NO_MORE_RANSOM - як розшифрувати зашифровані файли?

Дата:

2018-07-09 17:40:11

Перегляди:

378

Рейтинг:

1Дизлайк 0Любити

Поділитися:

Table of contents:

В кінці 2016 року світ був атакований вельми нетривіальним вірусом-трояном, шифрувальним користувальницькі документи і мультимедіа-контент, який отримав назву NO_MORE_RANSOM. Як розшифрувати файли після впливу цієї загрози, і далі буде розглянуто. Однак відразу варто попередити всіх користувачів, які зазнали атаки, що єдиної методики немає. Це пов'язано і з використанням одного з найбільш просунутих алгоритмів шифрування, і зі ступенем проникнення вірусу в комп'ютерну систему або навіть в локальну мережу (хоча спочатку на мережеве вплив він не розрахований).

Що за вірус NO_MORE_RANSOM і як він працює?

Взагалі, сам вірус прийнято відносити до класу троянів типу I Love You, які проникають в комп'ютерну систему і шифрують файли користувача (зазвичай це мультимедіа). Правда, якщо прабатько відрізнявся тільки шифруванням, то цей вірус дуже багато запозичив у колись гучної загрози під назвою DA_VINCI_COD, поєднавши в собі ще й функції здирника.

no more ransom як розшифрувати

Після зараження більшості файлів аудіо, відео, графіки або офісних документів присвоюється довжелезне ім'я з розширенням NO_MORE_RANSOM, що містить складний пароль.

розшифрувати файли no more ransom

При спробі їх відкриття на екрані з'являється повідомлення про те, що файли зашифровані, а твори для дешифрування потрібно заплатити деяку суму.

Як загроза проникає в систему?

Залишимо поки в спокої питання про те, як після впливу NO_MORE_RANSOM розшифрувати файли будь-якого з вищевказаних типів, а звернемося до технології проникнення вірусу в комп'ютерну систему. На жаль, як би банально це не звучало, для цього використовується старий перевірений спосіб: на адресу електронної пошти приходить лист з вкладенням, відкриваючи яке користувач і одержує спрацьовування шкідливого коду.

Більше:

Розширення

Розширення "Економія трафіку Google Chrome

У статті піде мова про те, як здійснюється економія трафіку в Google Chrome. Цей режим ще називають "Турбо", і його практично кожен спостерігав в таких браузерах, як Yandex Browser або Opera. Проте в Google Chrome даний компонент відсутній, і заощади...

Смайли в

Смайли в "Скайпі" - опис, застосування, секрети

Skype - програма, якою користуються багато людей. Вона призначена спеціально для спілкування і обміну даними. Як і будь-який інший месенджер, "Скайп" оснащений чудовим інтерфейсом і графічними елементами. Тут можна виражати емоції різними способами. ...

Ресурс вогняна сіль в

Ресурс вогняна сіль в "Скайриме"

Матеріал у грі «Скайрим» вогняна сіль має ряд застосувань, які будуть корисні для гравця. Цей предмет можна дістати кількома способами, які варто знати користувачу. Стаття надає всю потрібну інформацію з цього ресурсу.ВидобутокУ проекті ж...

Оригінальністю, як бачимо, ця методика не відрізняється. Однак повідомлення може бути замасковано під нічого не значущий текст. Або, навпаки, наприклад, якщо мова йде про великих компаніях, - під зміну умов якогось контракту. Зрозуміло, що пересічний клерк відкриває вкладення, а далі і отримує плачевний результат. Однією з найяскравіших спалахів стало шифрування баз даних популярного пакету 1С. А це вже справа серйозна.

NO_MORE_RANSOM: як розшифрувати документи?

Але все ж таки варто звернутися до головного питання. Напевно, всіх цікавить, як розшифрувати файли. Вірус NO_MORE_RANSOM має свою послідовність дій. Якщо користувач намагається справити дешифрування відразу ж після зараження, зробити це ще так-сяк можна. Якщо ж загроза влаштувалася в системі міцно, на жаль, без допомоги фахівця тут не обійтися. Але й вони найчастіше виявляються безсилі.

Якщо загроза була виявлена вчасно, шлях тільки один – звернутися до служби підтримки антивірусних компаній (поки ще не всі документи були зашифровані), відправити пару недоступних для відкриття файлів та на основі аналізу оригіналів, що зберігаються на знімних носіях, спробувати відновити вже заражені документи, попередньо скопіювавши на ту саму флешку все, що доступно для відкриття (хоча повної гарантії того, що вірус не проник такі документи, теж немає). Після цього для вірності носій потрібно обов'язково перевірити хоча б антивірусним сканером (мало що).

