На крају 2016. године, на свет је нападнутне-тривијални вирус који шифрира корисничка документа и мултимедијални садржај назван НО_МОРЕ_РАНСОМ. Како дешифрирати датотеке након утицаја ове претње ће се даље разматрати. Међутим, одмах вриједи упозорити све кориснике који су нападнути да не постоји униформна методологија. Ово је због употребе једног од најнапреднијих алгоритама за шифровање и степена пенетрације вируса у рачунарски систем или чак у локалну мрежу (иако у почетку није био дизајниран за утицај мреже).
Уопште, сам вирус је класификован као класаТројанци такви као И Лове Иоу, који продиру у компјутерски систем и шифровање датотека корисника (обично Мултимедиа). Међутим, ако је деда разликовао само енкрипцију, овај вирус је веома позајмљен од једном сензационалном претњу по имену ДА_ВИНЦИ_ЦОД, комбинујући у себи такође функционише изнудјивац.
Након инфекције, већина датотека аудио, видео, графичких или канцеларијских докумената додељује се дугом имену са додатком НО_МОРЕ_РАНСОМ који садржи сложену лозинку.
Када покушате да их отворите, на екрану се појављује порука која показује да су датотеке шифроване, а ви морате платити одређену количину за дешифровање.
Оставим пока в покое вопрос о том, как после ефекти НО_МОРЕ_РАНСОМ декриптирају датотеке било ког од горе наведених типова и окрените се технологији пенетрације вируса у рачунарски систем. Нажалост, колико год звучало звучно, користи се стара проверена метода: адреса е-поште добија писмо са прилогом, који, када се отвори, корисник прима окидач злонамерног кода.
Оригиналити, као што видимо, ова техника нијеразликује се. Међутим, порука може бити прикривена као бесмислен текст. Или, напротив, на примјер, ако се ради о великим компанијама, - под промјеном услова било ког уговора. Јасно је да обичан службеник отвара везу, а затим прима жалосан резултат. Једна од најсјајнијих епидемија била је шифровање база података популарног 1Ц пакета. А ово је озбиљан посао.
Али, ипак је неопходно рећи на главно питање.Сигурно је све заинтересовано како дешифрирати датотеке. Вир НО_МОРЕ_РАНСОМ има свој низ акција. Ако корисник покуша да се декриптује одмах након инфекције, то се ипак може учинити некако. Ако је пријетња одлучно ријешена у систему, нажалост, без помоћи стручњака овдје је неопходна. Али често су немоћни.
Ако је претња откривена благовремено, стазаСамо један - важи за антивирусних компанија подршке (још није сва документа су кодиран) да пошаље пар недоступан за отварање фајлова и на основу оригиналне анализе, који се налазе на преносним медијима, покушати вратити већ заражених докумената након снимања на истом УСБ флеш диск све шта је доступан за отварање (иако пуна гаранција да се вирус не шири се таквих докумената је и нема). Након тога, за носач лојалности потребно је провјерити барем вирус скенер (ко зна шта).
Одвојено је потребно рећи и да је вирус зашифрирање користећи РСА 3072 алгоритам, који, за разлику од претходно користили РСА 2048 технологија је толико сложен да је избор исправну лозинку, чак и под претпоставком да ће се бавити целог контигента лабораторија антивирусних може трајати месецима или годинама. Према томе, питање како дешифровати НО_МОРЕ_РАНСОМ, захтевају доста времена. Али шта ако је потребно одмах да вратите информације? Прво, уклоните сам вирус.
Заправо, није тешко то учинити. Судећи по бесмислености стваралаца вируса, пријетња у рачунарском систему није маскирана. Напротив, чак је и повољна за њу "изаћи" након завршетка акција.
Ипак, у почетку, о вирусу,Ипак, то би требало неутралисати. Прије свега, неопходно је користити преносне заштитне услуге као што су КВРТ, Малваребитес, Др.Сц. Веб ЦуреИт! и слично. Напомињемо: програми који се користе за провјеру морају бити безбједно преносиви (без инсталације на чврсти диск са оптималним покретањем са преносивог медија). Ако је пријетња откривена, одмах треба уклонити.
Ако такве акције нису предвиђене,прво морате да идете у "Таск Манагер" и довршите све процесе повезане са вирусом, сортирате сервисе по имену (по правилу, ово је процес Рунтиме Брокер-а).
Након уклањања задатка, потребно је позвати уредникарегистар (регедит у менију "Рун") и тражити наслов «Цлиент Сервер Рунтиме систем» (без наводника), а затим коришћењем резултата креће мени "Нађи следеће ..." уклонити све пронађене предмете. Следеће што треба да поново покренете рачунар, и да верује у "Таск Манагер" да види да ли је тражена процес.
У принципу, питање о томе како дешифрирати вирус НО_МОРЕ_РАНСОМ у фази инфекције може се решити овим методом. Вероватноћа његове неутрализације, наравно, није сјајна, али постоји шанса.
Али постоји још једна техника, од чега је мало људизна или чак и претпоставља. Чињеница је да сам оперативни систем константно ствара сопствене резервне копије сенки (на пример, у случају опоравка), или корисник намерно ствара такве слике. Као што показује пракса, вирус не утиче на такве копије (у својој структури једноставно није обезбеђен, иако није искључен).
Дакле, проблем како се дешифрујеНО_МОРЕ_РАНСОМ, своди се на њих. Међутим, није препоручљиво користити стандардне Виндовс алате за ово (и многи корисници неће имати приступ сакривеним копијама уопште). Због тога, потребно је користити услужни програм СхадовЕкплорер (преносив).
Да бисте обновили, само треба да трчитеизводите програмску датотеку, сортирајте информације по датумима или одељцима, одаберите жељену копију (датотеку, фолдер или цео систем) и користите линију за извоз из ПЦМ менија. Затим једноставно изаберите директоријум у којем ће тренутна копија бити сачувана, а затим користите стандардни процес опоравка.
Наравно, на проблем како се дешифрујеНО_МОРЕ_РАНСОМ, многе лабораторије нуде своја решења. На пример, Касперски Лаб препоручује коришћење сопственог софтверског производа Касперски Децриптор, представљен у две верзије - Ракхини и Рецтор.
Подједнако интересантне су сличнеразвој декодера НО_МОРЕ_РАНСОМ од др. Веб. Али овде је одмах потребно узети у обзир да је употреба таквих програма оправдана само у случају брзог откривања претње, докле год нису инфициране све датотеке. Ако је вирус чврсто успостављен у систему (када се шифроване датотеке не могу упоређивати са њиховим нешифрираним оригиналима), и такве апликације могу бити бескорисне.
Заправо, закључак је само један:Неопходно је да се овај вирус бори искључиво на стадијуму инфекције, када су само прве датотеке шифриране. Уопштено говорећи, најбоље је да не отворите прилоге у е-маил поруке примљене из сумљивих извора (ово се односи само на клијенте инсталиране директно на рачунар - Оутлоок, Оутлоок Екпресс итд.). Поред тога, ако запослени у компанији има листу адреса клијената и партнера, отварање "љевичарских" порука постаје потпуно непримјерено, пошто већина након ангажовања потписује споразуме о необјелодањивању пословних тајни и сајбер сигурности.
