NO_MORE_RANSOM - Ինչպես decrypt կոդավորված ֆայլեր.

Ի վերջին 2016 թ., Աշխարհը հարձակման է շատ չնչին-տրոյական վիրուսով encrypts փաստաթղթեր եւ մուլտիմեդիա բովանդակություն, զուգորդվել NO_MORE_RANSOM: Թե ինչպես կարելի է decrypt ֆայլեր հետո ազդեցության այս սպառնալիքի, եւ կքննարկվի ավելի: Սակայն, մեկ անգամ դա անհրաժեշտ է զգուշացնել բոլոր օգտվողներին, ովքեր հարձակվել են, որ չկա ոչ մի մեթոդաբանություն: Սա կապված է մեկի հետ առավել առաջադեմ գաղտնագրման ալգորիթմներ, եւ աստիճանից ներթափանցելու վիրուսի մեջ համակարգչային համակարգի, կամ նույնիսկ տեղային ցանցի (թեեւ ի սկզբանե ցանցային հետեւանքների, եւ դա ոչ թե հաշվարկված):

Թե ինչ է NO_MORE_RANSOM վիրուսը, եւ ինչպես է այն աշխատում:

Ընդհանուր առմամբ, որ վիրուսը ինքն է որպես դասի Trojans, ինչպիսին որ ես սիրում եմ քեզ, որը ներթափանցել է համակարգչային համակարգի եւ encrypting է օգտվողի ֆայլեր (սովորաբար մուլտիմեդիա): Սակայն, եթե տատիկը տարբերվում միայն կոդավորումը, այս վիրուսը շատ պարտք է եւս մեկ սենսացիոն սպառնալիքի կոչվող DA_VINCI_COD, համատեղելով ինքնին նաեւ գործում extortionist:

Վարակվելուց հետո, մեծամասնությունը աուդիո ֆայլեր, վիդեո, գրաֆիկա եւ գրասենյակային փաստաթղթերի, որը նշանակվում է շատ երկար անուն է տարկետման NO_MORE_RANSOM, որը պարունակում է համալիր գաղտնաբառը:

Երբ բացվեց հաղորդագրությունը հայտնվում է, որ ֆայլերը են կոդավորված է եւ decryption համար արտադրանքի, դուք պետք է վճարել որոշակի գումար:

Որպես սպառնալիք է ներթափանցել համակարգի.

Եկեք թողնենք այն հարցին, թե ինչպես է, հետո ազդեցության NO_MORE_RANSOM decrypt ֆայլերը որեւէ մեկը վերը նշված տեսակների, եւ դիմել է տեխնոլոգիայի համար թափանցել վիրուսի մեջ համակարգչային համակարգի. Ցավոք, քանի որ corny, քանի որ այն կարող է հնչի, այն օգտագործում հնացած ճանապարհը: միջոցով e-mail գալիս հետ հավելված բացվել, օգտագործողը ստանում ակտիվացմանն ու վնասակար ծրագրային կոդ.

Հարազատություն, քանի որ մենք կարող ենք տեսնել, որ այս տեխնիկան չի տարբերվում: Սակայն, որ հաղորդագրությունը կարող է ծպտված որպես անիմաստ տեքստային մի բան. Կամ, ընդհակառակը, օրինակ, այն դեպքում, խոշոր ընկերությունների, մի փոփոխություն պայմաններում պայմանագրով: Հասկանալի է, որ շարքային ծառայողը բացում Հավելվածը, եւ ապա եւ ստանում աղքատ արդյունքները: Մեկը ամենապայծառ բռնկումների հայտնի է դարձել կոդավորումը Փաթեթ հիմքերի 1C տվյալները: Եւ սա լուրջ հարց է:

NO_MORE_RANSOM: Ինչպես կարդալ փաստաթղթերը.

Բայց արժե, որ այն դիմել է հիմնական հարցին: Անշուշտ, բոլորն էլ շահագրգռված է, թե ինչպես պետք է decrypt ֆայլերը. NO_MORE_RANSOM վիրուսը ունի հաջորդականությունը գործողությունների. Եթե օգտագործողը փորձում է կատարել decryption անմիջապես հետո վարակի, որպեսզի այն մի ուրիշ բան, որքան հնարավոր է. Եթե սպառնալիքը ամուր բնակություն է համակարգում, ցավոք, առանց մասնագետների օգնությամբ չի կարող անել: Բայց նրանք հաճախ անզոր.

