NO_MORE_RANSOM - kung paano upang i-decrypt ang naka-encrypt na file?

Sa katapusan ng 2016, ang mundo ay inaatake sa pamamagitan ng isang napaka-walang kuwenta-trojan virus ine-encrypt ng mga dokumento at multimedia nilalaman, Naka-dub NO_MORE_RANSOM. Paano upang i-decrypt file pagkatapos ng pagkalantad sa ito pagbabanta, at tatalakayin pa. Gayunpaman, sa sandaling ito ay kinakailangan upang bigyan ng babala ang lahat ng mga gumagamit na na-tinutuligsa, na walang iisang pamamaraan. Ito ay konektado sa isa sa mga pinaka-advanced encryption algorithm, at sa antas ng baon ng mga virus sa system ng computer, o kahit na isang lokal na lugar network (kahit na sa una sa mga epekto ng network at ito ay hindi kinakalkula).

Kung ano ang isang NO_MORE_RANSOM virus at paano ito gumagana?

Sa pangkalahatan, ang virus mismo bilang klase ng mga Trojans tulad ng Mahal kita, na tumagos sa ang computer system at pag-encrypt mga file ng user (karaniwan multimedia). Gayunman, kung ang isang lolo o lola differed lamang ng pag-encrypt, ito virus ay napaka hiramin mula sa isang beses magagandang mga banta tinatawag DA_VINCI_COD, pagsasama-sama sa kanyang sarili din function mansasamantala.

Pagkatapos ng impeksyon, ang karamihan ng mga file na audio, video, graphics at opisina ng mga dokumento ay bibigyan ng isang napaka-haba ng pangalan na may isang extension NO_MORE_RANSOM, na naglalaman ng isang kumplikadong password.

Kapag binuksan mensahe ay lilitaw na ang mga file ay naka-encrypt at decryption para sa produkto na kailangan mong magbayad ng ilang mga halaga.

Bilang isang banta sa tumagos sa system?

Ipaalam sa amin mag-iwan mag-isa ang tanong ng kung paano, pagkatapos ng epekto NO_MORE_RANSOM decrypt file ng alinman sa mga uri sa itaas, at lumiko sa teknolohiya para sa matalim ang virus sa system computer. Sa kasamaang palad, bilang mabutil bilang ito ay maaaring tunog, ginagamit nito makaluma paraan: sa pamamagitan ng e-mail ay may isang attachment ay binuksan, ang gumagamit ay makakatanggap ng pag-activate at malisyosong code.

Pagka-orihinal, tulad ng maaari naming makita, pamamaraan na ito ay hindi naiiba. Gayunman, ang mensahe ay maaaring disguised bilang walang kahulugan text kahit ano. O kaya naman, sa laban, halimbawa, sa kaso ng mga mas malalaking kumpanya, - isang pagbabago sa kundisyon ng kontrata. Ito ay nauunawaan na isang ordinaryong klerk bubukas ang attachment, at pagkatapos ay at ay makakakuha ng mahihirap na mga resulta. Isa sa pinakamaliwanag na flares ay naging popular na mga base encryption pakete 1C data. At ito ay isang seryosong bagay na ito.

NO_MORE_RANSOM: paano sa maintindihan ang mga dokumento?

Ngunit pa rin katumbas ng halaga upang i-on sa pangunahing tanong. Tiyak lahat ng tao ay interesado sa kung paano upang i-decrypt ang mga file. NO_MORE_RANSOM virus ay may isang pagkakasunod-sunod ng mga aksyon. Kung ang user ay sumusubok upang isagawa decryption kaagad pagkatapos ng impeksyon, gumawa pa ito ng isang bagay hangga't maaari. Kung ang pagbabanta ay matatag na nanirahan sa sistema, sayang, nang walang tulong ng mga propesyonal ay hindi maaaring gawin. Ngunit ang mga ito ay madalas na walang kapangyarihan.

Kung ang pagbabanta ay napansin sa isang napapanahong paraan, ang paraan ng isa lamang - mag-apply sa pag antivirus kumpanya (pa hindi lahat ng mga dokumento ay naka-encrypt) upang magpadala ng isang pares hindi naa-access para sa pagbubukas ng mga file at sa batayan ng orihinal na pagtatasa, naka-imbak sa naaalis na media, subukan upang ibalik ang naka-impeksyon dokumento dati pagkopya sa parehong USB flash drive kahit na ano pa ay magagamit upang buksan (bagaman isang ganap na garantiya na ang virus ay hindi kumalat sa naturang mga dokumento ay hindi pareho). Pagkatapos nito, para sa isang carrier ng katapatan ito ay kinakailangan upang suriin ang hindi bababa sa isang virus scanner (na nakakaalam kung ano).

algorithm

Dapat din namin banggitin ang katotohanan na upang i-encrypt ang virus ay gumagamit ng RSA-3072 algorithm, na kung saan, sa kaibahan sa nakaraang ginamit RSA-2048 teknolohiya ay kaya mahirap unawain, na ang pagpili ng ang tamang password, kahit na ipagpalagay na ito ay humarap sa ang buong delegasyon ng mga anti-virus laboratoryo , maaaring tumagal ng buwan o taon. Kaya, ang tanong ng kung paano unawain NO_MORE_RANSOM, ay nangangailangan ng lubos na oras-ubos. Ngunit ano kung kailangan mong ibalik ang impormasyon ay agad-agad? Una sa lahat - upang tanggalin ang virus mismo.

Posible upang alisin ang virus at kung paano ito gawin?

