NO_MORE_RANSOM - hoe u de versleutelde bestanden te decoderen?

In het najaar van 2016 werd de wereld aangevallen door een erg triviaal-trojan-virus versleutelt documenten en multimedia content, genaamd NO_MORE_RANSOM. Hoe om bestanden te decoderen na blootstelling aan deze dreiging, en zal verder worden besproken. Echter, zodra het noodzakelijk is voor alle gebruikers die zijn aangevallen te waarschuwen, dat er geen enkele methodologie. Dit hangt samen met een van de meest geavanceerde encryptie-algoritmen en de mate van penetratie van het virus in het computersysteem, of zelfs een lokaal netwerk (hoewel aanvankelijk op netwerkgevolgen en niet berekend).

Wat een NO_MORE_RANSOM virus en hoe het werkt?

In het algemeen, het virus zich als klasse van Trojaanse paarden, zoals Ik hou van jou, welke bestanden van de gebruiker (meestal multimedia) doordringen in het computersysteem en versleutelen. Echter, als een grootouder alleen encryptie verschilden, dit virus is zeer veel van de ooit sensationele bedreiging genoemd DA_VINCI_COD, een combinatie van op zichzelf functioneert ook afperser.

Na infectie, is de meerderheid van de audiobestanden, video, graphics en kantoordocumenten een zeer lange naam die is toegewezen met een extensie NO_MORE_RANSOM, met daarin een complex wachtwoord.

Wanneer geopend bericht verschijnt dat de bestanden worden versleuteld en decryptie voor het product moet u een aantal bedrag te betalen.

Als een bedreiging door te dringen in het systeem?

Laat ons met rust laten de vraag hoe, na de impact NO_MORE_RANSOM decoderen van bestanden van elk van de bovengenoemde soorten, en zich tot de technologie voor het binnendringen van het virus in het computersysteem. Helaas, zo oubollig als het klinkt, het maakt gebruik van ouderwetse manier: via e-mail wordt geleverd met een bijlage wordt geopend, de gebruiker de activering en kwaadaardige code ontvangt.

Originaliteit, zoals we kunnen zien, deze techniek is niet anders. Echter, kan het bericht worden vermomd als een betekenisloze tekst niets. Of, integendeel, bijvoorbeeld in het geval van grotere bedrijven, - een wijziging in de voorwaarden van een contract. Het is duidelijk dat een gewone bediende de bijlage opent, en dan en krijgt slechte resultaten. Een van de helderste flares werd populair encryptiepakket bases 1C data. En dit is een ernstige zaak.

NO_MORE_RANSOM: hoe de documenten te ontcijferen?

Maar nog steeds de moeite waard om te draaien op de hoofdvraag. Zeker iedereen is geïnteresseerd in hoe de bestanden te decoderen. NO_MORE_RANSOM virus heeft een reeks handelingen aan. Als de gebruiker probeert decryptie uit te voeren direct na infectie, maak er iets anders mogelijk te maken. Als de dreiging stevig is gevestigd in het systeem, helaas, zonder de hulp van professionals niet kan doen. Maar ze zijn vaak machteloos.

Als de dreiging is tijdig ontdekt, de manier waarop slechts één - van toepassing op antivirus bedrijven ondersteuning (nog niet alle documenten zijn gecodeerd) om een paar ontoegankelijk voor het openen van bestanden en op basis van de originele analyse, die zijn opgeslagen op verwijderbare media te sturen, proberen om die reeds besmet zijn documenten eerder te herstellen kopiëren op dezelfde USB-stick wat anders beschikbaar om te openen (hoewel een volledige garantie dat het virus niet heeft verspreid naar dergelijke documenten is niet hetzelfde) is. Na dat, voor een drager loyaliteit is het noodzakelijk om op zijn minst een virusscanner te controleren (wie weet).

algoritme

We moeten ook vermelden het feit dat aan het virus te versleutelen maakt gebruik van RSA-3072-algoritme, die, in tegenstelling tot de eerder gebruikte RSA-2048-technologie is zo complex, dat de selectie van het juiste wachtwoord, zelfs in de veronderstelling dat dit zal zich bezighouden met het hele contingent van anti-virus laboratoria Het kan maanden of jaren duren. Zo is de vraag hoe om te NO_MORE_RANSOM ontcijferen, vergen veel tijd in beslag. Maar wat als je nodig hebt om informatie onmiddellijk te herstellen? In de eerste plaats - aan het virus zelf te verwijderen.

Is het mogelijk om het virus te verwijderen en hoe dat te doen?

