NO_MORE_RANSOM – como descriptografar os arquivos criptografados?

No final de 2016, o mundo foi atacado por um vírus muito trivial-trojan criptografa documentos e conteúdo multimídia, NO_MORE_RANSOM apelidado. Como descriptografar arquivos após a exposição a esta ameaça, e será discutido mais adiante. No entanto, uma vez que é necessário alertar todos os usuários que foram atacadas, que não existe uma metodologia única. Esta está ligada com um dos algoritmos de criptografia mais avançadas, e com o grau de penetração do vírus para o sistema de computador, ou mesmo uma rede de área local (embora inicialmente em efeitos de rede e que não é calculado).

O que um vírus NO_MORE_RANSOM e como ele funciona?

Geralmente, o próprio vírus como classe de Trojans, como Eu te amo, que penetram no sistema informático e criptografar os arquivos do usuário (geralmente multimídia). No entanto, se um avô diferiam apenas criptografia, este vírus é muito emprestado da ameaça, uma vez sensacional chamado DA_VINCI_COD, combinando em si também funciona chantagista.

Após a infecção, a maioria dos arquivos de áudio, vídeo, gráficos e documentos de escritório é atribuído um nome muito longo com um NO_MORE_RANSOM extensão, contendo uma senha complexa.

Quando mensagem aberta parece que os arquivos são criptografados e descriptografia para o produto que você precisa pagar alguma quantia.

Como uma ameaça para penetrar no sistema?

Vamos deixar sozinha a questão de como, após a NO_MORE_RANSOM impacto descriptografar arquivos de qualquer dos tipos acima, e vire à tecnologia para penetrar o vírus para o sistema de computador. Infelizmente, como brega que isso possa soar, ele usa maneira antiga: via e-mail vem com um anexo é aberto, o usuário recebe a ativação e código malicioso.

Originalidade, como podemos ver, esta técnica não é diferente. No entanto, a mensagem pode ser disfarçado como um nada texto sem sentido. Ou, ao contrário, por exemplo, no caso de grandes empresas, – uma mudança nas condições de um contrato. Entende-se que um funcionário comum abre o anexo, e em seguida, e obtém resultados pobres. Uma das chamas mais brilhantes tornaram-se populares bases de pacote de criptografia 1C dados. E este é um assunto sério.

NO_MORE_RANSOM: como decifrar os documentos?

Mas ainda vale a pena se voltar para a questão principal. Certamente todos estão interessados em como descriptografar os arquivos. vírus NO_MORE_RANSOM tem uma sequência de acções. Se o usuário tenta executar descriptografia imediatamente após a infecção, torná-lo algo mais rápido possível. Se a ameaça está firmemente resolvida no sistema, infelizmente, sem a ajuda de profissionais não podem fazer. Mas são muitas vezes impotente.

Se a ameaça foi detectada em tempo hábil, a maneira única – aplicável ao apoio empresas de antivírus (ainda não todos os documentos foram criptografados) para enviar um par inacessível para abrir arquivos e na base da análise original, armazenados em mídia removível, tente restaurar documentos já infectadas anteriormente cópia na mesma unidade flash USB que mais está disponível para abrir (embora uma garantia total de que o vírus não se espalhou para os documentos não é o mesmo). Depois disso, por uma lealdade transportadora é necessário verificar, pelo menos, um scanner de vírus (que sabe o que).

algoritmo

Devemos também mencionar o fato de que para criptografar o vírus usa o algoritmo RSA-3072, que, em contraste com a tecnologia RSA-2048 utilizada anteriormente é tão complexo, que a seleção da senha correta, mesmo admitindo que isso vai lidar com todo o contingente de laboratórios anti-vírus , pode demorar meses ou anos. Assim, a questão de como decifrar NO_MORE_RANSOM, exigem bastante demorado. Mas e se você precisar restaurar informação imediatamente? Primeiro de tudo – para eliminar o vírus em si.

É possível remover o vírus e como fazê-lo?

