NO_MORE_RANSOM - làm thế nào để giải mã các tập tin được mã hóa?

Vào cuối năm 2016, thế giới đã bị tấn công bởi một loại virus rất tầm thường-trojan mã hóa tài liệu và nội dung đa phương tiện, NO_MORE_RANSOM mệnh danh. Làm thế nào để giải mã tập tin sau khi tiếp xúc với mối đe dọa này, và sẽ được thảo luận thêm. Tuy nhiên, một khi nó là cần thiết để cảnh báo tất cả người dùng đã bị tấn công, rằng không có phương pháp duy nhất. Này được kết nối với một trong những thuật toán mã hóa tiên tiến nhất, và với mức độ thâm nhập của virus vào hệ thống máy tính, hoặc thậm chí là một mạng cục bộ (mặc dù ban đầu về hiệu ứng mạng và nó không phải là tính toán).

Thật là một vi rút NO_MORE_RANSOM và làm thế nào nó hoạt động?

Nói chung, virus chính nó như là lớp của Trojan như Tôi yêu bạn, mà thâm nhập vào hệ thống máy tính và mã hóa các file của người dùng (thường là đa phương tiện). Tuy nhiên, nếu ông bà khác nhau chỉ mã hóa, vi rút này được rất nhiều vay mượn từ các mối đe dọa một lần giật gân gọi DA_VINCI_COD, kết hợp trong bản thân cũng có chức năng tống tiền.

Sau khi lây nhiễm, phần lớn các tập tin âm thanh, video, đồ họa và tài liệu văn phòng được gán một tên rất dài với một NO_MORE_RANSOM mở rộng, chứa một mật khẩu phức tạp.

Khi thông điệp mở xuất hiện rằng các tập tin được mã hóa và giải mã cho sản phẩm bạn cần phải trả một số tiền.

Như một mối đe dọa cho thâm nhập vào hệ thống?

Chúng ta hãy đi về một mình những câu hỏi như thế nào, sau khi NO_MORE_RANSOM tác động giải mã các file của bất kỳ của các loại trên, và chuyển sang công nghệ cho việc thâm nhập của virus vào hệ thống máy tính. Thật không may, như xưa vì nó có thể âm thanh, nó sử dụng theo cách cũ: qua e-mail đi kèm với một tập tin đính kèm được mở ra, người dùng nhận được kích hoạt và mã độc.

Độc đáo, như chúng ta có thể thấy, kỹ thuật này là không khác nhau. Tuy nhiên, thông điệp có thể được ngụy trang như một bất cứ điều gì văn bản vô nghĩa. Hoặc, trái lại, ví dụ, trong trường hợp các công ty lớn hơn, - một sự thay đổi trong các điều kiện của hợp đồng. Điều này được hiểu rằng một nhân viên bình thường mở tập tin đính kèm, và sau đó và nhận được kết quả kém. Một trong những pháo sáng sáng trở nên phổ biến căn cứ gói mã hóa 1C dữ liệu. Và đây là một vấn đề nghiêm trọng.

NO_MORE_RANSOM: làm thế nào để giải mã các văn bản?

Nhưng vẫn còn giá trị nó để chuyển sang câu hỏi chính. Chắc chắn tất cả mọi người quan tâm đến việc làm thế nào để giải mã các tập tin. Virus NO_MORE_RANSOM có một chuỗi các hành động. Nếu người dùng cố gắng thực hiện giải mã ngay sau khi nhiễm trùng, làm cho nó một cái gì đó khác càng tốt. Nếu mối đe dọa đang định cư vững chắc trong hệ thống, than ôi, nếu không có sự giúp đỡ của các chuyên gia không thể làm. Nhưng họ thường là bất lực.

Nếu mối đe dọa đã được phát hiện một cách kịp thời, cách duy nhất một - áp dụng để hỗ trợ các công ty chống virus (nhưng không phải tất cả các tài liệu đã được mã hóa) để gửi một cặp không thể tiếp cận để mở tập tin và trên cơ sở những phân tích ban đầu, lưu trữ trên phương tiện di động, cố gắng khôi phục các tài liệu đã bị nhiễm trước đó sao chép trên ổ đĩa flash USB cùng bất cứ điều gì khác có sẵn để mở (mặc dù một đảm bảo đầy đủ mà virus đã không lây lan sang các tài liệu như vậy là không giống nhau). Sau đó, đối với một lòng trung thành hãng nó là cần thiết để kiểm tra ít nhất một chương trình quét virus (ai mà biết được những gì).

thuật toán

Chúng ta cũng nên đề cập đến thực tế là để mã hóa virus sử dụng thuật toán RSA-3072, trong đó, trái ngược với công nghệ RSA-2048 sử dụng trước đó là rất phức tạp, mà việc lựa chọn đúng mật khẩu, thậm chí giả định rằng điều này sẽ đối phó với toàn bộ đội ngũ của các phòng thí nghiệm chống virus , nó có thể mất vài tháng hoặc nhiều năm. Như vậy, câu hỏi làm thế nào để giải mã NO_MORE_RANSOM, đòi hỏi khá nhiều thời gian. Nhưng nếu bạn cần khôi phục thông tin ngay lập tức? Trước hết - để xóa virus riêng của mình.

Là nó có thể để loại bỏ các vi rút và làm thế nào để làm điều đó?

