NO_MORE_RANSOM - sut i dadgryptio ffeiliau wedi'i amgryptio?

Yn hwyr yn 2016, roedd y byd yn ymosod gan firws dibwys-trojan iawn amgryptio dogfennau a chynnwys amlgyfrwng, NO_MORE_RANSOM alwyd. Sut i dadgryptio ffeiliau ôl bod yn agored i'r bygythiad hwn, a bydd yn cael ei drafod ymhellach. Fodd bynnag, unwaith ei bod yn angenrheidiol i rybuddio holl ddefnyddwyr sydd wedi dioddef ymosodiad, nad oes un fethodoleg. Mae hyn yn gysylltiedig ag un o'r algorithmau amgryptio mwyaf datblygedig, a chyda rhywfaint o dreiddiad firws i mewn i'r system gyfrifiadurol, neu hyd yn oed rhwydwaith ardal leol (er i ddechrau ar effeithiau rhwydwaith ac nid yw'n cael ei gyfrifo).

Beth firws NO_MORE_RANSOM a sut mae'n gweithio?

Yn gyffredinol, mae'r firws ei hun fel dosbarth o Trojans, fel I Love You, sy'n treiddio i mewn i'r system gyfrifiadurol ac amgryptio ffeiliau y defnyddiwr (fel arfer aml-gyfrwng). Fodd bynnag, os taid neu nain yn wahanol yn unig yn amgryptio, firws hwn yn cael ei fenthyg yn fawr rhag y bygythiad unwaith gyffrous o'r enw DA_VINCI_COD, cyfuno yn ei hun hefyd swyddogaethau extortionist.

Ar ôl haint, mae mwyafrif y ffeiliau sain, fideo, graffeg a dogfennau swyddfa cael ei neilltuo enw hir iawn gyda NO_MORE_RANSOM estyniad, sy'n cynnwys cyfrinair cymhleth.

Pan fydd neges agorodd ymddangos bod y ffeiliau yn cael eu hamgryptio a Gwall Rheolwr ar gyfer y cynnyrch angen i chi dalu rhywfaint o swm.

Fel bygythiad i dreiddio i mewn i'r system?

Gadewch i ni adael ei ben ei hun y cwestiwn o sut, ar ôl y NO_MORE_RANSOM effaith ffeiliau o unrhyw un o'r mathau uchod dadgryptio, ac yn troi at dechnoleg ar gyfer treiddio y firws i mewn i'r system gyfrifiadurol. Yn anffodus, fel corny ag y mae'n ymddangos, mae'n defnyddio hen-ffasiwn ffordd: drwy e-bost yn dod gydag atodiad yn cael ei agor, mae'r defnyddiwr yn derbyn y activation a chod maleisus.

Gwreiddioldeb, fel y gallwn weld, y dechneg hon yn ddim gwahanol. Fodd bynnag, gall y neges yn cael ei gwisgo fel unrhyw beth testun ddiystyr. Neu, i'r gwrthwyneb, er enghraifft, yn achos cwmnïau mwy, - newid yn yr amodau contract. Deellir bod clerc arferol yn agor yr atodiad, ac yna ac yn cael canlyniadau gwael. Un o'r fflachiadau mwyaf disglair daeth canolfannau pecyn amgryptio poblogaidd data 1C. Ac mae hyn yn fater difrifol.

NO_MORE_RANSOM: sut i ddehongli dogfennau?

Ond yn dal yn werth yr ymdrech i droi at y prif gwestiwn. Siawns pawb yn ddiddordeb mewn sut i dadgryptio ffeiliau. firws NO_MORE_RANSOM Mae dilyniant o gamau gweithredu. Os bydd y defnyddiwr yn ceisio berfformio dadgriptio yn syth ar ôl haint, yn ei gwneud yn rhywbeth arall ag y bo modd. Os bydd y bygythiad yn cael ei setlo yn gadarn yn y system, gwaetha'r modd, heb gymorth gweithwyr proffesiynol na all ei wneud. Ond maent yn aml yn ddi-rym.

Os bydd y bygythiad wedi cael ei ganfod mewn modd amserol, y ffordd dim ond un - yn berthnasol i gefnogi cwmnïau antivirus (eto nid pob dogfen wedi cael eu hamgryptio) i anfon pâr anhygyrch ar gyfer ffeiliau agor ac ar sail y dadansoddiad gwreiddiol, storio ar y cyfryngau symudadwy, geisio adfer dogfennau eisoes wedi'u heintio yn flaenorol copïo ar yr un USB fflachia cathrena beth bynnag arall sydd ar gael i agor (er nad gwarant llawn nad yw'r feirws wedi lledaenu i ddogfennau o'r fath yn yr un fath). Ar ôl hynny, am teyrngarwch cludwr mae angen i wirio o leiaf sganiwr firws (pwy a ŵyr beth).

algorithm

Dylem hefyd sôn am y ffaith bod i amgryptio y firws yn defnyddio algorithm RSA-3072, sydd, yn wahanol i'r dechnoleg RSA-2048 a ddefnyddiwyd yn flaenorol mor gymhleth, bod y detholiad o'r cyfrinair cywir, hyd yn oed gan dybio y bydd hyn yn delio â'r fintai cyfan o labordai gwrth-firws , gall gymryd misoedd neu flynyddoedd. Felly, y cwestiwn o sut i ddehongli NO_MORE_RANSOM, yn gofyn yn eithaf cymryd llawer o amser. Ond beth os bydd angen i adfer gwybodaeth ar unwaith? Yn gyntaf oll - i ddileu'r firws ei hun.

A yw'n bosibl i gael gwared ar y firws a sut i wneud hynny?

