NO_MORE_RANSOM - كيفية فك تشفير الملفات المشفرة؟

في أواخر عام 2016، تعرضت لهجوم في العالم من قبل فيروس تافهة-حصان طروادة جدا تشفير المستندات ومحتوى الوسائط المتعددة، NO_MORE_RANSOM المدبلجة. كيفية فك تشفير الملفات بعد التعرض لهذا الخطر، وسيجري بحثه باستفاضة. ومع ذلك، مرة واحدة فمن الضروري أن يحذر كافة المستخدمين الذين تعرضوا للهجوم، أنه لا يوجد منهجية واحدة. ويرتبط هذا مع واحدة من خوارزميات التشفير الأكثر تقدما، ومع درجة تغلغل الفيروس في نظام الكمبيوتر، أو حتى شبكة اتصال محلية (على الرغم من البداية على آثار الشبكة وغير محسوب عليه).

ما هو فيروس NO_MORE_RANSOM وكيف يعمل؟

عموما، فإن الفيروس نفسه على فئة من أحصنة طروادة مثل أنا أحبك، والتي تخترق نظام الكمبيوتر وتشفير الملفات الخاصة بالمستخدم (عادة الوسائط المتعددة). ومع ذلك، إذا اختلف جد التشفير الوحيد، هو استعار هذا الفيروس إلى حد كبير من خطر مرة واحدة مثيرة دعا DA_VINCI_COD، والجمع في حد ذاته كما يعمل عشار.

بعد الإصابة، يتم تعيين معظم ملفات الصوت والفيديو والرسومات والوثائق المكتبية اسم طويل جدا مع NO_MORE_RANSOM الإرشاد، وتحتوي على كلمة مرور معقدة.

عندما تظهر رسالة افتتح أن الملفات المشفرة وفك التشفير للمنتج تحتاج إلى دفع بعض المبلغ.

كما يشكل تهديدا للتسلل الى النظام؟

دعونا ناهيك عن مسألة كيف، بعد NO_MORE_RANSOM تأثير فك تشفير الملفات من أي نوع من أنواع المذكورة أعلاه، واللجوء إلى التكنولوجيا لاختراق فيروس في نظام الكمبيوتر. للأسف، مبتذل كما قد يبدو، فإنه يستخدم الطريقة القديمة: عن طريق البريد الإلكتروني يأتي مع فتح مرفق، يتلقى المستخدم تفعيل والشيفرات الخبيثة.

أصالة، كما نرى، فإن هذا الأسلوب لا يختلف. ومع ذلك، يمكن المقنعة الرسالة بوصفها شيئا النص معنى له. أو، على العكس من ذلك، على سبيل المثال، في حالة الشركات الكبيرة، - تغيير في شروط العقد. ومن المعلوم أن كاتب العاديين بفتح المرفق، ثم ويحصل على النتائج السيئة. أصبحت واحدة من ألمع مشاعل قواعد حزمة التشفير الشعبية 1C البيانات. وهذا أمر خطير.

NO_MORE_RANSOM: كيفية فك الوثائق؟

ولكن يستحق يزال لأنتقل إلى السؤال الرئيسي. بالتأكيد الجميع مهتم في كيفية فك تشفير الملفات. NO_MORE_RANSOM الفيروس لديه سلسلة من الإجراءات. إذا حاول المستخدم لأداء فك التشفير بعد العدوى مباشرة، وجعلها شيء آخر ممكن. إذا تم تسوية التهديد بقوة في النظام، للأسف، من دون مساعدة من المهنيين لا تستطيع أن تفعل. لكنها في كثير من الأحيان عاجزة.

إذا تم الكشف عن التهديد في الوقت المناسب، وطريقة واحدة فقط - تنطبق على دعم شركات مكافحة الفيروسات (ولكن ليس تم تشفيرها جميع الوثائق) لإرسال زوج لا يمكن الوصول إليها لفتح الملفات وعلى أساس التحليل الأصلي، المخزنة على الوسائط القابلة للإزالة، في محاولة لاستعادة الوثائق المصابة بالفعل سابقا النسخ على نفس محرك أقراص فلاش USB أي شيء آخر متاح لفتح (على الرغم من ضمان كامل أن الفيروس لم ينتشر إلى هذه الوثائق ليست هي نفسها). بعد ذلك، على ولاء الناقل فمن الضروري أن تحقق ما لا يقل عن الفيروسات (الذي يعرف ما).

خوارزمية

ينبغي ان نذكر ايضا حقيقة أن لتشفير الفيروس يستخدم خوارزمية RSA-3072، والتي، على النقيض من تكنولوجيا RSA-2048 تستخدم في السابق معقدة، لدرجة أن اختيار كلمة المرور الصحيحة، حتى على افتراض أن هذا سوف تتعامل مع الوحدة كاملة من مختبرات مكافحة الفيروسات ، فإنه قد يستغرق شهورا أو سنوات. وهكذا، فإن مسألة كيفية فك NO_MORE_RANSOM، تتطلب وقتا طويلا تماما. ولكن ماذا إذا كنت بحاجة إلى استعادة المعلومات على الفور؟ بادئ ذي بدء - لحذف الفيروس نفسه.

هل من الممكن لإزالة الفيروس وكيف نفعل ذلك؟

في الواقع، ليس من الصعب القيام به. اذا حكمنا من خلال غطرسة المبدعين الفيروس، لا يخفي تهديدا للنظام الكمبيوتر. على العكس من ذلك - بل حتى مربحة "samoudalitsya" بعد انتهاء الإجراءات المذكورة أعلاه.