Алгоритм

Окремо варто сказати і про те, що вірус для шифрування використовує алгоритм RSA-3072, який, на відміну від раніше застосованої технології RSA-2048, є настільки складним, що підбір потрібного пароля, навіть за умови, що цим буде займатися весь контингент антивірусних лабораторій, може тривати місяці й роки. Таким чином, питання того, як розшифрувати NO_MORE_RANSOM, потребує досить великих тимчасових витрат. Але що робити, якщо відновити інформацію потрібно негайно? Насамперед – видалити сам вірус.

Можна видалити вірус і як це зробити?

Власне, зробити це неважко. Судячи по нахабства творців вірусу, загроза в комп'ютерній системі не маскується. Навпаки – їй навіть вигідно «самоудалиться» після закінчення цих дій.

no more ransom вірус як розшифрувати

проте спочатку, йдучи на поводу у вірусу, його все-таки слід нейтралізувати. Першим ділом необхідно використовувати портативні захисні утиліти начебто KVRT, Kaspersky, Dr. Web CureIt! і їм подібні. Зверніть увагу: застосовуються для перевірки програми повинні бути портативного типу в обов'язковому порядку (без установки на жорсткий диск з запуском в оптимальному варіанті зі знімного носія). Якщо загроза буде виявлена, її слід негайно видалити.

no more ransom як розшифрувати документи

Якщо такі дії не передбачені, необхідно спочатку зайти в «Диспетчер задач» і завершити в ньому всі процеси, пов'язані з вірусом, відсортувавши служби за назвою (як правило, це процес Runtime Broker).

no more ransom вірус як розшифрувати файли

Після зняття задачі потрібно викликати редактор реєстру (regedit у меню «Виконати») і задати пошук за назвою «Client Server Runtime System» (без лапок), після чого використовуючи меню переміщення за результатами «Знайти далі…», видалити всі знайдені елементи. Далі потрібно зробитиперезавантаження комп'ютера і повірити в «Диспетчері завдань», немає там шуканого процесу.

В принципі, питання того, як розшифрувати вірус NO_MORE_RANSOM ще на стадії зараження, може бути вирішено таким методом. Ймовірність його нейтралізації, звичайно, невелика, але шанс є.

Як розшифрувати файли зашифровані NO_MORE_RANSOM: резервні копії

Але є ще одна методика, про яку мало хто знає або навіть здогадується. Справа в тому, що сама операційна система постійно створює власні тіньові резервні копії (наприклад, на випадок відновлення), або користувач навмисно створює такі образи. Як показує практика, саме на такі копії вірус не впливає (в його структурі це просто не передбачено, хоча і не виключено).

Таким чином, проблема того, як розшифрувати NO_MORE_RANSOM, зводиться до того, щоб використовувати саме їх. Однак застосовувати для цього штатні засоби Windows не рекомендується (а багато користувачів до прихованих копій не отримають доступу взагалі). Тому потрібно застосовувати утиліту ShadowExplorer (вона є портативною).

як розшифрувати зашифровані файли no more ransom

Для відновлення потрібно просто запустити виконуваний файл програми, сортувати інформацію за датами або розділів, вибрати потрібну копію (файлу, папки або всієї системи) і через меню ПКМ використовувати рядок експорту. Далі просто вибирається директорія, в якій буде збережена поточна копія, а потім використовується стандартний процес відновлення.

Сторонні утиліти

Звичайно, до проблеми того, як розшифрувати NO_MORE_RANSOM, багато лабораторії пропонують свої власні рішення. Так, наприклад, «Лабораторія Касперського» рекомендує використовувати власний програмний продукт Kaspersky Decryptor, представлений у двох модифікаціях – Rakhini і Rector.

no more ransom як розшифрувати

Не менш цікаво виглядають і аналогічні розробки як дешифратора NO_MORE_RANSOM від Dr. Web. Але тут варто відразу ж врахувати, що застосування таких програм виправдано тільки у випадку швидкого виявлення загрози, поки ще не були заражені всі файли. Якщо ж вірус влаштувався в системі міцно (коли зашифровані файли просто неможливо порівняти з їх незашифрованими оригіналами), і такі додатки можуть виявитися марними.

