NO_MORE_RANSOM - hvernig á að afkóða dulritaðar skrár?

Í lok ársins 2016 var heimurinn ráðist af mjög óþægilegum tróverusveitum sem dulkóðuðu notendaskjöl og margmiðlunarefni, sem heitir NO_MORE_RANSOM. Hvernig á að afkóða skrár eftir áhrif þessa ógn verður fjallað frekar. Hins vegar, þegar þú varir öllum notendum sem hafa verið ráðist, er engin samræmd aðferðafræði. Þetta stafar af því að nota einn af háþróuðum dulkóðunaralgoritmum og hversu miklum veirumörkum er í tölvukerfið eða jafnvel á staðarnetið (þótt í upphafi var það ekki hannað fyrir netáhrif).

Hvers konar veira er NO_MORE_RANSOM og hvernig virkar það?

Almennt er veiran sjálft rekja til trúarskóla eins og ég elska þig sem kemst í tölvukerfið og dulkóða skrár notandans (venjulega margmiðlun). Hins vegar, ef forfaðirinn ólíkt aðeins í dulkóðun, tók þetta veira mikið af einu sinni tilkomumiklu ógn sem heitir DA_VINCI_COD og sameinar aðgerðir extortionistins í sjálfu sér.

Eftir sýkingu eru flestar skrár á hljóð-, myndskeiðs-, grafík- eða skrifstofuskjölum úthlutað langt nafn með NO_MORE_RANSOM eftirnafninu, sem inniheldur flókið lykilorð.

Þegar þú reynir að opna þau birtist skilaboð á skjánum sem skrárnar eru dulkóðaðar og þú þarft að greiða ákveðna upphæð til að afkóða það.

Hvernig kemst ógnin inn í kerfið?

Leyfðu okkur að láta undan í augnablikinu spurninguna um hvernig á að afkóða skrár af einhverju ofangreindra gerða eftir að hafa verið útsett fyrir NO_MORE_RANSOM og snúa sér að tækni sem veitir vísbendingar um veira í tölvukerfinu. Því miður, þó að það sé svolítið hörmulegt, þá er gömul sannað aðferð notuð: E-mail fær bréf með viðhengi sem, þegar opnað, fær notandinn illgjarn merkjamál.

Upprunalega, eins og við sjáum, þessi aðferð er ekki öðruvísi. En skilaboðin geta verið dulbúin sem tilgangslaust texta. Eða, þvert á móti, til dæmis, ef það er spurning um stór fyrirtæki, - við breytingar á skilyrðum hvaða samninga. Það er ljóst að staða- og skráarþjónninn opnar viðhengið, og þá fær lamentable niðurstöðu. Ein af bjartustu braustunum var dulkóðun gagnagrunna vinsælustu 1C pakkans. Og þetta er alvarlegt fyrirtæki.

NO_MORE_RANSOM: hvernig á að lesa úr skjölum?

En engu að síður er nauðsynlegt að takast á við helstu spurninguna. Víst er að allir hafi áhuga á því að afkóða skrár. Veiran NO_MORE_RANSOM hefur sína eigin aðgerðarmörk. Ef notandinn reynir að afkóða strax eftir sýkingu getur það samt verið gert einhvern veginn. Ef ógnin hefur komið upp í kerfinu þétt, því miður, án hjálpar sérfræðinga, er ómissandi. En þeir eru oft valdalausir.

Ef ógnin var greind tímanlega er eina leiðin til að hafa samband við stuðningstæki gegn veirufyrirtækjum (ekki hafa öll skjöl verið dulkóðuð ennþá), senda nokkrar skrár sem ekki eru aðgengilegar til að opna og á grundvelli greininga á frumritum sem eru geymdar á færanlegum miðlum, reyndu að endurheimta smitaðar skjöl Afrita á sama glampi ökuferð allt sem er enn í boði til að opna (þó það sé einnig engin trygging fyrir því að veiran hafi ekki komist í slík skjöl). Eftir það, til að vera satt, verður að fara í flugrekandann að minnsta kosti með andstæðingur-veira skanni (þú veist aldrei hvað).

Reiknirit

Sérstaklega ætti að segja að veiran notar RSA-3072 algrím til dulkóðunar, sem ólíkt áður notað RSA-2048 tækni, er svo flókið að val á nauðsynlegu lykilorðinu, jafnvel þótt allt sé háð rannsóknarstofum gegn vírusum , Getur tekið mánuðir og ár Svona, spurningin um hvernig á að afkóða NO_MORE_RANSOM mun þurfa nokkurn tíma. En hvað ef þú þarft að endurheimta upplýsingar strax? Fyrst af öllu, fjarlægðu veiruna sjálft.

Get ég eytt veirunni og hvernig?

