NO_MORE_RANSOM - jak dešifrovat šifrované soubory?
Na konci roku 2016 byl svět napaden velmi netriviálním trojským virem, který šifroval uživatelské dokumenty a multimediální obsah s názvem NO_MORE_RANSOM. Jak dále dešifrovat soubory po dopadu této hrozby. Nicméně, okamžitě stojí za to upozornit všechny uživatele, kteří byli napadeni, že neexistuje jednotná metodika. To je způsobeno použitím jednoho z nejpokročilejších šifrovací algoritmy,
Obsah
Jaký typ viru je NO_MORE_RANSOM a jak to funguje?
Obecně platí, že virus sám o sobě jako třídu trojské koně, jako Miluji tě, které proniknout do počítačového systému a šifrování souborů uživatele (obvykle multimediálních). Nicméně, pokud se prarodiče se lišily pouze šifrování, tento virus je velmi půjčil si od kdysi senzační hrozby zvané DA_VINCI_COD, kombinující v sobě také funguje vyděrače.
Po infekci je většině souborů zvukových, obrazových, grafických nebo kancelářských dokumentů přiděleno dlouhé jméno s příponou NO_MORE_RANSOM obsahující složité heslo.
Při pokusu o jejich otevření se na obrazovce zobrazí zpráva, že soubory jsou zašifrovány a je třeba zaplatit částku za dešifrování.
Jak hrozba proniká do systému?
Opusťme sám na otázku, jak se po nárazu NO_MORE_RANSOM dešifrování souborů některý z výše uvedených typů, a obrátit se na technologie pro proniknutí viru do počítačového systému. Bohužel, jak je banální, jak to může znít, že využívá staromódním způsobem: prostřednictvím e-mailu je dodáván s otevře přílohu, uživatel obdrží aktivační a škodlivého kódu.
Originálnost, jak vidíme, tato technika není jiná. Zpráva však může být maskovaná jako nesmyslný text. Nebo naopak, například pokud jde o velké společnosti, - při změně podmínek jakékoli smlouvy. Je zřejmé, že obyčejný úředník otevře přílohu a poté obdrží lakomný výsledek. Jedním z nejjasnějších ohnisek bylo šifrování databází populárního balíčku 1C. A to je vážný obchod.
NO_MORE_RANSOM: Jak dekódovat dokumenty?
Přesto je však třeba se zaměřit na hlavní otázku. Jistě každý má zájem o dešifrování souborů. Virus NO_MORE_RANSOM má vlastní sekvenci akcí. Pokud se uživatel pokusí dešifrovat ihned po infekci, může to být ještě nějakým způsobem provedeno. Pokud se hrozba ustálí v systému pevně, bohužel, bez pomoci odborníků je zde nepostradatelná. Ale často jsou bezmocní.
Jestliže byla zjištěna hrozba včas, jak jediný - platí pro podporu antivirových firem (zatím ne všechny dokumenty byly zašifrovány) poslat pár nepřístupné pro otevírání souborů a na základě původní analýzy, uložený na vyměnitelné médium, pokuste se obnovit již infikované dokumenty dříve kopírování na stejném USB flash disk cokoli jiného, co je k dispozici pro otevření (ačkoli plná záruka, že virus se nerozšířila do těchto dokumentů není totéž). Za to, že na loajalitu nosiče je nutno kontrolovat alespoň virů (kdo ví co).
Algoritmus
Měli bychom také zmínit skutečnost, že šifrování virus využívá RSA-3072 algoritmus, který, na rozdíl od dříve používané RSA-2048 technologie je tak složitý, že výběr správného hesla, a to i za předpokladu, že to bude řešit celý kontingent anti-virových laboratořích , může trvat měsíce a roky. Tak otázka, jak dešifrovat NO_MORE_RANSOM, bude vyžadovat spoustu času. Co když však potřebujete okamžitě obnovit informace? Nejdříve odstraňte samotný virus.
Mohu odstranit virus a jak?
Ve skutečnosti to není těžké. Podle souhřezdí tvůrců viru není hrozba v počítačovém systému maskovaná. Naopak, je dokonce výhodné, aby se po skončení akce "dostala ven".
Nicméně, nejprve na patě viru, měl by být nicméně neutralizován. Nejprve je nutné použít přenosné ochranné nástroje jako KVRT, Malwarebytes, Dr.Sc. Web CureIt! a podobně. Upozorňujeme, že programy používané pro kontrolu musí být bez poruchy (bez nutnosti instalace na pevný disk s optimálním spuštěním z vyměnitelného média). Pokud je zjištěna hrozba, měla by být okamžitě odstraněna.
Není-li za předpokladu, tato akce, musíte nejdříve přejít na „Správce úloh“ a dokončit všechny procesy spojené s virem, seřazené podle názvu služby (typicky proces Runtime Broker).