Եթե սպառնալիքը հայտնաբերվել է ժամանակին, ապա ճանապարհը միայն մեկ կապնվել աջակցություն հակավիրուսային ընկերությունների (դեռ ոչ բոլոր փաստաթղթերը արդեն կոդավորված) ուղարկել մի զույգ անմատչելի բացման ֆայլերը եւ վերլուծության հիման վրա բնօրինակները պահվում է շարժական ԶԼՄ - ների, փորձում են վերականգնել արդեն իսկ վարակված փաստաթղթեր նախկինում պատճենահանման է նույն USB ֆլեշ ինչ ուրիշ է, հասանելի է բացել (թեեւ մի ամբողջական երաշխիք, որ վիրուսը չի տարածվել է այնպիսի փաստաթղթերի նույնը չէ): Դրանից հետո, մի օպերատորը հավատարմության դա անհրաժեշտ է ստուգել առնվազն մի վիրուսի սկաների (ով գիտի, թե ինչ):

ալգորիթմ

Մենք պետք է նաեւ նշել այն փաստը, որ encrypt վիրուսի օգտագործում RSA-3072 ալգորիթմ, որը, ի տարբերություն նախկինում օգտագործված RSA-2048 տեխնոլոգիայով այնքան բարդ է, որ ընտրությունը ճիշտ գաղտնաբառ, եթե անգամ ենթադրենք, որ դա կարող է զբաղվել ողջ կոնտինգենտի anti-virus լաբորատորիաներ , դա կարող է տեւել ամիսներ կամ տարիներ: Այսպիսով, հարցը, թե ինչպես պետք է վերծանել NO_MORE_RANSOM, պահանջում են բավականին ժամանակատար: Բայց ինչ, եթե դուք պետք է վերականգնել տեղեկությունները անհապաղ. Առաջին հերթին, պետք է ջնջել վիրուսը ինքն.

Արդյոք դա հնարավոր է հեռացնել վիրուսի եւ թե ինչպես պետք է դա անել?

Իրականում, դա ոչ թե դժվար է անել: Դատելով ամբարտավանություն վիրուսի ստեղծողների, սպառնալիքը համակարգչային համակարգի չի դիմակավորված. Ընդհակառակը, դա նույնիսկ շահավետ է «samoudalitsya» ավարտից հետո վերոնշյալ գործողությունների:

Այնուամենայնիվ, առաջին հերթին, հետեւելով գլխավորում է վիրուսի, դա դեռ պետք է չեզոքացվել: Առաջին քայլը պետք է օգտագործել շարժական պաշտպանիչ կոմունալ ծառայությունների նման KVRT, Malwarebytes, դոկտոր Վեբ CureIt! եւ այլն. Նկատի ունենալ, որ օգտագործվում է փորձարկել ծրագիրը պետք է լինի մի շարժական տիպի պարտադիր (առանց տեղադրելու բան է կոշտ սկավառակի վազում օպտիմալ է շարժական ԶԼՄ - ների): Եթե մի սպառնալիք հայտնաբերվում, ապա դա պետք է անմիջապես կհանվի.

Եթե նման գործողություն չի տրամադրվում, դուք պետք է նախ գնալ «Task Manager» եւ ավարտել այն բոլոր գործընթացների հետ կապված վիրուսի, տեսակավորված ըստ ծառայության անունը (որպես կանոն, այդ գործընթացը Runtime Բրոքերը):

Հանելուց հետո խնդիրը, մենք պետք է զանգահարել գրանցման խմբագիր (regedit ցանկի մեջ «Run») եւ որոնել կոչման համար «Հաճախորդ Server Runtime համակարգ» (առանց չակերտների), եւ ապա, օգտագործելով քայլը մենյուն արդյունքների վրա »Find Next ...« հեռացնել բոլոր իրերը գտնվել: Հաջորդ, դուք պետք է վերագործարկել համակարգիչը, եւ հավատում են, որ «աշխատանքային խմբի ղեկավար» է տեսնել, եթե կա պահանջվող գործընթացը:

