NO_MORE_RANSOM - כיצד לפענח את הקבצים המוצפנים?

בשלהי 2016, העולם הותקף על ידי וירוס טריוויאלי-טרויאני מאוד מצפין מסמכים ותוכן מולטימדיה, המכונה NO_MORE_RANSOM. כיצד לפענח קבצים לאחר חשיפה לאיום זה, יידון בהמשך. עם זאת, פעם יש צורך להזהיר את כל המשתמשים אשר הותקפו, כי אין מתודולוגיה יחידה. זה קשור אחד אלגוריתמי ההצפנה המתקדמים ביותר, ועם מידת החדירה של הווירוס לתוך מערכת המחשב, או אפילו רשת תקשורת מקומית (אם כי בתחילה על תופעות רשת והוא לא מחושב).

איזה וירוס NO_MORE_RANSOM ואיך זה עובד?

באופן כללי, הנגיף עצמו כמעמד של סוסים טרויאנים כגון I Love You, אשר חודרים לתוך מערכת המחשב הצפנת הקבצים של המשתמש (בדרך כלל מולטימדיה). עם זאת, אם סב שונה הצפנה בלבד, וירוס זה הוא מושאל מאוד מאיום פעם סנסציוני בשם DA_VINCI_COD, המשלב כשלעצמו גם מתפקד סחטן.

לאחר ההדבקה, רוב קבצי אודיו, וידאו, גרפיקה ומסמכים למשרד מוקצה שם ארוך מאוד עם NO_MORE_RANSOM הרחבה, המכיל סיסמה מורכבת.

כאשר הודעת פתחה נראה כי הקבצים מוצפנים ופענוח עבור המוצר שאתה צריך לשלם כמה סכום.

כאיום לחדור לתוך המערכת?

הבה נעזוב לבד את השאלה כיצד, לאחר NO_MORE_RANSOM השפעה לפענח קבצים מכל הסוגים הנ"ל, ולהפוך לטכנולוגיה חודר הוירוס למערכת המחשב. למרבה הצער, כמו נדוש ככל שזה נשמע, היא משתמשת בשיטה מיושנת: באמצעות דואר אלקטרוני מגיע עם קובץ מצורף נפתח, המשתמש מקבל את הפעלת קוד זדוני.

מקורי, כפי שאנו יכולים לראות, טכניקה זו אינה שונה. עם זאת, המסר יכול להיות מחופש כלום טקסט חסר משמעות. לחלופין, להיפך, למשל, במקרה של חברות גדולות יותר, - שינוי התנאים של חוזה. מובן כי פקיד רגיל פותח את הקובץ מצורף, ולאחר מכן ומקבל תוצאות גרועות. אחד הזיקוקים והמבריקים הפך בסיסי חבילת ההצפנה פופולריים 1C נתונים. וזה עניין רציני.

NO_MORE_RANSOM: כיצד לפענח את המסמכים?

אבל עדיין שווה את זה כדי להפוך לשאלה העיקרית. הרי כולם מעוניינים כיצד לפענח את הקבצים. יש NO_MORE_RANSOM וירוס רצף של פעולות. אם המשתמש מנסה לבצע פענוח מיד לאחר ההדבקה, להפוך אותו למשהו אחר שיותר. אם האיום הוא התיישב היטב במערכת, אבוי, ללא עזרה של אנשי מקצוע לא יכול לעשות. אבל הם לעתים קרובות חסרי אונים.

אם האיום זוהה במועד, הדרך היחידה - חלה על תמיכת חברות אנטי וירוס (עדיין לא כל המסמכים כבר מוצפנים) לשלוח זוג נגיש לפתיחת קבצים על בסיס הניתוח המקורי, מאוחסן על מדיה נשלפת, נסה לשחזר מסמכים נגועים כבר בעבר העתקה על אותו כונן פלאש USB דבר אחר נגיש לפתוח (אם כי ערבות מלאות כי הווירוס לא התפשט מסמכים כאלה הן לא אותו הדבר). לאחר מכן, במשך נאמנות מנשא יש צורך לבדוק לפחות סורק וירוסים (מי יודע מה).

אלגוריתם

צריך גם להזכיר את העובדה להצפין את הנגיף משתמש באלגוריתם RSA-3072, אשר, בניגוד לטכנולוגית RSA-2048 השתמש בעבר הוא כל כך מורכב, כי הבחירה של הסיסמה הנכונה, גם בהנחה כי זו תעסוק מותנה כולה של מעבדות אנטי-וירוס , זה עלול לקחת חודשים או שנים. לפיכך, השאלה איך לפענח NO_MORE_RANSOM, דורשת זמן רב למדי. אבל מה אם אתה צריך לשחזר מידע מיידי? קודם כל - למחוק את הווירוס עצמו.

האם אפשר להסיר את הווירוס ואיך לעשות את זה?

