NO_MORE_RANSOM - כיצד לפענח את הקבצים המוצפנים?

בסוף שנת 2016, העולם הותקף על ידיוירוס טרויאני לא טריוויאלי שמצפין מסמכי משתמש ותוכן מולטימדיה הנקראים NO_MORE_RANSOM. כיצד לפענח קבצים לאחר ההשפעה של איום זה ייחשב עוד. עם זאת, מיד זה שווה להזהיר את כל המשתמשים שהותקפו כי אין מתודולוגיה אחידה. זאת בשל השימוש באחד מאלגורית ההצפנה המתקדמים ביותר, ומידת החדירה של הנגיף למערכת המחשב או אפילו לרשת המקומית (אם כי בתחילה היא לא תוכננה להשפעת הרשת).

איזה וירוס הוא NO_MORE_RANSOM וכיצד הוא פועל?

באופן כללי, הווירוס עצמו מסווג כמעמדסוסים טרויאנים כגון אני אוהב אותך כי לחדור את מערכת המחשב להצפין את הקבצים של המשתמש (בדרך כלל מולטימדיה). עם זאת, אם האב שונה רק בהצפנה, אז זה לקח הרבה וירוס מאיום סנסציוני פעם בשם DA_VINCI_COD, המשלב את הפונקציות של סחיטה בפני עצמה.

לאחר ההדבקה, רוב הקבצים של מסמכי שמע, וידאו, גרפיקה או משרד מוקצים שם ארוך עם הסיומת NO_MORE_RANSOM, המכילה סיסמה מורכבת.

כאשר אתה מנסה לפתוח אותם, מופיעה הודעה על המסך המציין כי הקבצים מוצפנים, ואתה צריך לשלם סכום עבור פענוח.

איך האיום חודר למערכת?

בואו נשאיר את השאלה איך, אחריאפקטים NO_MORE_RANSOM קבצי פענוח של כל אחד מהסוגים לעיל, ולהפוך את הטכנולוגיה של חדירה של הנגיף לתוך מערכת המחשב. למרבה הצער, עם זאת, ניתן להשתמש בשיטה מוכחת ישנה: כתובת דואר אלקטרוני מקבלת מכתב עם קובץ מצורף, אשר, כאשר נפתח, המשתמש מקבל גורם קוד זדוני.

מקוריות, כפי שאנו רואים, טכניקה זו אינהשונה. עם זאת, המסר יכול להיות מוסווה כמו טקסט חסר משמעות. או, להיפך, למשל, אם זה שאלה של חברות גדולות, - תחת שינוי התנאים של כל חוזה. ברור כי פקיד רגיל פותח את הקובץ המצורף, ולאחר מכן מקבל תוצאה מצערת. אחת ההתפרצויות הבהירות ביותר היתה ההצפנה של מסדי הנתונים של החבילה הפופולרית 1C. וזה עסק רציני.

NO_MORE_RANSOM: כיצד לפענח מסמכים?

אבל בכל זאת יש צורך להתייחס לשאלה המרכזית. אין ספק שכולם מעוניינים כיצד לפענח קבצים. וירוס NO_MORE_RANSOM יש רצף משלה של פעולות. אם המשתמש מנסה לפענח מיד לאחר ההדבקה, זה עדיין יכול להיעשות איכשהו. אם האיום יש ליישב את המערכת בתקיפות, למרבה הצער, ללא עזרה של מומחים כאן הוא הכרחי. אבל הם לעתים קרובות חסרי אונים.

אם האיום זוהה במועד, את הנתיברק אחד - חל תמיכת חברות אנטי וירוס (עדיין לא כל המסמכים כבר מוצפנים) לשלוח זוג נגיש לפתיחת קבצים על בסיס הניתוח המקורי, מאוחסן על מדיה נשלפת, נסה לשחזר מסמכים נגועים כבר לאחר השמירה בכונן פלאש באותו USB כל מה עוד הוא זמין לפתוח (אם כי ערבות מלאות כי הווירוס לא התפשט מסמכים כאלה הן גם לא). לאחר מכן, במשך נאמנות מנשא יש צורך לבדוק לפחות סורק וירוסים (מי יודע מה).

אלגוריתם

בנפרד יש צורך לומר כי הנגיףהאלגוריתם משתמש ב- RSA-3072, שבניגוד לטכנולוגיית ה- RSA-2048 ששימשה בעבר, הוא מורכב עד כדי כך שייתכן שיחלפו חודשים ושנים כדי למצוא את הסיסמה הנכונה, גם אם כל המעבדה האנטי וירוסית עושה זאת. לכן, השאלה איך לפענח NO_MORE_RANSOM ידרוש די הרבה זמן. אבל מה אם אתה צריך לשחזר את המידע באופן מיידי? קודם כל, להסיר את הנגיף עצמו.

האם ניתן למחוק וירוס וכיצד?

