688 Shares 4926 views

NO_MORE_RANSOM – come decifrare i file crittografati?

Alla fine del 2016, il mondo è stato attaccato da un virus molto banale-Trojan crittografa i documenti e contenuti multimediali, NO_MORE_RANSOM doppiato. Come decifrare i file dopo l'esposizione a questa minaccia, e sarà discusso ulteriormente. Tuttavia, una volta che è necessario mettere in guardia tutti gli utenti che sono stati attaccati, che non esiste una metodologia unica. Questo è collegato con uno degli algoritmi di crittografia più avanzati, e con il grado di penetrazione del virus nel sistema informatico, o anche una rete locale (anche se inizialmente sugli effetti di rete e non viene calcolato).

Quello che un virus NO_MORE_RANSOM e come funziona?

In generale, il virus stesso come classe di Trojan come Ti amo, che penetrano nel sistema informatico e la crittografia file dell'utente (di solito multimediali). Tuttavia, se un nonno differiva solo la crittografia, questo virus è molto preso in prestito dalla minaccia una volta sensazionale chiamato DA_VINCI_COD, che unisce in sé funziona anche ricattatore.

Dopo l'infezione, la maggior parte dei file audio, video, grafica e documenti d'ufficio viene assegnato un nome molto lungo con una NO_MORE_RANSOM estensione, contenente una password complessa.

Quando viene visualizzato il messaggio aperto che i file sono criptati e la decrittografia per il prodotto è necessario pagare una certa quantità.

Come una minaccia per penetrare nel sistema?

Lasciamo da solo la questione di come, dopo l'impatto NO_MORE_RANSOM decifrare i file di qualsiasi tipo di cui sopra, e ci rivolgiamo alla tecnologia per penetrare il virus nel sistema informatico. Purtroppo, come banale come può sembrare, utilizza vecchia maniera: via e-mail viene fornito con un allegato viene aperto, l'utente riceve l'attivazione e il codice dannoso.

Originalità, come possiamo vedere, questa tecnica non è diverso. Tuttavia, il messaggio può essere mascherato da un nulla di testo senza senso. O, al contrario, per esempio, nel caso delle aziende più grandi, – una modifica delle condizioni del contratto. Resta inteso che un impiegato normale apre l'allegato, e poi e ottiene scarsi risultati. Uno dei razzi più brillanti è diventato popolare basi pacchetto crittografia dei dati 1C. E questa è una cosa seria.

NO_MORE_RANSOM: come decifrare i documenti?

Ma ancora vale la pena di girare per la questione principale. Sicuramente tutti sono interessati a come decifrare i file. virus NO_MORE_RANSOM ha una sequenza di azioni. Se l'utente tenta di eseguire la decrittografia subito dopo l'infezione, lo rendono qualcosa d'altro possibile. Se la minaccia è saldamente risolta nel sistema, ahimè, senza l'aiuto di professionisti non possono fare. Ma spesso sono impotenti.

Se è stata rilevata la minaccia in modo tempestivo, il modo in cui una sola – si applica a supportare le aziende di antivirus (ma non tutti i documenti sono stati criptato) per inviare un paio inaccessibile per l'apertura dei file e sulla base dell'analisi originale, memorizzati su supporti rimovibili, tentare di ripristinare i documenti già infetti in precedenza la copia sulla stessa unità flash USB qualsiasi altra cosa è disponibile per aprire (anche se una piena garanzia che il virus non si è diffuso in tali documenti non è lo stesso). Dopo di che, per una fedeltà portante è necessario controllare almeno uno scanner antivirus (chissà cosa).

algoritmo

Da ricordare anche il fatto che per crittografare il virus utilizza l'algoritmo RSA-3072, che, in contrasto con la tecnologia RSA-2048 precedentemente utilizzato è così complesso, che la selezione della password corretta, anche supponendo che questo si occuperà l'intero contingente di laboratori anti-virus , potrebbero essere necessari mesi o anni. Così, la questione di come decifrare NO_MORE_RANSOM, richiede molto tempo. Ma cosa succede se è necessario ripristinare immediatamente le informazioni? Prima di tutto – per eliminare il virus stesso.

E 'possibile rimuovere il virus e come farlo?