Սկզբունքորեն, հարցը, թե ինչպես պետք է վերծանել NO_MORE_RANSOM վիրուս է դեռ բեմում. Վարակի, եւ կարող է լուծվել այս մեթոդով. Հավանականությունը վնասազերծման, իհարկե, փոքր է, բայց կա մի հնարավորություն:

Թե ինչպես կարելի է decrypt ֆայլեր կոդավորված NO_MORE_RANSOM: backups

Սակայն կա մեկ այլ մեթոդ է, որը քչերը գիտեն, կամ նույնիսկ գուշակել: Այն փաստը, որ օպերացիոն համակարգը մշտապես ստեղծում է իր սեփական ստվերային backups (օրինակ, վերականգնման դեպքում), կամ միտումնավոր ստեղծելով այնպիսի պատկերներ: Քանի որ պրակտիկան ցույց է տալիս, որ այս վիրուսը չի ազդի այդ պատճենները (իր կառուցվածքով, այն պարզապես չի տրամադրվում, թեեւ դա հնարավոր է):

Այսպիսով, խնդիրը, թե ինչպես պետք է վերծանել NO_MORE_RANSOM, եռում է, որպեսզի օգտագործեք այդ խորհրդանիշը: Սակայն, պետք է օգտագործել Windows ստանդարտ գործիքներ են խորհուրդ չի տրվում այս (եւ շատ օգտվողներին թաքնված պատճենների չի ունենա մուտք բոլորը): Հետեւաբար, դուք պետք է օգտագործել օգտակար ShadowExplorer (դա շարժական):

Է վերականգնել, պարզապես վարում գործարկվող ծրագիր ֆայլ, տեսակավորելու այն տեղեկությունները, ըստ ամսաթվի կամ վերնագրի, ընտրել ցանկալի պատճենը (ֆայլեր, թղթապանակներ, կամ ամբողջ համակարգը) եւ միջոցով PCM ցանկի օգտագործել արտահանման գիծը: Հետագա պարզապես ընտրված ցուցակում, որի ներկայիս պատճենը կպահվի եւ հետո օգտագործում են ստանդարտ վերականգնման գործընթացը:

Երրորդ կողմի գործիքներ

Իհարկե, խնդիրը, թե ինչպես պետք է վերծանել NO_MORE_RANSOM, շատ լաբորատորիաները առաջարկում են իրենց սեփական լուծումները: Օրինակ, «Կասպերսկու լաբորատորիան» առաջարկում է օգտվել իր սեփական ծրագրային արտադրանքի Կասպերսկու decryptor, ներկայացրել է երկու տարբերակներով `Rakhini ռեկտոր:

Ոչ պակաս հետաքրքիր տեսք եւ նմանատիպ զարգացում նման NO_MORE_RANSOM decoder Ըստ Dr. Վեբ. Բայց այստեղ անհրաժեշտ է անհապաղ ձեռնարկել հաշվի առնել, որ նման օգտագործումը ծրագրերի արդարացված է միայն այն դեպքում, արագ սպառնալիքի հայտնաբերման, իսկ ոչ բոլոր ֆայլերը վարակվել: Եթե վիրուսը ամուր արմատավորված համակարգում (երբ կոդավորված ֆայլեր, պարզապես չի կարող համեմատվել նրանց ոչ կոդավորված բնօրինակներ), եւ նման դիմում կարող է անիմաստ է:

Որպես հետեւանք

Ըստ էության, եզրակացությունը միայն մեկն է պայքարել վիրուսի պետք է լինի բացառապես փուլում վարակի, երբ կա միայն առաջին կոդավորումը ֆայլեր. Ընդհանուր առմամբ, դա լավ չէ բացել կցորդներ տեղադրել էլեկտրոնային հաղորդագրությունների ստացվող կասկածելի աղբյուրներից (սա վերաբերում է բացառապես հաճախորդներին, տեղադրված ուղղակիորեն ձեր համակարգչի Outlook, Oulook Express, եւ այլն): Բացի այդ, եթե աշխատողը ունի իր տրամադրության տակ մի ցանկ հաճախորդների եւ գործընկերների դիմելու բացումը «ձախ» հաղորդագրություններից դա բոլորովին անտեղի է, քանի առավել վարձում ստորագրել գաղտնապահության համաձայնագրեր առեւտրային գաղտնիքների եւ կիբեր անվտանգության.