NO_MORE_RANSOM - วิธีการถอดรหัสไฟล์ที่เข้ารหัส?

ในช่วงปลายปี 2016 โลกถูกโจมตีโดยจิ๊บจ๊อยมาก-โทรจันไวรัสเข้ารหัสเอกสารและเนื้อหามัลติมีเดีย NO_MORE_RANSOM การขนานนามว่า วิธีการถอดรหัสไฟล์หลังจากการสัมผัสกับภัยคุกคามนี้และจะมีการหารือเพิ่มเติม แต่เมื่อมันเป็นสิ่งจำเป็นที่จะเตือนผู้ใช้ทุกคนที่ได้รับการโจมตีว่าไม่มีวิธีการเดียว นี้จะเชื่อมต่อกับหนึ่งในขั้นตอนวิธีการเข้ารหัสขั้นสูงมากที่สุดและมีระดับของการรุกของไวรัสเข้าสู่ระบบคอมพิวเตอร์หรือแม้กระทั่งเครือข่ายท้องถิ่น (แม้ว่าในตอนแรกเกี่ยวกับผลกระทบของเครือข่ายและมันก็ไม่ได้คำนวณ)

อะไรไวรัส NO_MORE_RANSOM และวิธีการทำงาน?

โดยทั่วไปไวรัสตัวเองเป็นชั้นของโทรจันเช่น I Love You, ที่เจาะเข้าไปในระบบคอมพิวเตอร์และการเข้ารหัสไฟล์ของผู้ใช้ (มักมัลติมีเดีย) แต่ถ้าปู่ย่าตายายที่แตกต่างการเข้ารหัสเฉพาะไวรัสนี้ยืมมากจากภัยคุกคามที่โลดโผนเคยเรียก DA_VINCI_COD รวมในตัวเองนอกจากนี้ยังมีฟังก์ชั่น extortionist

หลังจากติดเชื้อส่วนใหญ่ของไฟล์เสียง, วิดีโอ, กราฟิกและเอกสารสำนักงานที่มีการกำหนดชื่อยาวมากกับ NO_MORE_RANSOM ส่วนขยายที่มีรหัสผ่านที่ซับซ้อน

เมื่อมีข้อความปรากฏว่าเปิดไฟล์ที่มีการเข้ารหัสและการถอดรหัสสำหรับสินค้าที่คุณต้องการที่จะจ่ายเงินบางส่วน

เป็นภัยคุกคามที่จะเจาะเข้าไปในระบบหรือไม่

ขอให้เราปล่อยให้อยู่คนเดียวถามว่าหลังจาก NO_MORE_RANSOM ผลกระทบของการถอดรหัสไฟล์ประเภทใดประเภทหนึ่งดังกล่าวข้างต้นและหันไปใช้เทคโนโลยีสำหรับการเจาะไวรัสเข้าสู่ระบบคอมพิวเตอร์ แต่น่าเสียดายที่เป็นซ้ำซากขณะที่มันอาจจะฟังดูจะใช้วิธีที่ล้าสมัย: ผ่านทาง e-mail มาพร้อมกับสิ่งที่แนบมามีการเปิดใช้จะได้รับการเปิดใช้งานและรหัสที่เป็นอันตราย

ความคิดริเริ่มที่เราสามารถดูเทคนิคนี้ไม่แตกต่างกัน แต่ข้อความที่สามารถปลอมตัวเป็นสิ่งที่ไม่มีความหมายข้อความ หรือในทางตรงกันข้ามเช่นในกรณีของ บริษัท ขนาดใหญ่ - การเปลี่ยนแปลงในเงื่อนไขของสัญญา เป็นที่เข้าใจว่าเสมียนสามัญเปิดสิ่งที่แนบมาแล้วและได้รับผลดี หนึ่งของดวงสว่างกลายเป็นที่นิยมฐานแพคเกจการเข้ารหัสข้อมูลที่ 1C และนี่เป็นเรื่องที่ร้ายแรง

NO_MORE_RANSOM: วิธีการถอดรหัสเอกสารหรือไม่

แต่ก็ยังคงคุ้มค่าที่จะหันไปคำถามหลัก แน่นอนทุกคนที่มีความสนใจในวิธีการถอดรหัสไฟล์ ไวรัส NO_MORE_RANSOM มีลำดับของการกระทำ หากผู้ใช้พยายามที่จะทำการถอดรหัสทันทีหลังจากการติดเชื้อให้มันอย่างอื่นที่เป็นไปได้ หากภัยคุกคามที่จะตัดสินมั่นในระบบอนิจจาโดยความช่วยเหลือของผู้เชี่ยวชาญไม่สามารถทำ แต่พวกเขามักจะไม่มีอำนาจ

