NO_MORE_RANSOM - bagaimana untuk mendekripsi file terenkripsi?

Pada akhir 2016, dunia diserang oleh virus yang sangat sepele-trojan mengenkripsi dokumen dan konten multimedia, dijuluki NO_MORE_RANSOM. Bagaimana untuk mendekripsi file setelah terpapar ancaman ini, dan akan dibahas lebih lanjut. Namun, setelah itu perlu untuk memperingatkan semua pengguna yang telah diserang, bahwa tidak ada metodologi tunggal. Ini terkait dengan salah satu algoritma enkripsi yang paling canggih, dan dengan tingkat penetrasi virus ke dalam sistem komputer, atau bahkan jaringan area lokal (meskipun awalnya pada efek jaringan dan tidak dihitung).

Apa virus NO_MORE_RANSOM dan bagaimana cara kerjanya?

Umumnya, virus itu sendiri sebagai kelas Trojan seperti Aku cinta kamu, yang menembus ke dalam sistem komputer dan mengenkripsi file pengguna (biasanya multimedia). Namun, jika nenek hanya berbeda enkripsi, virus ini sangat banyak dipinjam dari ancaman sekali sensasional disebut DA_VINCI_COD, menggabungkan dalam dirinya sendiri juga berfungsi pemeras.

Setelah infeksi, mayoritas file audio, video, grafik dan dokumen kantor diberi nama yang sangat panjang dengan NO_MORE_RANSOM ekstensi, yang berisi password yang kompleks.

Bila pesan dibuka tampak bahwa file-file tersebut dienkripsi dan dekripsi untuk produk Anda perlu membayar beberapa jumlah.

Sebagai ancaman untuk menembus ke dalam sistem?

Mari kita tinggalkan saja pertanyaan tentang bagaimana, setelah NO_MORE_RANSOM dampak mendekripsi file dari setiap jenis di atas, dan beralih ke teknologi untuk menembus virus ke dalam sistem komputer. Sayangnya, seperti klise kedengarannya, menggunakan cara kuno: via e-mail dilengkapi dengan lampiran dibuka, pengguna menerima aktivasi dan kode berbahaya.

Orisinalitas, seperti yang kita lihat, teknik ini tidak berbeda. Namun, pesan dapat menyamar sebagai sesuatu teks berarti. Atau, sebaliknya, misalnya, dalam kasus perusahaan besar, - perubahan dalam kondisi kontrak. Hal ini dimengerti bahwa petugas biasa membuka lampiran, dan kemudian dan mendapat hasil yang buruk. Salah satu flare terang menjadi paket enkripsi basis populer 1C data. Dan ini adalah masalah serius.

NO_MORE_RANSOM: bagaimana memecahkan dokumen?

Tapi masih layak untuk beralih ke pertanyaan utama. Tentunya semua orang tertarik pada bagaimana untuk mendekripsi file. virus NO_MORE_RANSOM memiliki urutan tindakan. Jika pengguna mencoba untuk melakukan dekripsi segera setelah infeksi, membuat sesuatu yang lain mungkin. Jika ancaman tegas menetap di sistem, sayangnya, tanpa bantuan profesional tidak bisa lakukan. Tapi mereka sering tidak berdaya.

Jika ancaman telah terdeteksi pada waktu yang tepat, cara satu-satunya - berlaku untuk dukungan perusahaan antivirus (namun tidak semua dokumen telah dienkripsi) untuk mengirim sepasang tidak dapat diakses untuk membuka file dan atas dasar analisis asli, yang tersimpan di removable media, cobalah untuk mengembalikan dokumen yang sudah terinfeksi sebelumnya menyalin pada USB flash drive yang sama apa pun yang tersedia untuk membuka (meskipun jaminan penuh bahwa virus tidak menyebar ke dokumen tersebut tidak sama). Setelah itu, untuk operator kesetiaan itu perlu untuk memeriksa setidaknya scanner virus (siapa yang tahu apa).

algoritma

Kami juga harus menyebutkan fakta bahwa untuk mengenkripsi virus menggunakan algoritma RSA-3072, yang, berbeda dengan teknologi RSA-2048 yang sebelumnya digunakan sangat kompleks, bahwa pemilihan password yang benar, bahkan dengan asumsi bahwa ini akan berhadapan dengan seluruh kontingen laboratorium anti-virus , mungkin diperlukan waktu berbulan-bulan atau bertahun-tahun. Dengan demikian, pertanyaan tentang bagaimana untuk menguraikan NO_MORE_RANSOM, membutuhkan cukup memakan waktu. Tetapi bagaimana jika Anda perlu untuk mengembalikan informasi segera? Pertama-tama - untuk menghapus virus itu sendiri.

Apakah mungkin untuk menghapus virus dan bagaimana melakukannya?