למעשה, זה לא קשה לעשות את זה. אם לשפוט על פי החוצפה של יוצרי הנגיף, האיום במערכת המחשב אינו מסווה. להיפך, זה אפילו יתרון לה "לצאת" לאחר סוף המעשים.

עם זאת, בהתחלה, על הווירוס,יש לנטרל אותו. קודם כל יש צורך להשתמש בכלי עזר ניידים כמו KVRT, Malwarebytes, Dr.Sc. אינטרנט CureIt! וכן הלאה. שים לב: התוכניות המשמשות לבדיקה חייבות להיות סוג נייד ללא תקלה (מבלי להתקין אותו בדיסק הקשיח עם ההפעלה האופטימלית של מדיה נשלפת). אם מזוהה איום, יש להסיר אותו מיד.

אם לא יינתנו פעולות כאמור,אתה צריך קודם ללכת "מנהל המשימות" ולהשלים את כל התהליכים הקשורים הנגיף, למיין את השירותים לפי שם (ככלל, זה תהליך הברוקר זמן ריצה).

לאחר הסרת המשימה, עליך להתקשר לעורךמערכת הרישום (regedit ב "הפעלה" בתפריט) ולהגדיר את החיפוש לפי שם "לקוח שרת Runtime System" (ללא המרכאות), ולאחר מכן להשתמש בתפריט הניווט מבוסס על התוצאות "מצא עוד ...", למחוק את כל הפריטים שנמצאו. הבא, אתה צריך לאתחל את המחשב ולהאמין "מנהל המשימות", אם יש תהליך החיפוש.

באופן עקרוני, את השאלה כיצד לפענח וירוס NO_MORE_RANSOM בשלב זיהום ניתן לפתור בשיטה זו. ההסתברות לנטרול, כמובן, קטנה, אבל יש סיכוי.

כיצד לפענח קבצים מוצפנים NO_MORE_RANSOM: גיבויים

אבל יש עוד טכניקה אחת, כמה אנשיםיודע או אפילו מנחש. העובדה היא כי מערכת ההפעלה עצמה כל הזמן יוצר גיבוי צל משלה (למשל, במקרה של התאוששות), או המשתמש בכוונה יוצר תמונות כאלה. כפי שמוצג בפועל, הנגיף אינו משפיע על עותקים כאלה (במבנה זה פשוט לא מסופק, אם כי זה לא נכלל).

לכן, הבעיה של איך לפענחNO_MORE_RANSOM, מגיע לשימוש בהם. עם זאת, לא מומלץ להשתמש בכלים סטנדרטיים של Windows עבור זה (ולמשתמשים רבים לא תהיה גישה עותקים מוסתרים בכלל). לכן, אתה צריך להשתמש בכלי השירות ShadowExplorer (זה נייד).

כדי לשחזר אתה רק צריך לרוץקובץ תוכנית הפעלה, למיין את המידע על ידי תאריכים או חלקים, לבחור את העותק הרצוי (קובץ, תיקיה או את המערכת כולה) ולהשתמש קו הייצוא מתפריט PCM. לאחר מכן פשוט בחר את הספרייה שבה עותק זה יישמר ולאחר מכן להשתמש בתהליך השחזור הסטנדרטי.

כלי עזר של צד שלישי

כמובן, את הבעיה של איך לפענחNO_MORE_RANSOM, מעבדות רבות מציעות פתרונות משלהם. לדוגמה, Kaspersky Lab ממליצה להשתמש במוצר התוכנה שלה Kaspersky Decryptor, שהוצג בשתי גרסאות - Rakhini ורקטור.

מעניין באותה מידה דומיםפיתוח של מפענח NO_MORE_RANSOM מאת ד"ר אינטרנט. אבל כאן יש צורך מיד לשקול כי השימוש בתוכניות כאלה מוצדק רק במקרה של זיהוי מהיר של האיום, כל עוד כל הקבצים לא נגועים. אם הנגיף הוא הקים היטב במערכת (כאשר קבצים מוצפנים לא ניתן להשוות עם המקור שלהם מוצפן), ויישומים כאלה עשויים להיות חסרי תועלת.

כתוצאה מכך

למעשה, יש רק מסקנה אחת: כדי להילחם בנגיף זה יש צורך רק בשלב של זיהום, כאשר רק את הקבצים הראשונים מוצפנים. באופן כללי, עדיף לא לפתוח קבצים מצורפים להודעות דואר אלקטרוני המתקבלות ממקורות מפוקפקים (זה חל רק על לקוחות המותקנים ישירות במחשב - Outlook, Oulook Express וכו '). בנוסף, אם עובד של חברה עומד לרשותו רשימה של כתובות של לקוחות ושותפים, פתיחת הודעות "שמאל" הופכת לחלוטין לא מעשי, שכן הרוב כאשר שכירת הסכמים סימנים על אי גילוי של סודות מסחריים cybersecurity.