NO_MORE_RANSOM - hvordan dekrypteres de krypterte filene?

I slutten av 2016 ble verden angrepet av et svært ikke-trivielt trojansk virus som krypterte brukerdokumenter og multimedieinnhold, kalt NO_MORE_RANSOM. Hvordan dekryptere filer etter virkningen av denne trusselen vil bli vurdert nærmere. Men når du advarer alle brukere som har blitt angrepet, er det ingen enhetlig metode. Dette skyldes bruk av en av de mest avanserte krypteringsalgoritmene, og graden av viruspenetrasjon i datasystemet eller til og med det lokale nettverket (selv om det i utgangspunktet ikke var beregnet for nettverkspåvirkning).

Hva slags virus er NO_MORE_RANSOM og hvordan fungerer det?

Generelt er viruset tilskrives en klasse trojanske som jeg elsker deg som trenger inn i datasystemet og krypterer brukerens filer (vanligvis multimedia). Men hvis forfederen bare var forskjellig i kryptering, tok dette viruset mye fra en en gang sensasjonell trussel, kalt DA_VINCI_COD, og kombinerte funksjonene til utpressingen i seg selv.

Etter infeksjon er de fleste filer av lyd-, video-, grafikk- eller kontordokumenter tildelt et langt navn med NO_MORE_RANSOM-utvidelsen, som inneholder et komplekst passord.

Når du prøver å åpne dem, vises en melding på skjermen som indikerer at filene er kryptert, og du må betale et visst beløp for å dekryptere det.

Hvordan trer trusselen inn i systemet?

La oss stille spørsmål om hvordan du dekrypterer filer av noen av de ovennevnte typene etter eksponeringen av NO_MORE_RANSOM, men vend deg til teknologien for viruspenetrasjon i datasystemet. Dessverre kan det imidlertid høres ut, en gammel, vist metode brukes: En e-postadresse mottar et brev med et vedlegg, som når den åpnes, mottar brukeren en ondsinnet kodeutløser.

Originalen, som vi ser, er denne metoden ikke annerledes. Meldingen kan imidlertid forklart som meningsløs tekst. Eller, tvert imot, for eksempel, hvis det er et spørsmål om store selskaper, - under endring av vilkår for noen kontrakt. Det er klart at rang-og-fil kontorist åpner vedlegget, og deretter mottar et beklagelig resultat. Et av de lyseste utbruddene var kryptering av databasene i den populære 1C-pakken. Og dette er alvorlig virksomhet.

NO_MORE_RANSOM: hvordan dekode dokumenter?

Men likevel er det nødvendig å ta opp hovedspørsmålet. Sikkert er alle interessert i hvordan du dekrypterer filer. Viruset NO_MORE_RANSOM har sin egen sekvens av handlinger. Hvis brukeren prøver å dekryptere umiddelbart etter infeksjon, kan den fortsatt gjøres på en eller annen måte. Hvis trusselen har slått seg fast i systemet, er det uunnværlig uten hjelp fra spesialister. Men de er ofte maktesløse.

Hvis trusselen ble oppdaget i tide, er det bare mulig å kontakte støtteserviceene til antivirusvirksomhetene (ikke alle dokumenter er kryptert ennå), send et par filer som ikke er tilgjengelige for åpning, og på grunnlag av analyse av originaler lagret på flyttbare medier, prøv å gjenopprette allerede infiserte dokumenter Kopiering til samme flash-stasjon alt det som fortsatt er tilgjengelig for åpning (selv om det ikke er noen garanti for at viruset ikke trengte slike dokumenter). Etter at for å være sant, må transportøren kontrolleres minst av en antivirusskanner (du vet aldri hva).

algoritme

Separat skal det sies at viruset bruker RSA-3072-algoritmen for kryptering, som i motsetning til den tidligere brukte RSA-2048-teknologien, er så komplisert at valget av det nødvendige passordet, selv om hele kontingenten til antivirallaboratorier , Kan ta måneder og år Dermed vil spørsmålet om hvordan man dekrypterer NO_MORE_RANSOM kreve ganske mye tid. Men hva om du trenger å gjenopprette informasjon umiddelbart? Først av alt, fjern viruset selv.

Kan jeg slette viruset og hvordan?