Sebenarnya, tidak sulit untuk dilakukan. Dilihat oleh arogansi para pencipta virus, ancaman dari sistem komputer tidak bertopeng. Sebaliknya - bahkan menguntungkan "samoudalitsya" setelah akhir tindakan tersebut di atas.

Namun demikian, pada awalnya, mengikuti jejak virus, masih harus dinetralkan. Langkah pertama adalah dengan menggunakan utilitas pelindung portabel seperti KVRT, Malwarebytes, Dr. Web CureIt! dan sejenisnya. Catatan: digunakan untuk menguji program harus dari jenis portabel adalah wajib (tanpa harus memasang apapun pada hard drive dengan berjalan secara optimal dari removable media). Jika ancaman terdeteksi, itu harus segera dihapus.

Jika tindakan tersebut tidak disediakan, Anda harus terlebih dahulu pergi ke "Task Manager" dan menyelesaikan semua proses yang terkait dengan virus, diurutkan berdasarkan nama layanan (biasanya, proses Runtime Broker).

Setelah menghapus masalah, kita harus memanggil Registry Editor (regedit pada menu "Run") dan mencari judul «Client Server Runtime Sistem» (tanpa tanda kutip), dan kemudian menggunakan menu bergerak pada hasil "Find Next ..." untuk menghapus semua item yang ditemukan. Selanjutnya Anda harus me-restart komputer, dan percaya pada "Task Manager" untuk melihat apakah ada proses yang diperlukan.

Pada prinsipnya, pertanyaan tentang bagaimana memecahkan virus NO_MORE_RANSOM masih pada tahap infeksi, dan dapat diselesaikan dengan metode ini. Probabilitas netralisasi, tentu saja, kecil, tapi ada kesempatan.

Bagaimana untuk mendekripsi file NO_MORE_RANSOM dienkripsi: backup

Tapi ada metode lain, yang sedikit orang yang tahu atau bahkan menebak. Fakta bahwa sistem operasi terus-menerus menciptakan bayangan backup sendiri (misalnya, dalam kasus pemulihan), atau dengan sengaja menciptakan gambar tersebut. Sebagai praktek menunjukkan, virus ini tidak mempengaruhi mereka salinan (dalam strukturnya, itu hanya tidak disediakan, meskipun ada kemungkinan).

Dengan demikian, masalah bagaimana memecahkan NO_MORE_RANSOM, bermuara untuk menggunakan simbol itu. Namun, untuk menggunakan Windows alat-alat standar tidak dianjurkan untuk ini (dan banyak pengguna untuk salinan tersembunyi tidak akan memiliki akses sama sekali). Oleh karena itu, Anda perlu menggunakan ShadowExplorer utilitas (itu adalah portable).

Untuk mengembalikan, cukup menjalankan executable file program, mengurutkan informasi berdasarkan tanggal atau judul, pilih copy yang diinginkan (file, folder, atau seluruh sistem) dan melalui menu PCM menggunakan baris ekspor. Selanjutnya direktori hanya dipilih di mana copy saat ini akan disimpan dan kemudian menggunakan proses pemulihan standar.

alat pihak ketiga

Tentu saja, masalah bagaimana memecahkan NO_MORE_RANSOM, banyak laboratorium menawarkan solusi mereka sendiri. Misalnya, "Kaspersky Lab" merekomendasikan penggunaan produk sendiri software Kaspersky Decryptor, disajikan dalam dua versi - Rakhini dan Rektor.

Penampilan tak kalah menarik dan perkembangan yang sama seperti NO_MORE_RANSOM decoder oleh Dr. Web. Tapi di sini perlu segera untuk memperhitungkan bahwa penggunaan program tersebut dibenarkan hanya dalam kasus deteksi ancaman yang cepat, sementara tidak semua file telah terinfeksi. Jika virus tertanam kuat dalam sistem (ketika dienkripsi file tidak dapat dibandingkan dengan aslinya non-dienkripsi), dan aplikasi tersebut mungkin tidak berguna.

Akibatnya

Bahkan, kesimpulan hanya satu: untuk melawan virus harus semata-mata pada tahap infeksi, ketika hanya ada enkripsi pertama file. Secara umum, yang terbaik adalah untuk tidak membuka lampiran dalam pesan e-mail yang diterima dari sumber yang meragukan (ini merujuk secara eksklusif kepada pelanggan, dipasang langsung pada komputer Anda - Outlook, Oulook Express, dll). Selain itu, jika karyawan memiliki kemampuan dan daftar pelanggan dan mitra untuk mengatasi pembukaan "Kiri" pesan itu cukup pantas, karena kebanyakan dalam mempekerjakan perjanjian menjaga rahasia tanda rahasia dagang, dan keamanan cyber.