Reyndar er það ekki erfitt að gera þetta. Miðað við óhreinindi höfunda vírusins er ógnin í tölvukerfinu ekki hylin. Þvert á móti er það jafnvel hagkvæmt fyrir það að "komast út" eftir lok aðgerða.

Engu að síður, í fyrsta lagi að fara um veiruna, þá ætti það að vera hlutlaus. Fyrst af öllu er nauðsynlegt að nota flytjanlegur verndandi tól eins og KVRT, Malwarebytes, Dr.Sc. Vefur CureIt! Og þess háttar. Vinsamlegast athugaðu: forritin sem notuð eru til að stöðva verður að flytja tegund án þess að mistakast (án þess að setja upp á harða diskinn með bestu byrjun frá færanlegum fjölmiðlum). Ef ógn er að finna ætti það að fjarlægja strax.

Ef þetta er ekki raunin verður þú fyrst að fara í Task Manager og ljúka öllum ferlum sem tengjast veirunni, flokka þjónustuna með nafni (venjulega Runtime Broker ferli).

Eftir að verkefni hefur verið fjarlægt þarftu að hringja í kerfisskrárforritið (regedit í "Run" valmyndinni) og leita að heitinu "Client Server Runtime System" (án tilvitnana) og notaðu síðan "Find Next ..." valmyndina til að eyða öllum fundum. Næst þarftu að endurræsa tölvuna og trúa á "Task Manager", hvort það er leitarferli.

Í meginatriðum er hægt að leysa spurninguna um hvernig á að ráða EN_MORE_RANSOM veira á sýkingarstiginu með þessari aðferð. Líkurnar á hlutleysingu hennar eru auðvitað ekki frábært, en það er tækifæri.

Hvernig á að afkóða skrár dulkóðuð NO_MORE_RANSOM: afrit

En það er ein aðferð sem fáir vita eða jafnvel giska á. Staðreyndin er sú að stýrikerfið sjálft skapar sjálfkrafa eigin skyggnatryggingar (til dæmis ef bati er til staðar) eða notandinn skapar slíkar myndir af ásetningi. Eins og reynsla sýnir er það á slíkum eintökum að veiran virkar ekki (í uppbyggingu er einfaldlega ekki veitt, þótt það sé ekki útilokað).

Þannig er vandamálið með því að afkóða NO_MORE_RANSOM minnkað til að nota þau. Hins vegar er ekki mælt með því að nota staðlaða Windows tól fyrir þetta (og margir notendur munu ekki hafa aðgang að falnum eintökum yfirleitt). Þess vegna þarftu að nota tólið ShadowExplorer (það er flytjanlegt).

Til að endurheimta þarftu bara að ræsa executable skrá áætlunarinnar, raða upplýsingunum eftir dagsetningum eða hlutum, veldu viðkomandi afrit (skrá, möppu eða allt kerfið) og notaðu útflutningslínuna úr PCM valmyndinni. Þá skaltu einfaldlega velja möppuna þar sem núverandi afrit verður vistað og nota þá staðlaða bata aðferðina.

Veitur þriðja aðila

Auðvitað, við vandamálið hvernig á að ráða NO_MORE_RANSOM, bjóða margir rannsóknarstofur eigin lausnir. Til dæmis, Kaspersky Lab mælir með því að nota eigin hugbúnaðarvara Kaspersky Decryptor, sem er kynnt í tveimur útgáfum - Rakhini og Rector.

Ekki síður áhugavert útlit og svipuð þróun eins og deilirinn NO_MORE_RANSOM frá Dr. Vefur. En hér er strax nauðsynlegt að taka tillit til þess að notkun slíkra áætlana sé aðeins réttlætanleg ef um er að ræða örugga uppgötvun ógna, svo lengi sem allar skrár eru ekki smitaðir. Ef veira er staðfastur í kerfinu (þegar dulkóðuð skrá er ekki hægt að bera saman við ókóðað frumrit þeirra), geta slík forrit verið gagnslaus.

Þess vegna

Reyndar er niðurstaðan aðeins til kynna: að berjast gegn þessu veiru er aðeins nauðsynlegt á smitunarstiginu, þegar aðeins fyrstu skrár eru dulkóðuð. Almennt er best að opna viðhengi við tölvupóstskeyti sem berast frá vafasömum heimildum (þetta á aðeins við um viðskiptavini sem eru sett upp beint á tölvunni - Outlook, Oulook Express, osfrv.). Að auki, ef starfsmaður fyrirtækisins hefur yfirráð yfir lista yfir heimilisföng viðskiptavina og samstarfsaðila, opnast "vinstri" skilaboðin alveg óhagkvæm, þar sem meirihluti í ráðningarferlinu er samningur um að ekki sé tilkynnt um viðskiptaleyndarmál og cybersecurity.