Egentlig er det ikke vanskelig å gjøre dette. Dømmer av forvirringen av virusets skapere, er trusselen i datasystemet ikke maskert. Tvert imot er det til og med fordelaktig for henne å "komme seg ut" etter endt handling.

Likevel, i begynnelsen, fortsetter om viruset, bør det likevel bli nøytralisert. Først av alt er det nødvendig å bruke bærbare beskyttelsesverktøy som KVRT, Malwarebytes, Dr.Sc. Web CureIt! Og lignende. Vær oppmerksom på at programmene som brukes til kontroll må være bærbar type uten feil (uten å installere på harddisken med optimal oppstart fra flyttbare medier). Hvis det oppdages en trussel, bør den fjernes umiddelbart.

Hvis dette ikke er tilfelle, må du først gå til Oppgavebehandling og fullføre alle prosessene knyttet til viruset, sortere ut tjenestene etter navn (vanligvis en Runtime Broker-prosess).

Etter at oppgaven er fjernet, må du ringe systemregisterredigeren (regedit i "Run" -menyen) og søke etter navnet "Client Server Runtime System" (uten anførselstegn), og bruk deretter "Finn videre ..." -menyen for å slette alle funnet elementer. Deretter må du starte datamaskinen på nytt og tro på "Oppgavebehandling", om det er en søkeprosess.

I prinsippet kan spørsmålet om hvordan man deklarerer NO_MORE_RANSOM virus ved infeksjonstrinnet, løses ved denne metoden. Sannsynligheten for sin nøytralisering er selvsagt ikke stor, men det er en sjanse.

Slik dekrypterer du filer kryptert NO_MORE_RANSOM: sikkerhetskopier

Men det er en annen teknikk som få folk kjenner eller til og med gjetter om. Faktum er at selve operativsystemet oppretter egne skyggebackup (for eksempel i tilfelle gjenoppretting), eller brukeren oppretter med vilje slike bilder. Som praksis viser, er det på slike kopier at viruset ikke virker (i sin struktur er det ganske enkelt ikke gitt, selv om det ikke er utelatt).

Dermed er problemet med å dekryptere NO_MORE_RANSOM redusert til å bruke dem. Det anbefales imidlertid ikke å bruke standard Windows-verktøy for dette (og mange brukere vil ikke ha tilgang til skjulte kopier i det hele tatt). Derfor må du bruke verktøyet ShadowExplorer (det er bærbart).

For å gjenopprette, trenger du bare å starte programkilden, sortere informasjonen etter datoer eller seksjoner, velg ønsket kopi (fil, mappe eller hele systemet) og bruk eksportlinjen fra PCM-menyen. Deretter velger du bare katalogen der den gjeldende kopien skal lagres, og deretter bruker du standardgjenopprettingsprosessen.

Tredjepartsverktøy

Selvfølgelig, til problemet med å dechiffrere NO_MORE_RANSOM, tilbyr mange laboratorier sine egne løsninger. For eksempel anbefaler Kaspersky Lab å bruke sitt eget programvareprodukt Kaspersky Decryptor, presentert i to versjoner - Rakhini og rektor.

Ikke mindre interessant utseende og lignende utviklinger som dekoderen NO_MORE_RANSOM fra Dr. Web. Men her er det umiddelbart nødvendig å ta hensyn til at bruken av slike programmer er begrunnet bare ved rask oppdagelse av trussel, så lenge alle filer ikke er infisert. Hvis viruset er fast etablert i systemet (når krypterte filer ikke kan sammenlignes med deres ukrypterte originaler), kan slike programmer være ubrukelige.

Som et resultat

Faktisk foreslår konklusjonen bare en: å bekjempe dette viruset er bare nødvendig på infeksjonsstadiet, når bare de første filene er kryptert. Generelt er det best å ikke åpne vedlegg til e-postmeldinger mottatt fra tvilsomme kilder (dette gjelder kun kunder installert direkte på datamaskinen - Outlook, Oulook Express, etc.). I tillegg, hvis en bedriftsmedarbeider har en liste over adresser til klienter og partnere, blir åpningen av "venstre" meldinger helt upraktisk, siden flertallet i ansettelsesprosessen signerer avtaler om ikke-avsløring av forretningshemmeligheter og cybersikkerhet.