NO_MORE_RANSOM - hoe te ûntsiferje de fersifere triemmen?

Ein 2016, de wrâld waard oanfallen troch in tige triviale-Trojan firus fersiferet dokuminten en multymedia, neisyngronisearre NO_MORE_RANSOM. Hoe te ûntsiferjen triemmen nei bleatstelling oan dizze driging, en sil wurde besprutsen fierder. Lykwols, ien kear is it nedich om te warskôgjen alle brûkers dy binne oanfallen, dat der gjin inkel metodyk. Dit wurdt ferbûn mei ien fan de meast avansearre fersifering Algorithmen, en mei de mjitte fan penetraasje fan it firus yn 'e kompjûter systeem, of sels in lokaal gebiet netwurk (hoewol't earstoan op netwurk effekten en it is net berekkene).

Wat in NO_MORE_RANSOM firus en hoe't it wurket?

Algemien, it firus sels as klasse fan Trojans lykas I Love Jo, dy't kringen yn 'e kompjûter systeem en fersiferen fan de brûker fan triemmen (meastal multymedia). Lykwols, as in grandparent ferskilde allinne fersifering, dizze firus is hiel soad liend fan 'e ienris ta bjusterbaarlike bedriging neamd DA_VINCI_COD, kombinearjen op himsels ek funksjonearret afperser.

Nei ynfeksje, de mearderheid fan audio triemmen, fideo, Grafiken en kantoar dokuminten wurdt tawiisd in hiel lange namme mei in taheaksel NO_MORE_RANSOM, mei dêryn in kompleks wachtwurd.

Wannear't iepene berjocht blykt dat de bestannen wurde fersifere en dekodearjen foar it produkt dat jo moatte betelje wat bedrach.

As bedriging te kringen yn it systeem?

Lit ús litte allinne de fraach hoe't, nei de ynfloed NO_MORE_RANSOM ûntsiferje triemmen fan ien fan 'e boppeneamde soarten, en keare ta technology foar ynkringende fan it firus yn it kompjûtersysteem. Spitigernôch, sa corny dat ek klinke, it brûkt âlderwetske manier: fia e-mail komt mei in taheaksel wurdt iepene, de brûker krijt it aktivearjen en kwea-aardich koade.

Oarspronklikens, lykas wy sjen kinne, dizze technyk is net oars. Lykwols, it berjocht kin wurde ferklaaid as in sinleas tekst neat. Of, krekt oarsom, bygelyks, yn it gefal fan 'e gruttere bedriuwen, - in feroaring yn de omstannichheden fan in kontrakt. It wurdt begrepen dat in gewoane griffier iepent de taheaksel, en doe en krijt earme resultaten. Ien fan de moaiste flares waard populêr fersifering pakket bases 1C gegevens. En dit is in serieuze saak.

NO_MORE_RANSOM: how to ûntsiferje de dokuminten?

Mar noch altyd de muoite wurdich om te draaien om de wichtichste fraach. Wiswier, elkenien is ynteressearre yn hoe te ûntsiferje de triemmen. NO_MORE_RANSOM firus hat in opienfolging fan aksjes. As de brûker besiket te fieren ûntsiferjen fuort nei ynfeksje, meitsje it wat oars as mooglik. As de bedriging is stevich fêstigen har yn it systeem, och, sûnder help fan profesjonals kinne net dwaan. Mar binne se faak machteleas.

As de bedriging is ûntdutsen yn in tiid ôf, de wei mar ien - tapassing op antivirus bedriuwen stipe (noch net alle dokuminten binne fersifere) te stjoeren in pear net tagonklik foar it iepenjen fan triemmen en op basis fan de oarspronklike analyze, opslein op útnimbere media, besykje te herstellen al besmetten dokuminten earder kopiearjen op deselde USB flash drive wat oars is beskikber te iepenjen (hoewol't in folsleine garânsje dat it firus is net oer oan sokke dokuminten is net itselde). Dêrnei, foar in ferfierder loyaliteit is it nedich om te kontrolearjen op syn minst in firus scanner (wa wit wat).

algoritme

Wy moatte ek neame it feit dat te fersiferjen it firus brûkt RSA-3072 algoritme, dy't, yn tsjinstelling ta de earder brûkt RSA-2048 technology is sa kompleks, dat de kar fan it juste wachtwurd, ek oannommen dat dit sil him dwaande hâlde mei it hiele kontingint anty-firus Labs , kin nimme moannen of jierren. Sa, de fraach fan hoe't it ûntsiferje NO_MORE_RANSOM, fereaskje nochal tiidslinend. Mar wat as je moatte herstellen ynformaasje fuortendaliks? Earst fan alle - te wiskjen it firus sels.

Is it mooglik en meitsje de firus en hoe om te dwaan it?

