в структурата си той просто не се предоставя, въпреки че не е изключен).

По този начин проблемът за това как да се декриптира NO_MORE_RANSOM се свежда до използването им. Въпреки това не се препоръчва използването на стандартни инструменти за Windows за това (и много потребители няма да имат достъп до скрити копия на всички). Следователно, трябва да използвате програмата ShadowExplorer (тя е преносима).

За да възстановите, просто трябва да стартирате изпълнимия файл файл на програмата, да сортирате информацията по дати или секции, да изберете желаното копие (файл, папка или цялата система) и да използвате линията за експортиране от менюто на PCM. След това просто изберете директорията, в която ще бъде запазено текущото копие, и след това използвайте стандартния процес на възстановяване.

Помощни програми на трети страни

Разбира се, за проблема как да се дешифрира NO_MORE_RANSOM, много лаборатории предлагат свои собствени решения. Например Kaspersky Lab препоръчва използването на собствен софтуерен продукт Kaspersky Decryptor, представен в две версии - Rakhini и Rector.

Не по-малко интересен поглед и подобни разработки като декодера NO_MORE_RANSOM от Dr. Web. Но тук е необходимо незабавно да се има предвид, че използването на такива програми е оправдано само в случай на бързо откриване на заплахата, стига всички файлове да не са били заразени. Ако вирусът е стабилно установен в системата (когато кодираните файлове не могат да бъдат сравнявани с техните некриптирани оригинали), тези приложения могат да бъдат безполезни.

В резултат на това

В действителност, изводът е само един: за борба с вируса трябва да бъде единствено на сцената на инфекция, когато е налице само първата криптиране на файлове. Като цяло, най-добре е да не отварят прикачени файлове в имейл съобщения, получени от съмнителни източници (това се отнася изключително за клиенти, инсталирани директно на вашия компютър - Outlook, Oulook Express и т.н.). Освен това, ако работникът или служителят има на разположение списък с клиенти и партньори, за да обърне внимание на отварянето на "ляво" съобщения той е доста неуместно, тъй като повечето от наемането на споразумения за неразкриване на знаците на търговски тайни, както и сигурността на киберпространството.