Na verdade, não é difícil de fazer. A julgar pela arrogância dos criadores de vírus, a ameaça do sistema do computador não é mascarado. Pelo contrário – ele ainda rentável "samoudalitsya" após o fim das acções acima mencionadas.

No entanto, em primeiro lugar, seguindo a ligação do vírus, deve ainda ser neutralizado. O primeiro passo é usar um utilitários de proteção portáteis como KVRT, Malwarebytes, Dr. CureIt Web! e similares. Nota: usado para testar o programa deve ser de um tipo portátil é obrigatória (sem instalar nada no disco rígido com o funcionamento de forma otimizada a partir da mídia removível). Se for detectada uma ameaça, ele deve ser removido imediatamente.

Se essa ação não for fornecido, você deve primeiro ir para o "Gerenciador de Tarefas" e terminá-lo todos os processos associados com o vírus, ordenadas por nome do serviço (normalmente, o processo Runtime Broker).

Depois de remover o problema, devemos chamar o Editor do Registro (regedit no menu "Run") e procurar o título «Client Server Runtime Sistema» (sem as aspas) e, em seguida, usando o menu de movimento nos resultados do "Find Next …" para remover todos os itens encontrados. Em seguida, você precisa reiniciar o computador, e a acreditar no "Task Manager" para ver se há o processo necessário.

Em princípio, a questão de como decifrar vírus NO_MORE_RANSOM ainda está no estágio da infecção, e pode ser resolvido por este método. A probabilidade de neutralização, é claro, é pequeno, mas há uma chance.

Como decifrar arquivos criptografados NO_MORE_RANSOM: backups

Mas há um outro método, que poucas pessoas sabem ou mesmo palpite. O fato de que o sistema operacional constantemente cria seus próprios backups sombra (por exemplo, em caso de recuperação), ou criando deliberadamente tais imagens. Como a prática demonstra, este vírus não afecta essas cópias (na sua estrutura, ele é simplesmente não fornecidos, embora seja possível).

Assim, o problema de como decifrar NO_MORE_RANSOM, resume-se a fim de usar esse símbolo. No entanto, para usar ferramentas padrão do Windows não são recomendados para isso (e muitos usuários para as cópias ocultas não terá acesso a todos). Portanto, você precisa usar o ShadowExplorer utilidade (ele é portátil).

Para restaurar, basta executar o arquivo executável arquivo de programa, classificar as informações por data ou título, selecione a cópia desejada (arquivos, pastas ou todo o sistema) e através do menu PCM para usar a linha de exportação. Além disso diretório simplesmente selecionado em que a cópia atual serão armazenados e, em seguida, usa o processo de recuperação padrão.

Ferramentas de terceiros

Claro, o problema de como decifrar NO_MORE_RANSOM, muitos laboratórios oferecem suas próprias soluções. Por exemplo, "Kaspersky Lab" recomenda o uso de seu próprio produto de software Kaspersky Decryptor, apresentado em duas versões – Rakhini e Reitor.

olhar não menos interessante e um desenvolvimento semelhante, como NO_MORE_RANSOM decodificador pelo Dr. Web. Mas aqui é necessário imediatamente para levar em conta que o uso de tais programas só se justifica em caso de detecção de ameaças rápida, enquanto que nem todos os arquivos foram infectados. Se o vírus está firmemente enraizada no sistema (quando arquivos criptografados só não pode ser comparado com os seus originais não criptografadas), e essa aplicação pode ser inútil.

Como resultado

Na verdade, a conclusão é uma só: para combater o vírus deve ser unicamente na fase da infecção, quando há apenas o primeiro criptografia de arquivos. Em geral, é melhor não abrir anexos em mensagens de e-mail recebidas a partir de fontes duvidosas (isto refere-se exclusivamente aos clientes, instalado diretamente no seu computador – Outlook, Oulook Express, etc.). Além disso, se o empregado tem à sua disposição uma lista de clientes e parceiros para abordar a abertura das mensagens de "esquerda" que é bastante impróprio, como a maioria na contratação de acordos de confidencialidade sinal de segredos comerciais e de segurança cibernética.