In realtà, non è difficile da fare. A giudicare dalla prepotenza dei creatori di virus, la minaccia del sistema informatico non è mascherato. Al contrario – è anche redditizio "samoudalitsya" dopo la fine delle azioni di cui sopra.

Tuttavia, in un primo momento, seguendo l'esempio del virus, ancora deve essere neutralizzato. Il primo passo è quello di utilizzare un portatile utilità protettivi come KVRT, Malwarebytes, Dr. CureIt web! e simili. Nota: utilizzato per testare il programma dovrebbe essere di tipo portatile è obbligatoria (senza installare nulla sul disco fisso con l'esecuzione in modo ottimale dal supporto rimovibile). Se viene rilevata una minaccia, dovrebbe essere rimosso immediatamente.

Se non viene fornita tale azione, è necessario andare alla "Task Manager" e finire tutti i processi associati al virus, ordinati per nome del servizio (in genere, il processo di runtime Broker).

Dopo aver rimosso il problema, dobbiamo chiamare l'Editor del Registro di sistema (regedit nel menu "Run") e cercare il titolo «Sistema Client Server Runtime» (senza le virgolette), e quindi utilizzando il menu mossa sui risultati di "Trova successivo …" per rimuovere tutti gli elementi trovati. Dopodiché è necessario riavviare il computer, e di credere nella "Task Manager" per vedere se c'è il processo richiesto.

In linea di principio, la questione di come decifrare il virus NO_MORE_RANSOM è ancora in fase di infezione, e può essere risolto con questo metodo. La probabilità di neutralizzazione, naturalmente, è piccola, ma c'è una possibilità.

Come decifrare i file crittografati NO_MORE_RANSOM: backup

Ma c'è un altro metodo, che pochi conoscono o anche indovinare. Il fatto che il sistema operativo crea costantemente i propri archivi ombra (ad esempio, in caso di recupero), o creando deliberatamente tali immagini. Come dimostra la pratica, questo virus non influisce quelle copie (nella sua struttura, è semplicemente non previsti, anche se è possibile).

Quindi, il problema di come decifrare NO_MORE_RANSOM, si riduce a, al fine di utilizzare quel simbolo. Tuttavia, per utilizzare strumenti standard di Windows non sono raccomandati per questo (e molti utenti alle copie nascoste non avranno accesso a tutti). Pertanto, è necessario utilizzare l'utility ShadowExplorer (è portatile).

Per ripristinare, basta eseguire il file eseguibile file di programma, ordinare le informazioni in base alla data o il titolo, selezionare la copia desiderata (file, cartelle o l'intero sistema) e tramite il menu PCM di utilizzare la linea di esportazione. Ulteriori directory semplicemente selezionato in cui verrà memorizzato la copia corrente e quindi utilizza il processo di recupero standard.

strumenti di terze parti

Naturalmente, il problema di come decifrare NO_MORE_RANSOM, molti laboratori offrire le proprie soluzioni. Ad esempio, "Kaspersky Lab" raccomanda l'uso del proprio prodotto software Kaspersky Decryptor, presentato in due versioni – Rakhini e Rettore.

aspetto non meno interessante e uno sviluppo simile come NO_MORE_RANSOM decoder dal Dr. Web. Ma qui è necessario subito a prendere in considerazione che l'utilizzo di tali programmi è giustificato solo in caso di rilevamento rapido delle minacce, mentre non tutti i file sono stati infettati. Se il virus è saldamente radicata nel sistema (quando i file crittografati proprio non può essere confrontato con i loro originali non crittografati), e tale applicazione può essere inutile.

In seguito

Infatti, la conclusione è una sola: per combattere il virus deve essere esclusivamente sulla fase di infezione, quando non v'è solo il primo di crittografia dei file. In generale, è meglio non aprire gli allegati a messaggi di posta elettronica ricevuti da fonti dubbie (questo si riferisce esclusivamente ai clienti, installato direttamente sul vostro computer – Outlook, Oulook Express, ecc). Inoltre, se il lavoratore ha a disposizione un elenco di clienti e partner per affrontare l'apertura dei messaggi "sinistra" è del tutto inadeguato, come la maggior parte delle assunzioni segno accordi di non divulgazione di segreti commerciali, e sicurezza informatica.