Eins, it is net dreech om te dwaan. In wurdearring troch de arrogânsje fan 'e firus skeppers, de driging fan it kompjûtersysteem wurdt net masked. Krekt oarsom - it sels winstgevend "samoudalitsya" nei de ein fan de niisneamde wetlike en bestjoersrjochtlike aksjes.

Lykwols, at earst, nei oanlieding fan de foarsprong fan it firus, dan noch moat neutralized. De earste stap is it brûken fan in draachbere beskermjende nutsfoarsjennings lykas KVRT, Malwarebytes, Dr. Web CureIt! en it like. Tink derom: brûkt te testen it programma moat wêze fan in draachbere type is ferplichte (sûnder it ynstallearjen neat op 'e hurde skiif mei rinnen optimaal fan de media). As in bedriging is ûntdutsen wurdt, dan moat fuortsmiten fuortendaliks.

As sa'n aksje net foarsjoen, moatte jo earst gean nei it "Taak Manager" en ôf te meitsjen alle prosessen ferbûn mei it firus, sortearre troch tsjinst namme (meastal, it proses Runtime Broker).

Nei verwijderen it probleem, wy moatte neame de Boargerlike Editor (Regedit yn it menu "Run") en sykje foar de titel «Client Server Runtime System» (sûnder de quotation marks), en dêrnei mei help fan it move menu op de útkomsten fan 'Find Folgjende ... "om fuortsmite alle fûn items. Folgjende jo moatte werstart de kompjûter, en te leauwen yn 'e "Taak behearder" om te sjen oft der de nedige proses.

Yn prinsipe, de fraach fan hoe't ûntsiferje NO_MORE_RANSOM firus stiet noch op it poadium fan de ynfeksje, en kin oplost wurde troch dizze metoade. De kâns op neutralization, fansels, is lyts, mar der is in kâns.

Hoe te ûntsiferjen triemmen fersifere NO_MORE_RANSOM: backups

Mar der is in oare metoade, dy't net folle minsken witte of sels it derop. It feit dat it bestjoeringssysteem hieltyd skept syn eigen skaad backups (bygelyks yn gefal fan recovery), of troch bewust meitsjen fan sokke bylden. As de praktyk docht bliken, dat firus hat gjin ynfloed op dy kopyen (yn har struktuer, it is gewoanwei net foarsjoen, hoewol't it mooglik is).

Sa, it probleem fan hoe te ûntsiferje NO_MORE_RANSOM, swolmen omleech nei om te brûken dat symboal. Lykwols, te brûken Windows standert ynstruminten binne net oan te rieden foar dizze (en in soad brûkers ta de ferburgen kopyen sille gjin tagong hielendal). Dêrom moatte jo brûke it nut ShadowExplorer (it is draachber).

Om herstellen, gewoan rinne de útfierber programma triem, sortearje de ynformaasje troch datum of titel, selektear de winske kopy (triemmen, mappen, of de hiele systeem) en fia de PCM menu om de eksport line. Fierder gewoan selektearre map wêryn it hjoeddeiske eksimplaar sil opslein wurde en dan brûkt de standert hersteltiid proses.

Tredden ark

Fansels, it probleem fan hoe te ûntsiferje NO_MORE_RANSOM, in protte laboratoariums biede harren eigen oplossings. Bygelyks, "Kaspersky Lab" advisearret it brûken fan har eigen software produkt Kaspersky Decryptor, presintearre yn twa ferzjes - Rakhini en rektor magnifikus.

Net minder nijsgjirrich útstrieling en in fergelykbere ûntjouwing lykas NO_MORE_RANSOM decoder troch Dr. Web. Mar hjir is it nedich direkt te rekken dat it brûken fan sokke programma wurdt rjochtfeardige allinnich yn gefal fan flugge bedriging opspoaren, wylst net alle triemmen binne besmet. As de firus wurdt stevich entrenched yn it systeem (doe fersifere triemen krekt kin net wurde ferlike mei harren net-fersifere orizjinelen), en sa'n applikaasje kin wêze nutteloos.

As gefolch

Yn feite is de konklúzje is mar ien: te fjochtsjen it firus moat wêze allinne op it toaniel fan de ynfeksje, doe't der allinnich de earste fersifering fan triemmen. Yn it algemien, is it bêste net te iepenjen taheaksels yn e-post berjochten ûntfongen fan dubieuze boarnen (dat ferwiist eksklusyf oan klanten, ynstallearre direkt op jo kompjûter - Outlook, Oulook Express, ensfh). Boppedat, as de wurknimmer hat ta syn foldwaan in list fan klanten en partners om te pakken de iepening fan de "Left" berjochten is it hiel inappropriate, lykas de measte yn it ynhieren teken nondisclosure ôfspraken fan hannel geheimen, en cyber feiligens.