หากภัยคุกคามที่ได้รับการตรวจพบในเวลาที่เหมาะสมทางเพียงหนึ่ง - นำไปใช้กับการสนับสนุน บริษัท ป้องกันไวรัส (ยังไม่ได้เอกสารทั้งหมดที่ได้รับการเข้ารหัส) เพื่อส่งคู่ไม่สามารถเข้าถึงได้สำหรับการเปิดไฟล์และบนพื้นฐานของการวิเคราะห์เดิมที่เก็บไว้ในสื่อที่ถอดออกได้พยายามที่จะเรียกคืนเอกสารที่ติดเชื้อแล้วก่อนหน้านี้ การคัดลอกในแฟลชไดรฟ์ USB เดียวกันสิ่งอื่นที่สามารถใช้ได้กับเปิด (แม้ว่าการรับประกันเต็มรูปแบบที่ไวรัสไม่ได้แพร่กระจายไปยังเอกสารดังกล่าวจะไม่เหมือนกัน) หลังจากนั้นสำหรับความภักดีของผู้ให้บริการมีความจำเป็นต้องตรวจสอบอย่างน้อยสแกนไวรัส (ที่รู้สิ่งที่)

ขั้นตอนวิธี

เราควรพูดถึงความจริงที่ว่าในการเข้ารหัสไวรัสใช้อัลกอริทึม RSA-3072 ซึ่งในทางตรงกันข้ามกับที่ใช้ก่อนหน้าเทคโนโลยีอาร์เอส-2048 มีความซับซ้อนเพื่อที่การเลือกของรหัสผ่านที่ถูกต้องแม้สมมติว่านี้จะจัดการกับความผูกพันทั้งหมดของห้องปฏิบัติการป้องกันไวรัส มันอาจใช้เวลาเป็นเดือนหรือเป็นปี ดังนั้นคำถามของวิธีการถอดรหัส NO_MORE_RANSOM ที่ต้องค่อนข้างใช้เวลานาน แต่ถ้าคุณจะต้องเรียกคืนข้อมูลได้ทันทีหรือไม่ แรกของทุก - ลบไวรัสตัวเอง

มันเป็นไปได้ที่จะลบไวรัสและวิธีการที่จะทำหรือไม่

ที่จริงมันไม่ได้เป็นเรื่องยากที่จะทำ ตัดสินโดยความเย่อหยิ่งของผู้สร้างไวรัสคุกคามของระบบคอมพิวเตอร์ที่ไม่ได้สวมหน้ากาก ในทางตรงกันข้าม - มันก็ทำกำไรได้ "samoudalitsya" หลังจากการสิ้นสุดของการดำเนินการดังกล่าวข้างต้น

อย่างไรก็ตามในตอนแรกต่อไปนี้นำของไวรัสก็ยังจะต้องเป็นกลาง ขั้นตอนแรกคือการใช้สาธารณูปโภคป้องกันแบบพกพาเช่น KVRT, Malwarebytes, ดร. CureIt เว็บ! และไม่ชอบ หมายเหตุ: ใช้ในการทดสอบโปรแกรมควรจะมีแบบพกพาชนิดมีผลบังคับใช้ (โดยไม่ต้องติดตั้งอะไรในฮาร์ดไดรฟ์กับการทำงานได้อย่างดีที่สุดจากสื่อที่ถอดออกได้) หากตรวจพบภัยคุกคามก็ควรจะลบออกทันที

หากการกระทำดังกล่าวไม่ได้ให้คุณต้องไป "ที่ Task Manager" และจบกระบวนการทั้งหมดที่เกี่ยวข้องกับไวรัส, เรียงตามชื่อบริการ (โดยทั่วไปกระบวนการ Runtime นายหน้า)

หลังจากลบปัญหาเราต้องเรียกโปรแกรม Registry Editor (regedit ในเมนู "Run") และค้นหาชื่อ«ไคลเอนต์เซิร์ฟเวอร์ Runtime ระบบ» (โดยไม่มีเครื่องหมายอัญประกาศ) แล้วโดยใช้เมนูย้ายเกี่ยวกับผลของการ "ค้นหาต่อไป ..." เพื่อลบทุกรายการที่พบ ถัดไปคุณต้องรีสตาร์ทเครื่องคอมพิวเตอร์และจะเชื่อใน "Task Manager" เพื่อดูว่ามีกระบวนการที่จำเป็น

ในหลักการคำถามของวิธีการถอดรหัสไวรัส NO_MORE_RANSOM ยังอยู่ในขั้นตอนของการติดเชื้อและสามารถแก้ไขได้โดยวิธีนี้ น่าจะเป็นของการวางตัวเป็นกลางของหลักสูตรมีขนาดเล็ก แต่มีโอกาส

