Na konci roku 2016 bol svet napadnutýnetriviálny Trojan vírus, ktorý šifruje používateľské dokumenty a multimediálny obsah s názvom NO_MORE_RANSOM. Ako ďalej dešifrovať súbory po dôsledkoch tejto hrozby. Okamžite však stojí za to upozorniť všetkých používateľov, ktorí boli napadnutí, že neexistuje jednotná metodológia. Je to spôsobené použitím jedného z najpokročilejších šifrovacích algoritmov a stupňa penetrácie vírusu do počítačového systému alebo dokonca do lokálnej siete (hoci pôvodne nebol navrhnutý pre sieťový dopad).
Vo všeobecnosti je samotný vírus klasifikovaný ako triedaTrójske kone, ako napríklad Milujem ťa, ktoré prenikajú do počítačového systému a šifrujú súbory používateľa (zvyčajne multimédiá). Avšak, ak sa progenitor líšil iba v šifrovaní, potom tento vírus veľa zrazil hrozivé hrozby s názvom DA_VINCI_COD, ktorý kombinoval funkcie vydierania sám o sebe.
Po infikovaní sa väčšine súborov audio, video, grafiky alebo kancelárskych dokumentov priradí dlhé meno s príponou NO_MORE_RANSOM obsahujúcou zložité heslo.
Pri pokuse o otvorenie sa na obrazovke objaví správa, že súbory sú zašifrované a je potrebné zaplatiť určitú čiastku za dešifrovanie.
Nechajme otázku, ako potomefekty NO_MORE_RANSOM dešifrovať súbory ktoréhokoľvek z vyššie uvedených typov a obrátiť sa na technológiu penetrácie vírusu do počítačového systému. Bohužiaľ, akokoľvek to môže znieť, použije sa stará osvedčená metóda: e-mailová adresa dostane list s prílohou, ktorá pri otvorení používateľ dostane spúšťač škodlivého kódu.
Originálnosť, ako vidíme, táto technika nie jeodlišné. Avšak správa môže byť zamaskovaná ako bezvýznamný text. Alebo naopak, napríklad, ak ide o veľké spoločnosti, - pri zmene podmienok každej zmluvy. Je zrejmé, že obyčajný úradník otvorí prílohu a potom dostane žalostný výsledok. Jedným z najjasnejších prepuknutí bol šifrovanie databáz populárneho balíka 1C. A to je vážny obchod.
Napriek tomu je však potrebné riešiť hlavnú otázku.Určite každý má záujem o dešifrovanie súborov. Vírus NO_MORE_RANSOM má vlastnú sekvenciu akcií. Ak sa používateľ pokúša dešifrovať ihneď po infekcii, môže to byť ešte nejako vykonané. Ak sa hrozba v systéme pevne usadila, bohužiaľ, bez pomoci špecialistov tu je nevyhnutná. Ale často sú bezmocní.
Ak bola hrozba zistená včas, cestaIba jeden - platí pre podporu antivírusových firiem (zatiaľ nie všetky dokumenty boli zašifrované) poslať pár neprístupné pre otváranie súborov a na základe pôvodnej analýzy, uložený na vymeniteľné médium, pokúste sa obnoviť už infikované dokumenty po uložení na flash disk rovnaký USB all čo je stále k dispozícii na objavovanie (aj keď nie je ani záruka, že vírus neprenikol takéto dokumenty). Potom je pravda, že prepravca musí byť skontrolovaný aspoň antivírusovým skenerom (nikdy neviete, čo).
Samostatne je potrebné povedať a že vírus prešifrovanie pomocou RSA-3072 algoritmus, ktorý, na rozdiel od predtým používané RSA-2048 technológia je tak zložitý, že výber správneho hesla, a to aj za predpokladu, že to bude riešiť celý kontingent anti-vírusových laboratóriách môže trvať mesiace alebo roky. To znamená, že otázka, ako dešifrovať NO_MORE_RANSOM, vyžadujú pomerne časovo náročné. Ale čo keď potrebujete okamžite obnoviť informácie? Najskôr odstráňte samotný vírus.