Eigenlijk is het niet moeilijk te doen. Te oordelen naar de arrogantie van het virus makers, is de dreiging van het computersysteem niet gemaskeerd. Integendeel - het zelfs winstgevend "samoudalitsya" na het einde van de bovengenoemde acties.

Niettemin, aanvankelijk, in navolging van het virus, het nog moet worden geneutraliseerd. De eerste stap is om draagbare beschermende utilities gebruiken zoals KVRT, Malwarebytes, Dr. Web CureIt! en dergelijke. Opmerking: wordt gebruikt om het programma te testen van een draagbaar moet zijn is verplicht (zonder iets te installeren op de harde schijf met optimaal loopt vanaf de verwisselbare media). Als er een bedreiging is gedetecteerd, moet deze onmiddellijk worden verwijderd.

Indien een dergelijke actie niet wordt geleverd, moet u eerst naar de "Task Manager" en eindigen alle processen die verband houden met het virus, gesorteerd op naam van de service (meestal, het proces Runtime Broker).

Na het verwijderen van het probleem, moeten we de Register-editor te bellen (regedit in het menu "Run") en onderzoek naar de titel «Client Server Runtime System» (zonder de aanhalingstekens), en vervolgens met behulp van de verhuizing menu op de resultaten van "Volgende zoeken ..." om alle gevonden voorwerpen te verwijderen. Vervolgens moet je de computer opnieuw op te starten en te geloven in de "Task Manager" om te zien of er de benodigde proces.

In principe is de vraag hoe ontcijferen NO_MORE_RANSOM virus nog steeds op stadium van de infectie, en kan worden opgelost door deze methode. De kans op neutralisatie, is natuurlijk klein, maar er is een kans.

Hoe om bestanden te decoderen gecodeerde NO_MORE_RANSOM: backups

Maar er is een andere methode, die weinig mensen kennen of zelfs raden. Dat het besturingssysteem continu creëert zijn eigen schaduw files (bijvoorbeeld bij herstel) of door opzettelijk creëren van dergelijke beelden. De praktijk toont, betekent dit virus geen afbreuk aan kopieën (in zijn structuur, is het gewoon niet voorzien, hoewel het mogelijk is).

Zo is het probleem van hoe NO_MORE_RANSOM ontcijferen, komt erop neer om die symbool gebruiken. Echter, om te gebruiken Windows standaard gereedschap worden niet aanbevolen voor dit (en veel gebruikers om de verborgen kopieën zullen geen toegang hebben helemaal). Daarom moet u het hulpprogramma ShadowExplorer gebruiken (het is draagbaar).

Om te herstellen, gewoon het programma te starten programma bestand, de informatie op datum of titel sorteren, selecteert u de gewenste kopie (bestanden, mappen, of het hele systeem) en via de PCM menu om de export lijn te gebruiken. Verder gewoon geselecteerde map waarin de huidige kopie zal worden opgeslagen en vervolgens gebruikt de standaard herstelproces.

Third-party tools

Natuurlijk, het probleem van hoe NO_MORE_RANSOM ontcijferen, veel laboratoria bieden hun eigen oplossingen. Bijvoorbeeld, "Kaspersky Lab" beveelt het gebruik van zijn eigen software product Kaspersky Decryptor, gepresenteerd in twee versies - Rakhini en Rector.

Niet minder interessante blik en een vergelijkbare ontwikkeling als NO_MORE_RANSOM decoder door Dr. Web. Maar hier is het noodzakelijk onmiddellijk rekening mee houden dat het gebruik van dergelijke programma's is alleen gerechtvaardigd in het geval van een snelle detectie van bedreigingen, terwijl niet alle bestanden zijn besmet. Als het virus stevig verankerd in het systeem (toen net gecodeerde bestanden kunnen niet worden vergeleken met hun niet-gecodeerde origineel), en mogen van de toepassing nutteloos zijn.

Als gevolg

In feite is de conclusie is slechts een: om het virus te bestrijden mag uitsluitend op het stadium van de infectie, wanneer er slechts de eerste encryptie van bestanden. In het algemeen is het het beste om niet te bijlagen in e-mailberichten ontvangen van dubieuze bronnen te openen (dit uitsluitend betrekking heeft op klanten, direct geïnstalleerd op uw computer - Outlook, Oulook Express, etc.). Bovendien, als de werknemer beschikt over een lijst van klanten en partners om de opening van de "linkse" berichten is het zeer ongepast, omdat de meeste in huren teken een geheimhoudingsovereenkomst van bedrijfsgeheimen, en cyberveiligheid aan te pakken.