למעשה, זה לא קשה לעשות. אם לשפוט לפי היהירות של יוצרי הווירוסים, האיום של מערכת המחשב לא רעול פנים. להיפך - זה אפילו רווחי "samoudalitsya" לאחר תום הפעולות הנ"ל.

אף על פי כן, בהתחלה, את המנהיגות הבאה של הנגיף, זה עדיין חייב להיות מנוטרל. הצעד הראשון הוא להשתמש כלי עזר מגן נייד כמו KVRT, Malwarebytes, ד"ר CureIt האינטרנט! וכדומה. הערה: משמש לבדיקת התכנית צריכה להיות מסוג נייד הוא חובה (בלי להתקין שום דבר על הכונן הקשיח עם הצגה אופטימלית מהתקשורת הנשלפת). אם איום מזוהה, יש להסירו מיד.

אם פעולה כזו לא מסופקת, אתה צריך קודם כל ללכת "מנהל המשימות" ולסיים אותו כל התהליכים הקשורים בנגיף, ממוינים לפי שם שירות (בדרך כלל, תהליך ברוקר Runtime).

לאחר הסרת בעיה, עלינו לקרוא את עורך הרג'יסטרי (regedit בתפריט "Run") וחפש את הכותרת «שרת לקוח Runtime מערכת» (ללא המירכאות), ולאחר מכן באמצעות תפריט המהלך על תוצאות "חפש את הבא ..." להסיר את כל הפריטים שנמצאו. הבא אתה צריך להפעיל מחדש את המחשב, ולאחר להאמין "מנהל המשימות" כדי לראות אם יש תהליך הנדרש.

באופן עקרוני, את השאלה כיצד לפענח וירוס NO_MORE_RANSOM עדיין על הבמה של זיהום, והוא יכול להיפתר על ידי שיטה זו. ההסתברות של ניטרול, כמובן, הוא קטן, אבל יש סיכוי.

כיצד לפענח קבצי NO_MORE_RANSOM מוצפן: גיבויים

אבל יש שיטה אחרת, אשר מעטים יודעים או אפילו לנחש. העובדה שמערכת ההפעלה זמן יוצרת גיבויי צל משלו (למשל, במקרה של התאוששות), או על ידי יצירת תמונות כאלה בכוונה. כפי בפועל מראה, וירוס זה אינו משפיע עותקים אלה (במבנה שלה, היא פשוט לא סיפק, למרות שזה אפשרי).

לכן, הבעיה של איך לפענח NO_MORE_RANSOM, מסתכמת על מנת להשתמש בסמל זה. עם זאת, כדי להשתמש בכלים סטנדרטיים של Windows אינם מומלצים הזה (ומשתמשים רבים כדי העותקים הנסתרים לא יהיו גישה כלל). לכן, אתה צריך להשתמש ShadowExplorer השירות (זה נייד).

כדי לשחזר, פשוט להפעיל את קובץ ההפעלה קובץ התוכנית, למיין את המידע לפי תאריך או הכותרת, בחר את העותק הרצוי (קבצים, תיקיות, או את המערכת כולה) ובאמצעות בתפריט PCM להשתמש בקו הייצוא. מדריך בהמשך פשוט נבחר אשר העותק הנוכחי יישמר ואז משתמש בתהליך ההתאוששות הסטנדרטי.

כלי צד שלישי

כמובן, הבעיה של איך לפענח NO_MORE_RANSOM, מעבדות רבות מציעות פתרונות משלהם. לדוגמה, "קספרסקי" ממליץ על השימוש במוצר התוכנה שלה Kaspersky Decryptor, מוצג בשתי גרסאות - Rakhini ורקטור.

לא פחות מעניין מראה התפתחות דומה כמו מפענח NO_MORE_RANSOM ידי ד"ר Web. אבל כאן יש צורך מיידי לקחת בחשבון כי השימוש של תוכניות כאלה מוצדק רק במקרה של זיהוי המהיר של איומים, בעוד לא כל הקבצים נדבקו. אם הווירוס מחופר היטב במערכת (כאשר מוצפן קבצים פשוט לא ניתן להשוות עם המקור שלהם לא מוצפן), ואת יישום כזה עשוי להיות חסר תועלת.

כתוצאה מכך

למעשה, המסקנה היא רק אחת: להילחם בנגיף חייב להיות אך ורק על הבמה של זיהום, כשיש את ההצפנה הראשונה בלבד של קבצים. באופן כללי, עדיף לא לפתוח קבצים מצורפים בהודעות דואר אלקטרוני שהתקבל ממקורות מפוקפקים (זה מתייחס אך ורק ללקוחות, מותקן ישירות על המחשב שלך - Outlook, Oulook Express, וכו '). בנוסף, אם העובד יש העומדים לרשותה רשימת הלקוחות והשותפים להתייחס פתיחת ההודעות "שמאל" זה די בלתי הולם, כפי ביותר שכירת הסכמי סודיות סימן של סודות מסחריים, ו אבטחת סייבר.