Sa totoo lang, ito ay hindi mahirap na gawin. Sa paghusga sa balat sa pamamagitan ng pagmamataas ng mga tagalikha ng virus, ang banta ng sistema ng computer ay hindi lihim. Sa kabilang banda - mas pinakinabangang "samoudalitsya" pagkatapos ng dulo ng abovementioned mga aksyon.

Gayunpaman, sa una, ng pagsunod sa mga nangunguna ng mga virus, ito pa rin ay dapat na neutralized. Ang unang hakbang ay ang paggamit ng isang portable na proteksiyon mga utility tulad ng KVRT, Malwarebytes, Dr. Web CureIt! at iba pa. Tandaan: ginagamit upang subukan ang mga programa ay dapat ng isang portable type ay ipinag-uutos (nang walang pag-install ng anumang bagay sa hard drive na may tumatakbong makita nang husto mula sa naaalis na media). Kung ang isang banta ay nakita, dapat itong maalis kaagad.

Kung ang naturang pagkilos ay hindi ibinigay, dapat mo munang pumunta sa "Task Manager" at tapusin nito ang lahat ng mga proseso na kaugnay sa mga virus, pinagsunod-sunod sa pamamagitan ng pangalan ng serbisyo (kadalasan, ang proseso Runtime Broker).

Matapos alisin ang problema, kailangan naming tawagan ang Registry Editor (regedit sa menu "Run") at maghanap para sa pamagat «Client Server Runtime System» (nang walang mga panipi), at pagkatapos ay ang paggamit ng paglipat menu sa ang mga resulta ng "Hanapin ang Susunod ..." upang tanggalin ang lahat ng mga nahanap na mga item. Susunod na kailangan mong i-restart ang computer, at maniwala sa "Task Manager" upang makita kung may ay ang mga kinakailangang proseso.

Sa prinsipyo, ang tanong ng kung paano sa maintindihan NO_MORE_RANSOM virus ay pa rin sa yugto ng impeksiyon, at maaaring malutas sa pamamagitan ng pamamaraang ito. Ang posibilidad ng neutralisasyon, siyempre, ay maliit, ngunit mayroong isang pagkakataon.

Paano upang i-decrypt file na naka-encrypt NO_MORE_RANSOM: pag-backup

Ngunit may ay isa pang paraan, na kung saan ilang mga taong kilala o kahit na hula. Ang katotohanan na ang mga operating system ay patuloy na lumilikha ng sarili nitong pag-backup shadow (halimbawa, sa kaso ng pagbawi), o sa pamamagitan ng sadyang paglikha ng tulad ng mga imahe. Bilang pagsasanay nagpapakita, ito virus ay hindi nakakaapekto sa mga kopya (sa kaayusan nito, ito ay nagre-hindi ibinigay, kahit na ito ay posible).

Sa gayon, ang problema ng kung paano sa maintindihan NO_MORE_RANSOM, kahulihan babagsak ito upang upang magamit na simbolo. Gayunman, ang paggamit ng Windows standard tool na ito ay hindi inirerekomenda para sa ito (at maraming mga gumagamit na ang mga nakatagong mga kopya ay hindi magkakaroon ng access sa lahat). Samakatuwid, kailangan mong gamitin ang utility ShadowExplorer (ito ay portable).

Upang ipanumbalik, kailangan lang patakbuhin ang executable program file, ayusin ang impormasyon ayon sa petsa o pamagat, piliin ang nais na kopya (mga file, mga folder, o ang buong system) at sa pamamagitan ng menu PCM upang gamitin ang pag-export linya. Dagdag dito lang napiling direktoryo na kung saan ang kasalukuyang kopya ay naka-imbak at pagkatapos ay gumagamit ng standard proseso ng pagbawi.

mga tool ng third-party

Of course, ang problema ng kung paano sa maintindihan NO_MORE_RANSOM, maraming mga laboratoryo ay nag-aalok ng kanilang sariling mga solusyon. Halimbawa, "Kaspersky Lab" na inirekomenda ng paggamit ng kanyang sariling software na produkto Kaspersky Decryptor, iniharap sa dalawang bersyon - Rakhini at Rector.

Walang mas mababa kagiliw-giliw na hitsura at isang katulad na pag-unlad tulad ng NO_MORE_RANSOM decoder sa pamamagitan ng Dr. Web. Ngunit dito ito ay kinakailangan kaagad na kumuha sa account na ang paggamit ng naturang program ay nabigyang-katarungan lamang sa kaso ng mabilis na pag-detect ng banta, habang hindi lahat ng mga file ay nai-impeksyon. Kung ang virus ay matatag nakabaon sa sistema (kapag naka-encrypt mga file lamang ay hindi maaaring kumpara sa kanilang mga di-naka-encrypt na mga orihinal), at tulad ng application ay maaaring maging walang silbi.

Bilang isang resulta

Sa katunayan, ang konklusyon ay isa lamang: upang labanan ang virus ay dapat na para lamang sa yugto ng impeksyon, kapag may lamang ang unang pag-encrypt ng file. Sa pangkalahatan, ito ay pinakamahusay na hindi upang buksan ang mga attachment sa e-mail na mensahe na natanggap mula sa mga kahina-hinala mga pinagmulan (ito ay tumutukoy eksklusibo sa mga customer, na naka-install nang direkta sa iyong computer - Outlook, Oulook Express, atbp). Sa karagdagan, kung ang empleyado ay sa kanyang pagtatapon ng isang listahan ng mga customer at mga kasosyo upang tugunan ang pagbubukas ng mga "Kaliwa" na mensahe ito ay lubos na hindi naaangkop, tulad ng karamihan sa pagtanggap ng empleyado sign hindi pagsisiwalat kasunduan ng kalakalan lihim, at cyber seguridad.