ومع ذلك، في البداية، وبعد أن يؤدي الفيروس، فإنه لا يزال يتعين تحييدها. وتتمثل الخطوة الأولى لاستخدام المرافق العامة وقائية المحمولة مثل KVRT، التقيم، الدكتور CureIt شبكة الإنترنت! وما شابه ذلك. ملاحظة: تستخدم لاختبار البرنامج يجب أن يكون من نوع المحمولة إلزامي (دون تركيب أي شيء على القرص الصلب مع تشغيل على النحو الأمثل من الوسائط القابلة للإزالة). إذا تم الكشف عن التهديد، يجب إزالته فورا.

إذا لم يتم توفير مثل هذا العمل، يجب عليك أولا الذهاب إلى "إدارة المهام" والانتهاء منه جميع العمليات المرتبطة بالفيروس، مرتبة حسب اسم الخدمة (عادة، عملية وقت التشغيل وسيط).

بعد إزالة المشكلة، يجب أن نسميه محرر التسجيل (regedit في القائمة "تشغيل") والبحث عن لقب «خادم العميل وقت التشغيل النظام» (بدون علامتي الاقتباس)، ثم باستخدام القائمة الخطوة على نتائج "بحث عن التالي ..." لإزالة كافة أصناف تم العثور عليها. القادمة التي تحتاج إلى إعادة تشغيل الكمبيوتر، ونعتقد في "إدارة المهام" لمعرفة ما إذا كان هناك عملية المطلوبة.

من حيث المبدأ، فإن مسألة كيفية فك فيروس NO_MORE_RANSOM لا يزال على خشبة المسرح من العدوى، ويمكن حلها بواسطة هذه الطريقة. احتمال تحييد، بطبيعة الحال، هو صغير، ولكن هناك فرصة.

كيفية فك تشفير الملفات المشفرة NO_MORE_RANSOM: النسخ الاحتياطي

ولكن هناك طريقة أخرى، والذي يعرف عدد قليل من الناس أو حتى تخمين. حقيقة أن نظام التشغيل يخلق باستمرار النسخ الاحتياطي الظل الخاصة بها (على سبيل المثال، في حالة الاسترداد)، أو عن طريق خلق عمدا مثل هذه الصور. كما يظهر الممارسة، وهذا الفيروس لا يؤثر على تلك النسخ (في هيكلها، وببساطة لم تقدم عليه، على الرغم من أنه من الممكن).

وهكذا، فإن مشكلة كيفية فك NO_MORE_RANSOM، يتلخص في أجل استخدام هذا الرمز. لا ينصح ومع ذلك، لاستخدام أدوات ويندوز القياسية لهذا (ووكثير من المستخدمين إلى نسخة خفية لا من الحصول على الإطلاق). لذلك، تحتاج إلى استخدام ShadowExplorer فائدة (وهو محمول).

لاستعادة، ببساطة تشغيل قابل للتنفيذ ملف البرنامج، فرز المعلومات التي التاريخ أو العنوان، حدد النسخة المطلوبة (الملفات والمجلدات، أو النظام بأكمله) ومن خلال القائمة PCM لاستخدام خط التصدير. مزيد من الدليل المحدد ببساطة الذي سيتم تخزين النسخة الحالية ومن ثم يستخدم عملية الانتعاش القياسية.

أدوات الطرف الثالث

بطبيعة الحال، فإن مشكلة كيفية فك NO_MORE_RANSOM، العديد من المختبرات وتقدم الحلول الخاصة بها. على سبيل المثال، "كاسبرسكي لاب" توصي باستخدام منتجاتها البرامج الخاصة كاسبيرسكي Decryptor، قدم في نسختين - Rakhini ورئيس الجامعة.

نظرة لا تقل إثارة للاهتمام وتطور مماثل مثل NO_MORE_RANSOM فك الدكتور على شبكة الإنترنت. ولكن هنا لا بد على الفور أن تأخذ في الاعتبار أن استخدام مثل هذه البرامج له ما يبرره إلا في حالة الكشف عن التهديد السريع، في حين أصيب ليس كل الملفات. إذا ترسخ الفيروس بقوة في النظام (عندما تشفير الملفات فقط لا يمكن مقارنة مع النسخ الأصلية من غير مشفرة)، وربما يكون هذا التطبيق غير مجدية.

ونتيجة لذلك

في الواقع، فإن الاستنتاج هو واحد فقط: لمحاربة الفيروس يجب أن يكون فقط على مرحلة العدوى، وعندما يكون هناك سوى التشفير الأول من الملفات. بشكل عام، فمن الأفضل عدم فتح المرفقات في رسائل البريد الإلكتروني الواردة من مصادر مشكوك فيها (وهذا يشير بشكل حصري للعملاء، وتركيبها مباشرة على جهاز الكمبيوتر الخاص بك - التوقعات، واعرب عن oulook، وما إلى ذلك). وبالإضافة إلى ذلك، إذا كان الموظف تحت تصرفها قائمة من العملاء والشركاء لمعالجة افتتاح رسائل "اليسار" من غير المناسب تماما، حيث أن معظم في التعاقد مع اتفاقيات عدم الكشف علامة على الأسرار التجارية، والأمن السيبراني.