NO_MORE_RANSOM - как да дешифрирате шифрованите файлове?

В края на 2016 г. светът беше атакуван от много незначителен троянски вирус, който кодира потребителски документи и мултимедийно съдържание, наречено NO_MORE_RANSOM. Как да дешифрираме файловете след въздействието на тази заплаха ще бъде разгледано допълнително. Обаче, след като предупредите всички атакувани потребители, няма еднаква методология. Това се дължи на използването на един от най-напредналите алгоритми за кодиране и степента на проникване на вируса в компютърната система или дори в локалната мрежа (въпреки че първоначално тя не е проектирана за мрежово въздействие).

Какъв вирус е NO_MORE_RANSOM и как работи?

Като цяло самият вирус се приписва на клас троянци като "Обичам те", които проникват в компютърната система и криптират файловете на потребителя (обикновено мултимедия). Вярно е, че ако родителят се е различавал само от криптирането, този вирус отне много от сензационната заплаха, наречена DA_VINCI_COD, която съчетава функциите на изнудващото само по себе си.

След заразяването, повечето файлове с аудио, видео, графики или офисни документи имат дълго име с разширение NO_MORE_RANSOM, което съдържа сложна парола.

Когато се опитате да ги отворите, на екрана се появява съобщение, че файловете са шифровани и трябва да платите определена сума, за да го декриптирате.

Как заплахата проникне в системата?

Нека да оставим въпроса как да дешифрираме файловете на всеки от горепосочените видове след излагането на NO_MORE_RANSOM, но да се обърнем към технологията на проникване на вируса в компютърната система. За съжаление, обаче, ако звучи зловещо, използва се стар доказан метод: адреса на електронната поща получава писмо с прикачен файл, който при отваряне получава злонамерен код.

Оригиналността, както виждаме, този метод не е различна. Съобщението обаче може да бъде прикрито като безсмислен текст. Или, напротив, например, ако става въпрос за големи компании, - при промяна на условията на всеки договор. Ясно е, че чиновникът от класацията и файловете отваря прикачения файл и след това получава оплакващ резултат. Едно от най-ярките избухвания беше криптирането на базите данни на популярния пакет 1C. И това е сериозен бизнес.

NO_MORE_RANSOM: как да декодираме документи?

Но въпреки това е необходимо да се обърне внимание на основния въпрос. Разбира се, всеки се интересува от това как да дешифрира файловете. Вирусът NO_MORE_RANSOM има своя собствена последователност от действия. Ако потребителят се опита да декриптира веднага след заразяването, все пак може да се направи по някакъв начин. Ако заплахата се е установила стабилно в системата, уви, без помощта на специалисти тук е абсолютно необходимо. Но те често са безсилни.

Ако заплахата бъде открита своевременно, единственият начин е да се свържете с услугите за поддръжка на антивирусните компании (все още не всички документи са били шифровани), да изпратите няколко файлове, които не са достъпни за отваряне и въз основа на анализ на оригиналите, съхранявани на сменяеми носители, опитайте да възстановите вече заразените документи Копиране на същото флаш устройство всичко, което все още е достъпно за отваряне (въпреки че няма гаранция, че вирусът не е проникнал в такива документи). След това, за да е истина, превозвачът трябва да бъде проверен поне от антивирусен скенер (никога не знаеш какво).

алгоритъм

Отделно, трябва да се каже, че вирусът използва алгоритъм RSA-3072 за криптиране, който, за разлика от използваната преди това технология RSA-2048, е толкова сложен, че изборът на изискваната парола, дори ако целият контингент от антивирусни лаборатории Може да отнеме месеци и години. По този начин, въпросът за това как да декриптира NO_MORE_RANSOM ще изисква доста време. Но какво ще стане, ако трябва незабавно да възстановите информацията? Преди всичко премахнете самия вирус.

Мога ли да изтрия вируса и как?

Всъщност не е трудно да се направи това. Съдейки по насилието на създателите на вируса, заплахата в компютърната система не е маскирана. Напротив, дори е изгодно да се "измъкне" след края на действията.

Въпреки това, в началото, ставайки за вируса, то все още трябва да бъде неутрализирано. На първо място е необходимо да се използват преносими защитни средства като KVRT, Malwarebytes, Dr.Sc. Уеб CureIt! И подобно. Моля, обърнете внимание: програмите, използвани за проверка, трябва да бъдат преносими, без да се провалят (без да се инсталира на твърдия диск с оптимално стартиране от сменяемите носители). Ако бъде открита заплаха, тя трябва да бъде премахната незабавно.

Ако това не е така, първо трябва да отидете в Мениджър на задачите и да завършите всички процеси, свързани с вируса, като сортирате услугите по име (обикновено процес на Броуч по време на работа).

След като задачата бъде премахната, трябва да се свържете с редактора на системния регистър (regedit в менюто "Run") и да потърсите името "Client Server Runtime System" (без кавички), след което използвайте навигационното меню "Намери следващия ...". След това трябва да рестартирате компютъра и да вярвате в "Мениджъра на задачите", независимо дали има процес на търсене.

По принцип въпросът за това как да дешифрира NO_MORE_RANSOM вируса на етапа на инфекцията може да бъде решен с този метод. Вероятността за неутрализирането му, разбира се, не е голяма, но има шанс.

Как да декриптираме файлове, шифровани NO_MORE_RANSOM: архиви

Но има още една техника, която малко хора знаят или дори предполагат. Факт е, че самата операционна система постоянно създава свои собствени резервни копия в сянка (например при възстановяване) или потребителят умишлено създава такива изображения. Както показва практиката, на такива копия вирусът не работи (в структурата му просто не се предоставя, въпреки че не е изключен).

По този начин проблемът за това как да се декриптира NO_MORE_RANSOM се свежда до използването им. Въпреки това не се препоръчва използването на стандартни инструменти за Windows за това (и много потребители няма да имат достъп до скрити копия на всички). Следователно, трябва да използвате инструмента ShadowExplorer (това е преносимо).

За да възстановите, просто трябва да стартирате изпълнимия файл на програмата, да сортирате информацията по дати или секции, да изберете желаното копие (файл, папка или цялата система) и да използвате линия за експортиране от менюто на PCM. След това просто изберете директорията, където ще бъде запазено текущото копие, и след това използвайте стандартния процес на възстановяване.

Помощни програми на трети страни

Разбира се, за проблема как да се дешифрира NO_MORE_RANSOM, много лаборатории предлагат свои собствени решения. Например Kaspersky Lab препоръчва използването на собствен софтуерен продукт Kaspersky Decryptor, представен в две версии - Rakhini и Rector.

Не по-малко интересен поглед и подобни разработки като декодера NO_MORE_RANSOM от Dr. Web. Но тук е необходимо незабавно да се има предвид, че използването на такива програми е оправдано само в случай на бързо откриване на заплаха, стига всички файлове да не са заразени. Ако вирусът е стабилно установен в системата (когато криптираните файлове не могат да бъдат сравнявани с техните некриптирани оригинали), такива приложения може да са безполезни.

В резултат на това

Всъщност заключението предполага само едно: борбата с този вирус е необходима само на етапа на инфекция, когато само първите файлове са криптирани. Като цяло, най-добре е да не се отварят прикачени файлове към имейл съобщенията, получени от съмнителни източници (това се отнася само за клиенти, инсталирани директно на компютъра - Outlook, Oulook Express и др.). Освен това, ако служител на компанията има на разположение списък с адреси на клиенти и партньори, отварянето на "левите" съобщения става напълно непрактично, тъй като мнозинството в процеса на наемане подписва споразумения за неразкриване на търговски тайни и киберсигурност.