NO_MORE_RANSOM - hogyan lehet visszafejteni a titkosított fájlokat?

A késői 2016-ban a világ megtámadta egy nagyon triviális trójai vírus titkosítja dokumentumok és multimédiás tartalmak, szinkronizált NO_MORE_RANSOM. Hogyan visszafejteni fájlok expozíció után ezt a veszélyt, és azt az alábbiakban. Azonban, ha ez szükséges, hogy figyelmeztessék a felhasználókat, akik már megtámadták, hogy nincs egységes módszertan. Ehhez kapcsolódik az egyik legfejlettebb titkosítási algoritmusokat, valamint a behatolást a vírus a számítógépes rendszer, vagy akár a helyi hálózaton (bár kezdetben a hálózati hatások és azt nem számítjuk).

Milyen NO_MORE_RANSOM vírus, és hogyan működik?

Általában maga a vírus, mint osztálya trójaiak, mint a Szeretlek, amely behatol a számítógépes rendszer és titkosítása a felhasználó fájlok (általában multimédia). Azonban, ha a nagyszülő különbözött csak a titkosítást, ez a vírus nagyon kölcsönzött egyszer szenzációs fenyegetés nevezett DA_VINCI_COD egyesíti önmagában is működik zsaroló.

A fertőzés után a legtöbb audió fájlokat, videó, grafika és irodai dokumentumok van rendelve egy nagyon hosszú neve hosszabbító NO_MORE_RANSOM, amely egy bonyolult jelszót.

Amikor kinyitotta az üzenet jelenik meg, hogy a fájlok titkosított és a visszafejtés a termék meg kell fizetni bizonyos összeget.

Mint egy fenyegetés, hogy behatoljon a rendszert?

Hagyjuk egyedül az a kérdés, hogy hogyan, az ütközés után NO_MORE_RANSOM visszafejteni fájlok bármilyen a fenti típusú, és kapcsolja be a technológia, amely behatol a vírus a számítógépes rendszer. Sajnos, mint elcsépelt hangzik, akkor használja a régi vágású módon: e-mailben jön egy mellékletet megnyitják, a felhasználó megkapja az aktiválási és a rosszindulatú kódot.

Eredetiség, mint látjuk, ez a technika nem különbözik. Ugyanakkor az üzenet lehet álcázott értelmetlen szöveg semmit. Vagy éppen ellenkezőleg, például a nagyobb cégek esetében, - a változás a körülmények a szerződés. Magától értetődik, hogy egy közönséges jegyző megnyitja a mellékletet, majd és megkapja rossz eredmények. Az egyik legfényesebb fáklyák népszerűvé vált titkosító csomag bázisok 1C adatokat. És ez egy komoly dolog.

NO_MORE_RANSOM: hogyan megfejteni a dokumentumokat?

De még mindig megéri viszont a fő kérdés. Bizonyára mindenki érdekelt abban, hogyan kell feloldani a titkosítást. NO_MORE_RANSOM vírus egy műveletsor. Ha a felhasználó megpróbálja végrehajtani dekódolás közvetlenül a fertőzés után, hogy valami mást, mint lehetséges. Ha a fenyegetés szilárdan telepedett le a rendszer, sajnos, anélkül, hogy szakemberek segítségével nem tud. De gyakran tehetetlen.

Ha a veszély már kimutatható egy időben, ahogy csak egy - alkalmazni antivírus cégek támogatása (még nem minden dokumentum titkosítva), hogy küldjön egy pár megközelíthetetlen fájlok megnyitását és az alapján az eredeti elemzés, cserélhető adathordozókon tárolt, próbálja meg visszaállítani a már fertőzött dokumentumot korábban másolás ugyanazon az USB flash meghajtó bármi mást elérhető megnyitni (bár egy teljes garancia arra, hogy a vírus nem terjedt át az ilyen dokumentumok nem ugyanaz). Ezt követően, a fuvarozó hűség szükséges ellenőrizni legalább egy víruskeresőt (ki tudja mit).

algoritmus

Azt is meg kell említeni, hogy titkosítja a vírus RSA-3072 algoritmus, ami, ellentétben a korábban használt RSA-2048 technológia annyira összetett, hogy a választás a helyes jelszót, még ha feltételezzük is, hogy ez fog foglalkozni a teljes függő anti-vírus labs , lehet, hogy hónapokig vagy évekig. Így a kérdés, hogyan lehet megfejteni NO_MORE_RANSOM igényelnek meglehetősen időigényes. De mi van, ha vissza kell állítani információt haladéktalanul? Először is -, hogy törölje magát a vírust.

Lehetséges, hogy távolítsa el a vírust, és hogyan kell csinálni?