Як підсумок

Власне, висновок напрошується тільки один: боротися з цим вірусом необхідно виключно на стадії зараження, коли відбувається шифрування тільки перше файлів. А взагалі, краще не відкривати вкладення електронної пошти, отриманих із сумнівних джерел (це стосується виключно клієнтів, встановлених безпосередньо на комп'ютері – Outlook, Oulook Express та ін). До того ж, якщо співробітник компанії має у своєму розпорядженні список адрес клієнтів і партнерів, відкриття «лівих» повідомлень стає абсолютно недоцільним, оскільки більшість при прийомі на роботу підписує угоди про нерозголошення комерційної таємниці та кібербезпеки.


Article in other languages:

AR: https://www.tostpost.com/ar/computers/1642-no_more_ransom.html

BE: https://www.tostpost.com/be/kamputary/2841-no_more_ransom---yak-rasshyfravac-zashyfravanyya-fayly.html

DE: https://www.tostpost.com/de/computer/2839-no_more_ransom---wie-verschl-sselte-dateien-entschl-sseln.html

En: https://www.tostpost.com/computers/6951-no_more_ransom---how-to-decrypt-encrypted-files.html

ES: https://www.tostpost.com/es/los-ordenadores/2844-no_more_ransom---como-descifrar-los-archivos-cifrados.html

HI: https://www.tostpost.com/hi/computers/1642-no_more_ransom.html

JA: https://www.tostpost.com/ja/computers/1641-no_more_ransom.html

KK: https://www.tostpost.com/kk/komp-yuterler/2842-no_more_ransom---alay-taldau-kerek-shifrlan-an-fayldardy.html

PL: https://www.tostpost.com/pl/komputery/2845-no_more_ransom---jak-odszyfrowa-zaszyfrowane-pliki.html

PT: https://www.tostpost.com/pt/computadores/2842-no_more_ransom---como-descriptografar-arquivos-criptografados.html

TR: https://www.tostpost.com/tr/bilgisayarlar/2847-no_more_ransom---ifresini-ifrelenmi-dosyalar.html

ZH: https://www.tostpost.com/zh/computers/1776-no_more_ransom.html






Alin Trodden - автор статті, редактор
"Привіт, Я Алін Тродден. Я пишу тексти, читаю книги і шукаю враження. І я непогано вмію розповідати вам про це. Я завжди радий брати участь у цікавих проектах."

Примітка (0)

Ця стаття не має коментарів, будьте першим!

Додати коментар

Новини

МФУ Canon LaserBase MF3110. Відгуки, характеристики, технологія та порядок налаштування

МФУ Canon LaserBase MF3110. Відгуки, характеристики, технологія та порядок налаштування

Чудовим поєднанням функціональності, швидкодії та доступної ціни може похвалитися МФУ початкового класу Canon LaserBase MF3110. Це периферійний рішення просто відмінно підходить для офісного або домашнього використання. Єдине обме...

Як нумерувати сторінки у

Як нумерувати сторінки у "Ворді" 2003, 2007 і 2010

Робота з популярним текстовим редактором невіддільна від знання того, як нумерувати сторінки у "Ворді". Це вкрай важливий елемент форматування, тому вміти поводитися з ним повинен кожен користувач ПК. Багато новачків роблять вельм...

ISBN книги - що це за код і як його отримати?

ISBN книги - що це за код і як його отримати?

Сьогодні одним з найбільш успішних стандартів електронних видань є код ISBN книги. Що це за формат і в чому його переваги, знають деякі користувачі, однак за неповні тридцять років активного використання він вже встиг підкорити ви...

PUP.Optional - що це за вірус і як його видалити? Віруси сімейства PUP. Рекламний вірус

PUP.Optional - що це за вірус і як його видалити? Віруси сімейства PUP. Рекламний вірус

Рекламний вірус – це в інтернеті явище досить часто зустрічається. Загрози цього типу умовно можна розділити на відносно безпечні (викрадачів браузерів) і дуже небезпечні (шпигуни, здирники), які здатні блокувати роботу сист...

Помилка failed to initialize renderer (Skyrim): як виправити, поради

Помилка failed to initialize renderer (Skyrim): як виправити, поради

Все пропало! Улюблена гра не запускається, починається паніка. А все тому, що на екрані помилка failed to initialize renderer в Skyrim. Як її виправити? Є способи, з допомогою яких можна вирішити проблему і увійти в захоплюючий св...

Чотири способи, як дізнатися модель материнської плати

Чотири способи, як дізнатися модель материнської плати

Користувачі домашніх персональних комп'ютерів часто стикаються з проблемою ідентифікації свого "заліза". В тому числі і материнської плати, яка служить основою для всього комп'ютера, а значить, є найважливішим компонентом системи....