Mewn gwirionedd, nid yw'n anodd i'w wneud. Beirniadu gan y haerllugrwydd y crewyr firws, nid yw y bygythiad y system gyfrifiadurol yn cael ei guddio. I'r gwrthwyneb - mae hyd yn oed yn broffidiol "samoudalitsya" ar ôl diwedd y camau gweithredu uchod.

Er hynny, ar y dechrau, yn dilyn arweiniad y feirws, mae'n dal i gael ei niwtraleiddio. Y cam cyntaf yw defnyddio cludadwy cyfleustodau amddiffynnol fel KVRT, Malwarebytes, Dr. CureIt we! ac yn y blaen. Noder: defnyddir i brofi'r rhaglen dylai fod o fath symudol yn orfodol (heb yn gorseddu unrhyw beth ar y disg caled â rhedeg optimally gan y cyfryngau symudadwy). Os bygythiad yn cael ei ganfod, dylid ei symud ar unwaith.

Os nad yw camau o'r fath yn cael ei ddarparu, mae'n rhaid i chi yn gyntaf yn mynd i'r "Dasgu Manager" ac yn gorffen ei holl brosesau sy'n gysylltiedig â'r feirws, trefnu yn ôl enw gwasanaeth (fel arfer, mae'r broses Runtime Brocer).

Ar ôl cael gwared ar y broblem, mae'n rhaid i ni alw'r Golygydd Gofrestrfa (regedit yn y ddewislen "Run") ac yn chwilio am y teitl «Server Cleient System Runtime» (heb y dyfynodau), ac yna ddefnyddio'r ddewislen symud ar ganlyniadau "Dod o hyd Next ..." i gael gwared ar yr holl eitemau dod o hyd. Nesaf mae angen i chi ailgychwyn y cyfrifiadur, ac i gredu yn y "Dasgu Manager" i weld a oes proses angenrheidiol.

Mewn egwyddor, mae'r cwestiwn o sut i ddehongli firws NO_MORE_RANSOM yn dal i fod ar y llwyfan o haint, a gellir eu datrys gan y dull hwn. Mae'r tebygolrwydd o niwtraleiddio, wrth gwrs, yn fach, ond mae siawns.

Sut i dadgryptio ffeiliau NO_MORE_RANSOM amgryptio: backups

Ond mae yn ddull arall, a oedd yn ychydig o bobl yn gwybod neu hyd yn oed ddyfalu. Mae'r ffaith bod y system yn gweithredu yn gyson yn creu copïau wrth gefn ei gysgod ei hun (er enghraifft, mewn achos o adferiad), neu drwy fwriadol greu delweddau o'r fath. Fel arfer dengys, nid yw firws yw hyn yn effeithio copïau hynny (yn ei strwythur, ei fod yn syml, ni ddarperir, er ei fod yn bosibl).

Felly, y broblem o sut i ddehongli NO_MORE_RANSOM, boils i lawr i er mwyn defnyddio y symbol. Nid yw, fodd bynnag, i ddefnyddio offer safonol Windows yn cael eu hargymell ar gyfer hyn (ac ni fydd llawer o ddefnyddwyr at y copïau cudd yn cael mynediad o gwbl). Felly, mae angen i chi ddefnyddio'r ShadowExplorer cyfleustodau (ei bod yn gludadwy).

I adfer, yn syml yn rhedeg y gweithredadwy ffeil rhaglen, didoli y wybodaeth yn ôl dyddiad neu deitl, dewiswch y copi a ddymunir (ffeiliau, ffolderi, neu y system gyfan) a thrwy ddewislen PCM i ddefnyddio'r linell allforio. Rhagor cyfeiriadur a ddewiswyd yn syml y bydd y copi cyfredol yn cael ei storio, ac yna defnyddio'r broses adfer safonol.

offer trydydd parti

Wrth gwrs, y broblem o sut i ddehongli NO_MORE_RANSOM, mae llawer o labordai yn cynnig eu hatebion eu hunain. Er enghraifft, "Kaspersky Lab" argymell defnyddio ei gynnyrch meddalwedd ei hun Kaspersky Decryptor, a gyflwynir mewn dau fersiwn - Rakhini a Rheithor.

edrych Dim llai diddorol a datblygiad tebyg fel NO_MORE_RANSOM decoder gan Dr. We. Ond dyma ei bod yn angenrheidiol ar unwaith i gymryd i ystyriaeth fod y defnydd o raglenni o'r fath wedi'i gyfiawnhau dim ond mewn achos o ganfod bygythiad gyflym, er nad yw pob un o'r ffeiliau wedi cael eu heintio. Os yw'r firws wedi sefydlu ei hun yn y system (pan amgryptio ffeiliau yn unig ni ellir ei gymharu â'u gwreiddiol heb fod yn amgryptio), ac mae'n bosibl y cais o'r fath yn ddiwerth.

O ganlyniad

Yn wir, y casgliad yw mai dim ond un: i ymladd yn erbyn y firws fod yn unig ar y llwyfan o haint, pan nad oes ond y amgryptio cyntaf o ffeiliau. Yn gyffredinol, mae'n well i beidio ag agor atodiadau mewn negeseuon e-bost a dderbyniwyd o ffynonellau amheus (mae hyn yn cyfeirio yn unig at gwsmeriaid, ei osod yn uniongyrchol ar eich cyfrifiadur - Outlook, Oulook Express, ac ati). Yn ogystal, os yw'r gweithiwr ar gael iddo restr o gwsmeriaid a phartneriaid i fynd i'r afael agor y negeseuon "Chwith" mae'n eithaf amhriodol, fel y rhan fwyaf mewn llogi cytundebau nondisclosure arwydd o cyfrinachau masnachol, a diogelwch seiber.