Po odstranění příčiny problému je nutné Editor registru (regedit v menu „Run“) a hledat na titul «Client Server Runtime System» (bez uvozovek) a potom s využitím výsledků pohyblivých menu „Najít daleehellip-“ odstranit všechny nalezené položky. Dále budete muset restartovat počítač, a věřit v „Správce úloh“, aby zjistili, zda je požadované proces.
V zásadě může být touto metodou vyřešena otázka, jak dešifrovat virus NO_MORE_RANSOM ve fázi infekce. Pravděpodobnost neutralizace, samozřejmě, není velká, ale existuje šance.
Jak dešifrovat soubory šifrované NO_MORE_RANSOM: zálohy
Existuje však ještě jedna technika, o které málo lidí ví, nebo dokonce hádají. Faktem je, že samotný operační systém neustále vytváří vlastní stínové zálohy (například v případě obnovy), nebo uživatel záměrně vytváří takové obrazy. Jak ukazuje praxe, virus nemá vliv na takové kopie (ve své struktuře se jednoduše neposkytuje, i když to není vyloučeno).
Problém, jak dešifrovat NO_MORE_RANSOM, je tedy snížen na jejich použití. Neodporuje se však použití standardních nástrojů Windows (a mnoho uživatelů nebude mít přístup ke skrytým kopiím vůbec). Proto musíte použít nástroj ShadowExplorer (je přenosný).
Chcete-li obnovit, stačí spustit spustitelný soubor soubor programu, tříděte informace podle dat nebo částí, vyberte požadovanou kopii (soubor, složku nebo celý systém) a použijte exportní řádek z nabídky PCM. Potom jednoduše vyberte adresář, ve kterém bude uložena aktuální kopie, a poté použijte standardní proces obnovy.
Pomůcky třetích stran
Samozřejmě, na problém, jak dešifrovat NO_MORE_RANSOM, mnoho laboratoří nabízí své vlastní řešení. Například, „Kaspersky Lab“ doporučuje použití vlastního softwarového produktu Kaspersky Decryptor, předložené ve dvou verzích - Rakhini a rektor.
Neméně zajímavý vzhled a podobný vývoj jako dekodér NO_MORE_RANSOM od Dr. Web. Ale tady je okamžitě nutné vzít v úvahu, že použití těchto programů je odůvodněna pouze v případě rychlou detekci hrozeb, zatímco ne všechny soubory byly infikovány. V případě, že virus je pevně zakotven v systému (pokud je šifrován souborů prostě nelze srovnávat s jejich non-šifrované originálů), a takové aplikace může být k ničemu.
Jako výsledek
Závěr pouze navrhuje jediný: boj proti tomuto viru je nutný pouze ve fázi infekce, kdy jsou zašifrovány pouze první soubory. Obecně platí, že je lepší otevřít přílohy v e-mailových zpráv přijatých z pochybných zdrojů (to se vztahuje výhradně pro zákazníky, instalován přímo na počítači - Outlook, Oulook Express, atd.). Kromě toho, v případě, že zaměstnanec má k dispozici seznam zákazníků a partnerů s cílem řešit otevření „left“ zpráv, to je docela nevhodné, protože většina při přijímání dohod znamení utajení obchodních tajemství a kybernetické bezpečnosti.
Port FTPS - co to je?
Jak otevřít skryté soubory na jednotce USB flash po napadení virem
Virus zašifroval soubory a přejmenoval je. Jak dešifrovat soubory šifrované virem
Virus šifroval všechny soubory. Co dělat v této situaci?
XTBL (virus-encryptor): jak dešifrovat? Dekryptor souborů po viru s příponou XTBL
Co a jak odstranit: virus odstraní soubory EXE nebo blokuje přístup k programům
Jak odstranit Trojan z Androidu - některé užitečné tipy
Samotný kopírovací počítačový škůdce je to, co je a jak s ním vypořádat?
Encryptor [email protected]: jak dešifrovat
Virus šifrované soubory v XTBL - co dělat?
Virus-encryptor: jak vyléčit a dešifrovat soubory? Dešifrovat soubory po kryptografickém viru
XTBL jak dešifrovat? XTBL virus-encryptor
Virus Cbf (kryptografický virus): dešifruje. Rozšíření .cbf
Hrozby typu "virus_exe.exe": co je s nimi a jak s nimi jednat?
Jaké jsou charakteristické rysy počítačového viru?
Miluji tě - virus ohromující lásky
Při práci se soubory může dojít k infekci počítačovým virem?
PUP.Optional - co je to virus a jak ho odstranit? Viry rodiny PUP. Reklamní virus
Recycler: co je tento virus a jak ho odstranit?- Šifrování souborů
Co je špatné s počítačem nebo Klasifikace virů