NO_MORE_RANSOM - şifresini şifrelenmiş dosyaları?

Sonunda, 2016 dünya saldırıya uğradı çok нетривиальным virüs, trojan, шифрующим özel belgeleri ve multimedya içeriği, alan adı NO_MORE_RANSOM. Gibi dosyaların şifresini maruz kaldıktan sonra bu tehdit, ileri ve incelenecektir. Ancak hemen uyarmalı tüm kullanıcıların maruz kalan, saldırı, tek bir tekniği yok. Bunun nedeni, ve birini kullanarak en gelişmiş şifreleme algoritmaları ve derecesi penetrasyon virüs bilgisayar sistemi veya hatta bir yerel ağ (her ne kadar başlangıçta, ağ etkisi ve hesaplanır).

Bu bir virüs NO_MORE_RANSOM ve nasıl çalışır?

Genel olarak, virüs, kendini bir parçası olarak kabul edilir sınıf truva atı tip I Love You, nüfuz bilgisayar sistemi ve dosyaları şifrelemek kullanıcı (genellikle multimedya). Doğru, eğer atası farklıydı sadece şifreleme, bu virüs bir çok şey ödünç, bir zamanlar sansasyonel bir tehdit adında DA_VİNCİ_COD hizalayarak kendi içinde başka özellikleri şantajcı.

Hastalığa yakalandıktan Sonra, çoğu dosya, ses, video, grafik veya ofis belge verilir длиннющее adı uzantısı ile NO_MORE_RANSOM içeren karmaşık bir şifre.

çalıştığınızda, onların açılış ekranında bir mesaj belirir hakkında ne dosyalar şifrelenir ve eserleri şifresini çözmek için gereken bir miktar ödemek.

Nasıl tehdit eder bu sistem?

Bırakalım kadar yalnız soru nasıl maruz kaldıktan sonra NO_MORE_RANSOM şifresini herhangi bir dosya yukarıdaki türleri, dönüp teknolojisi penetrasyon virüs bilgisayar sistemi. Ne yazık ki, çok basmakalıp gibi gelse de, bunu yapmak için kullanılan, eski kanıtlanmış bir yöntem: e-posta adresi geliyor ek bir e-posta açarak, bir kullanıcı alır ve pozitif, kötü amaçlı kod.

Daha:

Lenovo v580c: ayrıntılı bir inceleme

Bugün karar hakkında yazmak için bir dizüstü Lenovo v580c. İnceleme ayrıntılı olarak bu taşınabilir PC serisi Ideapad yüksek popülerlik, ama çok değil biliyorum, ne çekiyor bu cihaz alıcı. Model, hızlı ve kendi içinde çok olumlu özellikleri de vardır...

İstiyorsanız, taklit disk görüntü? Program Alcohol %120 - en iyi çözüm!

Birçok profesyonel PC kullanıcıları farkındayız son derece kaliteli ve işlevsel bir program görüntüleri ile çalışmak. Alcohol 120% - bu muhteşem programı bilen yaratmak için değil, sadece «hayaletler» en farklı disk türleri için yola çıka...

Screen: bu nedir ve nasıl oluşturmak için

Birkaç kullanıcılar nasıl biliyor sreen, nedir ve ne için kullanılır? Altında veri kavramı ima anlık ekran. Tabii ki, önce öğrenmek, onu almak için nasıl anlamak gerekir, ne için genellikle gereklidir, ve şimdi biz bu konuda konuşmak.Sreen: nedir ve ...

Özgünlük, gördüğünüz gibi, bu teknik, farklı değil. Ancak bir mesaj gizlenmiş olabilir altında hiçbir şey önemli metin. Veya, tam tersi, örneğin, eğer söz konusu büyük şirketler, altında değişen koşullara çeşit sözleşme. Açıkçası, bir üye, bir katip, bir eki açar ve daha sonra alır ve acıklı bir sonuç. En parlak patlamaları oldu veritabanı şifreleme popüler ismi 1C. Bu da zaten ciddi bir mesele.

NO_MORE_RANSOM: nasıl deşifre belgeler?

Ama yine de değer başvurmak ana konu. Eminim herkes merak ediyor, nasıl şifresini dosyaları. Virüs NO_MORE_RANSOM bir aksiyon dizisi. Çalışırsa üretmek şifre çözme ' de aynı hastalığa yakalandıktan sonra, bunu yapmak için başka bir şey. Eğer bir tehdit обосновалась sisteme sıkıca, ne yazık ki, profesyonellerin yardımı olmadan burada yapamam. Ama onlar genellikle kendilerini güçsüz.

Eğer bir tehdit algılandı zamanında, yolu, sadece bir tek – yardım, destek anti-virüs şirketleri (henüz tüm belgeler şifreli), bir çift göndermek için ulaşılmaz dosyaları açmak ve analiz ederek özgün, kayıtlı çıkarılabilir, yeniden denemek için zaten virüslü belgeler, önceden kopyalayarak aynı usb flash sürücü, tüm, başka ne için kullanılabilir açılması (her ne kadar tam bir garanti, virüs girmiş gibi belgeleri de yok). Bundan sonra sadakat ortam mutlaka kontrol edin, en azından bir virüs tarayıcı (az).