Tulajdonképpen ez nem nehéz csinálni. Ítélve az arrogancia a vírus alkotók, a fenyegetés, a számítógépes rendszer nem vak. Éppen ellenkezőleg - még nyereséges „samoudalitsya” vége után a fent említett intézkedéseket.

Mindazonáltal az első, miután a vezető a vírus, még mindig semlegesíteni kell. Az első lépés az, hogy egy hordozható védő segédprogramok, mint KVRT, Malwarebytes, Dr. Web CureIt! és hasonlók. Megjegyzés: tesztelésére használt program legyen egy hordozható típus kötelező (telepítése nélkül semmit a merevlemez optimális működését a cserélhető adathordozóról). Ha fenyegetést észlel, akkor azonnal el kell távolítani.

Ha az ilyen intézkedés nem áll rendelkezésre, akkor először megy a „Task Manager”, és befejezni az összes kapcsolódó folyamatok a vírust, rendezve szolgáltatás nevét (rendszerint a folyamat futási Broker).

Miután eltávolította a problémát, meg kell hívni a Registry Editor (regedit a menüben a „Run”), és keressen a cím «Client Server Runtime rendszer» (idézőjelek nélkül), majd az áthelyező menü az eredményeket „Következő ...”, hogy távolítsa el az összes találatot. Ezután meg kell indítani a számítógépet, és hinni a „Task Manager”, hogy ha ott van a szükséges folyamatot.

Elvileg a kérdés, hogyan lehet megfejteni NO_MORE_RANSOM vírus még a színpadon a fertőzés, és meg lehet oldani ezzel a módszerrel. Annak a valószínűsége, semlegesítés, persze, kicsi, de van esély.

Hogyan visszafejteni fájlok titkosított NO_MORE_RANSOM: mentések

De van egy másik módszer, amely kevés ember tudja, vagy akár kitalálni. Az a tény, hogy az operációs rendszer folyamatosan létrehozza a saját árnyéka mentést (például abban az esetben, hasznosítás), vagy szándékosan létre ilyen képeket. Mivel a gyakorlat azt mutatja, ez a vírus nem érinti azokat a másolatokat (annak szerkezetét, ez egyszerűen nem áll rendelkezésre, bár az is lehetséges).

Így a probléma, hogy hogyan lehet megfejteni NO_MORE_RANSOM, csapódik le, hogy ahhoz, hogy használni, hogy a szimbólum. Ahhoz azonban, hogy a Windows szabványos eszközök nem ajánlott ez a (és sok felhasználó, hogy a rejtett másolatok nem férhetnek egyáltalán). Ezért van szükség a használatot ShadowExplorer (ez hordozható).

Helyreállítani, egyszerűen a futtatáshoz program fájl, rendezni az adatokat dátum vagy cím, válassza ki a kívánt másolási (fájlok, mappák vagy a teljes rendszer), és a PCM menü használata az export vonalon. További egyszerűen kiválasztott könyvtár, amelyben az aktuális példányt el kell tárolni, majd a szabványos helyreállítási folyamat.

Harmadik féltől származó eszközök

Természetesen a probléma, hogyan kell megfejteni NO_MORE_RANSOM, számos laboratóriumban kínál saját megoldásokat. Például a „Kaspersky Lab” használatát javasolja a saját szoftver termék Kaspersky Decryptor bemutatott két változatban - Rakhini rektora.

Nem kevésbé érdekes nézni, és a hasonló fejlesztési mint NO_MORE_RANSOM dekóder Dr. Web. De itt meg kell, hogy azonnal vegyék figyelembe, hogy az ilyen programok használatát csak akkor indokolt, ha a gyors fenyegetésészlelés, bár nem az összes fájl fertőzött. Ha a vírus szilárdan beépült a rendszerbe (ha titkosított fájlokat egyszerűen nem lehet összehasonlítani a nem titkosított eredeti), és ilyen alkalmazás lehet haszontalan.

Ennek eredményeképpen

Tény, hogy a következtetés csak egy: a harcot a vírus kell kizárólag a fertőzés stádiuma, amikor csak az első fájl-. Általában az a legjobb, hogy ne nyissa mellékletek e-mail üzeneteket kapott kétes forrásokból (ez vonatkozik a kizárólag az ügyfelek, telepíteni közvetlenül a számítógépre - Outlook, Oulook Express, stb.) Ezen felül, ha a munkavállaló rendelkezésére áll egy listát a vásárlók és a partnerek kezelése megnyitása a „bal” üzenet elég megfelelő, mivel a legtöbb felvételével jele titoktartási megállapodásokat az üzleti titkok és számítógépes biztonság.