วิธีการถอดรหัสไฟล์ NO_MORE_RANSOM เข้ารหัส: การสำรองข้อมูล

แต่มีวิธีการอื่นที่ไม่กี่คนที่รู้หรือแม้กระทั่งการคาดเดา ความจริงที่ว่าระบบปฏิบัติการอย่างต่อเนื่องสร้างการสำรองข้อมูลเงาของตัวเอง (ตัวอย่างเช่นในกรณีของการกู้คืน) หรือโดยจงใจสร้างภาพดังกล่าว การแสดงทางปฏิบัติไวรัสนี้ไม่ได้ส่งผลกระทบต่อสำเนาเหล่านั้น (ในโครงสร้างของมันก็เป็นเพียงการไม่ได้ให้แม้ว่ามันจะเป็นไปได้)

ดังนั้นปัญหาของวิธีการถอดรหัส NO_MORE_RANSOM ที่เดือดลงไปเพื่อที่จะใช้เป็นสัญลักษณ์ว่า อย่างไรก็ตามการใช้เครื่องมือมาตรฐานของ Windows ไม่แนะนำให้นี้ (และผู้ใช้จำนวนมากที่จะสำเนาที่ซ่อนอยู่จะไม่สามารถเข้าถึงที่ทั้งหมด) ดังนั้นคุณจำเป็นต้องใช้ ShadowExplorer ยูทิลิตี้ (มันเป็นแบบพกพา)

เพื่อเรียกคืนเพียงแค่ใช้ปฏิบัติการ ไฟล์โปรแกรม จัดเรียงข้อมูลตามวันที่หรือชื่อเลือกสำเนาที่ต้องการ (ไฟล์โฟลเดอร์หรือทั้งระบบ) และผ่านทางเมนู PCM ที่จะใช้สายการส่งออก เพิ่มเติมไดเรกทอรีที่เลือกเพียงซึ่งในสำเนาปัจจุบันจะถูกเก็บไว้แล้วใช้กระบวนการกู้คืนมาตรฐาน

เครื่องมือของบุคคลที่สาม

แน่นอนว่าปัญหาของวิธีการถอดรหัส NO_MORE_RANSOM ที่ห้องปฏิบัติการจำนวนมากให้การแก้ปัญหาของตัวเอง ยกตัวอย่างเช่น "Kaspersky Lab" แนะนำให้ใช้ผลิตภัณฑ์ซอฟต์แวร์ของตัวเอง Kaspersky Decryptor นำเสนอในสองรุ่น - Rakhini และอธิการบดี

ดูน่าสนใจไม่น้อยและการพัฒนาที่คล้ายกันเช่น NO_MORE_RANSOM ถอดรหัสโดยดร. เว็บ แต่ที่นี่มันเป็นสิ่งที่จำเป็นในทันทีจะต้องคำนึงถึงว่าการใช้โปรแกรมดังกล่าวเป็นธรรมเฉพาะในกรณีของการตรวจจับภัยคุกคามอย่างรวดเร็วในขณะที่ไม่ไฟล์ทั้งหมดที่ได้รับเชื้อ ถ้าไวรัสเป็นที่ยึดมั่นในระบบ (เมื่อเข้ารหัสไฟล์ก็ไม่สามารถนำมาเปรียบเทียบกับต้นฉบับที่ไม่ได้เข้ารหัสของพวกเขา) และการประยุกต์ใช้ดังกล่าวอาจจะไม่มีประโยชน์

เป็นผลให้

ในความเป็นจริงข้อสรุปที่เป็นเพียงหนึ่ง: การต่อสู้กับไวรัสจะต้องเป็นเพียงผู้เดียวในขั้นตอนของการติดเชื้อเมื่อมีเพียงการเข้ารหัสแรกของไฟล์ โดยทั่วไปจะดีที่สุดคือไม่เปิดเอกสารแนบในข้อความอีเมลที่ได้รับจากแหล่งที่มาที่น่าสงสัย (นี่หมายเฉพาะให้กับลูกค้าติดตั้งโดยตรงบนเครื่องคอมพิวเตอร์ของคุณ - โปรแกรม Outlook Oulook เอ็กซ์เพรส, ฯลฯ ) นอกจากนี้หากพนักงานมีการกำจัดของรายการของลูกค้าและคู่ค้าเพื่อรับมือกับการเปิดตัวของ "ซ้าย" ข้อความมันไม่เหมาะสมมากที่สุดในการจ้างงานสัญญาไม่เปิดเผยสัญลักษณ์ของความลับทางการค้าและการรักษาความปลอดภัยในโลกไซเบอร์