Algoritma

Ayrı bir değer olduğunu söylemek ve bu virüs için bir şifreleme algoritması RSA-3072, aksine, daha önce uygulanan teknoloji, RSA-2048, çok karmaşık olduğu için, bu seçimi doğru şifre bile şartıyla ilgilenecek tüm şarta anti-virüs laboratuvarları, sürebilir, aylar ve yıllar. Yani soru nasıl deşifre NO_MORE_RANSOM gerektirir ve oldukça büyük zaman alabilir. Ama eğer bilgileri kurtarmak gerekiyor hemen? Her şeyden önce – kaldırmak için virüs kendisi.

Alabilirim virüs kaldırmak ve bunu yapmak için nasıl?

Aslında, bunu yapmak zor değil. Bakılırsa, kibir yaratıcıları virüs, tehdit bilgisayar sistemine maskeli değil. Tam tersi – ona bile karlı «самоудалиться» mezun olduktan sonra yapılan eylem.

Ancak, ilk başta, gidiş hakkında bir virüsün, hala nötralize edilmelidir. İlk olarak kullanmak istediğiniz taşınabilir koruyucu araçları gibi KVRT, Malwarebytes, Dr. Web Cureıt! ve onlara benzer. Dikkat: için kullanılan kontrol programı olmalıdır taşınabilir türü zorunlu (kurulum olmadan sabit diski çalıştırmadan en iyi seçeneği çıkarılabilir ortam). Bir tehdit tespit edilirse, onu hemen silin.

Eğer herhangi bir eylem öngörülmemiştir, önce gidip, «görev Yöneticisi» ve tamamlamak için tüm virüs ile ilgili süreçleri, sıralamak suretiyle hizmet adına göre (genellikle, bu işlem, Runtime Broker).

çıkarıldıktan Sonra görev çağırın kayıt defteri düzenleyicisi'ni (regedit menü «Çalıştır») sormak adına göre arama «Client Server Runtime System» (tırnak işaretleri olmadan), ve sonra menüsünü kullanarak taşımak sonuçlarına göre «sonrakini Bul…» her şeyi silmek ürün bulundu. İleri üretmekbilgisayarınızı yeniden başlatmanız ve inanmak «görev Yöneticisi» var mı? arama süreci.

Prensip olarak, soru olarak deşifre virüs NO_MORE_RANSOM aşamasında enfeksiyon, karar verilebilir ve bu yöntem. Olasılık onu nötralize etmek için, tabii ki, küçük, ama bir şans var.

Gibi dosyaların şifresini çözme şifreli NO_MORE_RANSOM: yedekleme

Ama başka bir tekniği olduğu hakkında çok az kişi biliyor ya bile bilmiyor. Mesele şu ki, kendisi bir işletim sistemi sürekli olarak oluşturur ve kendi gölge yedekleme (örneğin, kurtarma durumunda), ya da bir kullanıcı kasten oluşturur bu görüntüler. Uygulamada görüldüğü gibi, bu tür kopyaları virüs etkisi (onun yapısı bu, sadece, yoktur, olsa da imkansız değil).

Bu nedenle, bir sorun olarak deşifre NO_MORE_RANSOM, aşağı kaynar, kullanmak için tam olarak. Ancak uygulamak için kurulmuş Windows aracı tavsiye edilmez (ve birçok kullanıcı gizli kopyaları erişemez genel). Bu nedenle uygulamak gerekir yardımcı ShadowExplorer (taşınabilir).

Geri yüklemek İçin, sadece yürütülebilir dosyayı çalıştırmak programları sıralamak bilgileri tarihe göre veya bölüm seçmek istediğiniz kopya (dosya, klasör veya tüm sistemi) ve menü üzerinden PKM kullanmak için bir dize verme. Bundan sonra sadece seçilen rehber olduğu kaydedilir geçerli bir kopyası, ve daha sonra tarafından kullanılan standart kurtarma işlemi.

Üçüncü taraf programı

Tabii ki, bu sorunu nasıl deşifre NO_MORE_RANSOM, pek çok laboratuvarda, kendi çözümlerini sunuyoruz. Yani, örneğin, «Kaspersky Lab» önerir, kendi yazılım ürünü Kaspersky Decryptor sunulan iki model – Rakhini ve Rector.

Daha az ilginç görünüyor ve benzer bir tasarım gibi decoder NO_MORE_RANSOM Dr. Web. Ama burada hemen dikkate alındığında, bu uygulama, bu tür programların haklı, yalnızca hızlı algılama tehditler, henüz enfekte edildi, tüm dosyalar. Eğer aynı virüs yerleşmiş sistem sağlam (zaman şifrelenmiş dosyaları sadece karşılaştırmak imkansız onların şifrelenmemiş orijinal), ve bu tür uygulamalar yararsız olabilir.

Sonuç

Aslında, sonuç bir mücadele ile bu virüs gerekli son derece aşamasında enfekte olduğunda, şifreleme, yalnızca ilk dosya. Genel olarak, iyi bir eki açmak için, e-posta iletilerinde alınan şüpheli kaynaklardan (bu durum sadece müşteri ile kurulan doğrudan bir bilgisayarda – Outlook, Oulook Express ve diğerleri). Ayrıca eğer bir şirket çalışanı kendi emrinde bir adres listesi müşteri ve iş ortakları, açılış «solcu» mesaj olur tamamen uygunsuz, çünkü çoğu iş başvurusu sırasında imzalar gizlilik anlaşması ticari sır ve siber güvenlik.