V skutočnosti to nie je ťažké. Pri posudzovaní nečinnosti tvorcov vírusu nie je hrozba v počítačovom systéme maskovaná. Práve naopak, je dokonca výhodné, aby sa po ukončení akcie "dostala von".
Napriek tomu sa najprv venujeme vírusu,Mal by sa však neutralizovať. Najprv je potrebné použiť prenosné ochranné nástroje ako KVRT, Malwarebytes, Dr.Sc. Web CureIt! a podobne. Upozornenie: programy používané na kontrolu musia byť bez problémov prenosné (bez inštalácie na pevný disk s optimálnym spustením z vymeniteľných médií). Ak sa zistí hrozba, okamžite ju odstráňte.
Ak takéto akcie nie sú poskytnuté,musíte najskôr prejsť do Správcu úloh a dokončiť všetky procesy spojené s týmto vírusom a triediť služby podľa názvu (spravidla ide o proces Runtime Broker).
Po odstránení úlohy musíte zavolať editoraregistra (regedit v menu "Run") a hľadať na titul «Client Server Runtime System» (bez úvodzoviek) a potom s využitím výsledkov pohybom menu "Nájsť viac ...", aby sa odstránili všetky nájdené položky. Ďalej je potrebné reštartovať počítač a verí v "Správca úloh", či sa jedná o proces vyhľadávania.
V zásade môže byť touto metódou vyriešená otázka, ako dešifrovať vírus NO_MORE_RANSOM v štádiu infekcie. Pravdepodobnosť neutralizácie, samozrejme, nie je skvelá, ale existuje šanca.
Existuje však ešte jedna technika, z ktorej málo ľudípozná alebo dokonca odhadne. Faktom je, že samotný operačný systém neustále vytvára vlastné zálohovanie tieňov (napríklad v prípade obnovy), alebo používateľ zámerne vytvára takéto obrázky. Ako ukazuje prax, vírus nemá vplyv na takéto kópie (vo svojej štruktúre sa jednoducho neposkytuje, hoci nie je vylúčené).
Tak, problém, ako dešifrovaťNO_MORE_RANSOM, príde na ich použitie. Neodporúča sa však použiť štandardné nástroje systému Windows (a veľa používateľov nebude mať prístup k skrytým kópiám vôbec). Preto musíte použiť nástroj ShadowExplorer (je prenosný).
Ak chcete obnoviť, stačí spustiťspustiteľný programový súbor, zoraďte informácie podľa dátumov alebo sekcií, vyberte požadovanú kópiu (súbor, priečinok alebo celý systém) a použite exportný riadok z ponuky PCM. Potom jednoducho vyberte adresár, v ktorom bude uložená aktuálna kópia, a potom použite štandardný proces obnovy.
Samozrejme, na problém, ako dešifrovaťNO_MORE_RANSOM, mnohé laboratóriá ponúkajú svoje vlastné riešenia. Napríklad spoločnosť Kaspersky Lab odporúča používať vlastný softvérový produkt Kaspersky Decryptor, ktorý je uvedený v dvoch verziách - Rakhini a Rector.
Rovnako zaujímavé sú podobnévývoj dekodéra NO_MORE_RANSOM od Dr. Web. Ale tu je okamžite potrebné zvážiť, že použitie takýchto programov je odôvodnené len v prípade rýchlej detekcie hrozby, pokiaľ nie sú všetky súbory nakazené. Ak je vírus pevne zavedený v systéme (keď nie je možné šifrované súbory porovnávať s ich nezašifrovanými originálmi), takéto aplikácie môžu byť zbytočné.
V skutočnosti existuje len jeden záver:Boj proti tomuto vírusu je potrebný iba v štádiu infekcie, keď sú šifrované iba prvé súbory. Všeobecne platí, že je lepšie otvoriť prílohy v e-mailových správ prijatých z pochybných zdrojov (to sa vzťahuje výhradne pre zákazníkov, inštalovaný priamo na počítači - Outlook, Oulook Express, atď.). Okrem toho, v prípade, že zamestnanec má k dispozícii zoznam zákazníkov a partnerov s cieľom riešiť otvorenie "left" správ, to je celkom nevhodné, pretože väčšina pri prijímaní dohôd znamení dôvernosť obchodných tajomstiev a kybernetickej bezpečnosti.