Trên thực tế, nó không phải là khó khăn để làm. Đánh giá bởi sự kiêu ngạo của những người sáng tạo virus, các mối đe dọa của hệ thống máy tính không đeo mặt nạ. Ngược lại - nó thậm chí còn mang lại lợi nhuận "samoudalitsya" sau khi kết thúc các hoạt động nêu trên.

Tuy nhiên, lúc đầu, sau dẫn của virus, nó vẫn phải được vô hiệu hóa. Bước đầu tiên là sử dụng một tiện ích bảo vệ di động như KVRT, Malwarebytes, Dr. CureIt Web! và những thứ tương tự. Lưu ý: sử dụng để kiểm tra các chương trình nên có một loại di động là bắt buộc (không cài đặt bất cứ điều gì trên ổ đĩa cứng với chạy một cách tối ưu từ các phương tiện di động). Nếu một mối đe dọa được phát hiện, nó cần được loại bỏ ngay lập tức.

Nếu hành động như vậy không được cung cấp, trước tiên bạn phải đi đến "Task Manager" và kết thúc tất cả các quá trình liên quan đến virus, được sắp xếp theo tên dịch vụ (thông thường, quá trình Runtime Broker).

Sau khi loại bỏ được vấn đề, chúng ta phải gọi Registry Editor (regedit trong menu "Run") và tìm kiếm danh hiệu «Client Server Runtime Hệ thống» (không có dấu ngoặc kép), và sau đó sử dụng menu di chuyển trên các kết quả của "Find Next ..." để loại bỏ tất cả các mục được tìm thấy. Tiếp theo, bạn cần phải khởi động lại máy tính, và để tin vào "Task Manager" để xem nếu có là quá trình cần thiết.

Về nguyên tắc, vấn đề làm thế nào để giải mã vi rút NO_MORE_RANSOM vẫn là trên sân khấu của nhiễm trùng, và có thể được giải quyết bằng phương pháp này. Khả năng trung hòa, tất nhiên, là nhỏ, nhưng có một cơ hội.

Làm thế nào để giải mã tập tin được mã hóa NO_MORE_RANSOM: sao lưu

Nhưng có một phương pháp, mà ít người biết hoặc thậm chí đoán. Thực tế là hệ điều hành liên tục tạo ra các bản sao lưu bóng riêng của mình (ví dụ, trong trường hợp phục hồi), hoặc bằng cách cố tình tạo ra những hình ảnh như vậy. Như thực tế cho thấy, loại virus này không ảnh hưởng đến những bản sao (trong cấu trúc của nó, nó chỉ đơn giản là không được cung cấp, mặc dù nó là có thể).

Như vậy, vấn đề làm thế nào để giải mã NO_MORE_RANSOM, sôi xuống để sử dụng biểu tượng đó. Tuy nhiên, để sử dụng các công cụ chuẩn của Windows không được khuyến khích cho việc này (và nhiều người dùng các bản sao ẩn sẽ không có quyền truy cập vào tất cả). Vì vậy, bạn cần phải sử dụng tiện ích ShadowExplorer (nó là xách tay).

Để khôi phục, bạn chỉ cần chạy file thực thi tập tin chương trình, sắp xếp các thông tin theo ngày hoặc tiêu đề, chọn các bản sao mong muốn (các file, thư mục, hoặc toàn bộ hệ thống) và thông qua menu PCM để sử dụng dòng xuất khẩu. Thêm thư mục chỉ đơn giản là lựa chọn, trong đó các bản sao hiện tại sẽ được lưu trữ và sau đó sử dụng các quá trình phục hồi tiêu chuẩn.

các công cụ của bên thứ ba

Tất nhiên, vấn đề làm thế nào để giải mã NO_MORE_RANSOM, nhiều phòng thí nghiệm cung cấp các giải pháp riêng của họ. Ví dụ, "Kaspersky Lab" khuyến cáo việc sử dụng các sản phẩm phần mềm riêng của mình Kaspersky Decryptor, được trình bày trong hai phiên bản - Rakhini và Hiệu trưởng.

nhìn không kém phần thú vị và một sự phát triển tương tự như NO_MORE_RANSOM giải mã bởi Dr. Web. Nhưng ở đây nó là cần thiết ngay lập tức phải đưa vào tài khoản đó việc sử dụng các chương trình như vậy là hợp lý chỉ trong trường hợp phát hiện mối đe dọa nhanh chóng, trong khi không phải tất cả các tập tin đã bị nhiễm. Nếu virus được vững chắc nối với hệ thống (khi mã hóa các file chỉ không thể so sánh với bản gốc không được mã hóa của họ), và ứng dụng đó có thể là vô ích.

Kết quả là

để chống lại vi rút phải hoàn toàn vào giai đoạn nhiễm trùng, khi chỉ có mã hóa đầu tiên của tập tin: Trong thực tế, kết luận chỉ có một. Nói chung, tốt nhất là không để mở file đính kèm trong e-mail nhận được từ các nguồn không rõ ràng (điều này ám chỉ dành riêng cho khách hàng, cài đặt trực tiếp trên máy tính của bạn - Outlook, Oulook Express, vv). Ngoài ra, nếu người lao động có lúc xử lý của nó một danh sách khách hàng và các đối tác để giải quyết việc mở các tin nhắn "Left" nó là khá phù hợp, như hầu hết trong việc thuê thỏa thuận không tiết lộ dấu hiệu của sự bí mật thương mại và an ninh mạng.