НО_МОРЕ_РАНСОМ - како да дешифрује шифрованим датотекама?

Крајем 2016. године, свет је био нападнут од стране веома тривијално-Тројан вируса шифрује документе и мултимедијалне садржаје, под називом НО_МОРЕ_РАНСОМ. Како дешифровање фајлова након излагања на ову претњу, и биће размотрена. Међутим, када је потребно упозорити све кориснике који су напали, да не постоји јединствена методологија. Ово је повезано са једним од најнапреднијих алгоритама за шифровање, и са степеном продирање вируса у компјутерски систем, или чак локална мрежа (мада у почетку на мрежи ефектима и није израчуната).

Какав НО_МОРЕ_РАНСОМ вирус и како то ради?

Генерално, сам вирус као класу Тројанаца, као што је И Лове Иоу, који продиру у компјутерски систем и шифровање датотека корисника (обично Мултимедиа). Међутим, ако је деда разликовао само енкрипцију, овај вирус је веома позајмљен од једном сензационалном претњу по имену ДА_ВИНЦИ_ЦОД, комбинујући у себи такође функционише изнудјивац.

Након инфекције, већина аудио фајлова, видео, графика и пословних докумената је додељен веома дугачко име са наставком НО_МОРЕ_РАНСОМ, садржи сложену лозинку.

Када се отвори појави порука да су датотеке шифроване и дешифровање за производ који треба да плати одређену суму.

Као претњу да продре у систем?

Нека нас оставе на миру питање како, након удара НО_МОРЕ_РАНСОМ дешифровање датотека било које од наведених врста, и да се окрене технологије за продор на вирус у компјутерском систему. Нажалост, као отрцано звучало, он користи старомодан начин: путем е-пошта долази са отварања прилога, корисник добија активирање и злонамерног кода.

Оригиналност, као што видимо, ова техника се не разликује. Међутим, порука може бити маскиран као бесмислену текста ништа. Или, напротив, на пример, у случају већих компанија, - промена у условима уговора. Подразумева се да обичан службеник отвара прилог, а затим и добија лоше резултате. Један од најсветлијих бакљи је постала популарна Енцриптион Пацкаге база 1ц податке. И ово је озбиљна ствар.

НО_МОРЕ_РАНСОМ: како да дешифрује документа?

Али ипак вреди да се на основно питање. Сигурно сви занима како да дешифрује датотеке. НО_МОРЕ_РАНСОМ вирус има секвенцу акција. Уколико корисник покуша да изврши дешифровање одмах након инфекције, чине га нешто друго могуће. Ако је претња је чврсто населили у систему, авај, без помоћи стручњака не могу да ураде. Али су често немоћни.

Ако је претња је откривена благовремено, тако једина - важи за антивирусних компанија подршке (још није сва документа су кодиран) да пошаље пар недоступан за отварање фајлова и на основу оригиналне анализе, који се налазе на преносним медијима, покушати вратити већ заражених докумената раније копирање на истој УСБ флеш диск шта год је доступан за отварање (иако пуна гаранција да се вирус не шири се тих докумената није исто). Након тога, за носач лојалности потребно је провјерити барем вирус скенер (ко зна шта).

алгоритам

Такође, треба напоменути и чињеницу да за шифрирање вирус користи РСА 3072 алгоритам, који, за разлику од претходно користили РСА 2048 технологија је толико сложен да је избор исправну лозинку, чак и под претпоставком да ће се бавити целог контигента антивирусних лабораторија , може да прође месеци или година. Према томе, питање како дешифровати НО_МОРЕ_РАНСОМ, захтевају доста времена. Али, шта ако је потребно да одмах вратите информације? Пре свега - да бришу саме вирус.

Да ли је могуће уклонити вирус и како се то ради?

Заправо, није тешко урадити. Судећи по ароганцији креатора вируса, опасност од компјутерског система није маскиран. Напротив - она чак и профитабилно "самоудалитсиа" након завршетка наведених радњи.

Ипак, у почетку, након вођством вируса, ипак мора да се неутралише. Први корак је да користите преносни заштитне алате као КВРТ, Малваребитес, Др. Веб ЦуреИт! и слично. Напомена: користи за тестирање програма треба да буду портабл типа је обавезна (без инсталирања ништа на хард диску са текућом оптимално из преносивог медија). Ако се открије претња, то треба одмах уклонити.

Ако се не добије такав поступак, прво морате ићи на "Таск Манагер" и завршити га све процесе повезане са вирусом, сортиране по имену услуге (обично, процес Рунтиме брокер).

Након уклањања проблема, морамо позвати Регистри Едитор (регедит у менију "Рун") и тражити наслов «Цлиент Сервер Рунтиме систем» (без наводника), а затим помоћу менија Кретање по резултатима "Финд Нект ..." да се уклоне све пронађеним предметима. Следеће што треба да поново покренете рачунар, и да верује у "Таск Манагер" да види да ли је тражена процес.

У принципу, питање како да дешифрује вирус НО_МОРЕ_РАНСОМ је и даље на сцени инфекције, а може да се реши овом методом. Вероватноћа неутрализације, наравно, није мала, али постоји шанса.

Како дешифровање датотека шифрованих НО_МОРЕ_РАНСОМ: бацкуп

Али постоји и други начин, што мало људи зна или чак претпоставка. Чињеница да је оперативни систем непрестано ствара своје сенке бацкуп (на пример, у случају опоравка), или намерно ствара такве слике. Као пракса показује, овај вирус не утиче на оне копије (у својој структури, једноставно се не нуде, иако је могуће).

Дакле, проблем како да дешифрује НО_МОРЕ_РАНСОМ, своди на како би користили тај симбол. Међутим, да користите Виндовс стандардни алати се не препоручује за то (и многи корисници на скривеним копија неће имати приступ уопште). Због тога, морате да користите корисности СхадовЕкплорер (то је преносиви).

Да бисте вратили, једноставно покрените извршну датотеку програма, сортирање информацију по датуму или наслов, изаберите жељену копију (датотеке, мапе, или цео систем) и кроз мени ПЦМ да користи извоз линију. Даље једноставно изабрани директоријум у коме ће садашњи копија се складишти и потом користи стандардни процес опоравка.

Тхирд-парти алата

Наравно, проблем како да дешифрује НО_МОРЕ_РАНСОМ, многи лабораторије нуде своја решења. На пример, "Касперски" препоручује коришћење сопственог софтверског производа Касперски Анти децриптор, који је представљен у две верзије - Ракхини и ректор.

Ништа мање занимљив изглед и сличан развој као НО_МОРЕ_РАНСОМ декодер би Др. Веб. Али овде је одмах потребно узети у обзир да је употреба таквих програма је оправдано само у случају брзу детекцију претњи, док нису сви фајлови су инфицирани. Ако се вирус чврсто укорењена у систему (када кодиран фајлове једноставно не може упоредити са њиховим нешифрованих оригинала), и такав захтев не може бити бескористан.

Као резултат

У ствари, закључак је само један: да се бори против вируса мора бити искључиво на фази инфекције, када је само први енкрипцију фајлова. У принципу, најбоље је да не отварају прилоге у примљених из сумњивих извора е-маил порука (ово се односи искључиво на купце, инсталиран директно на рачунару - Оутлоок, Оулоок Екпресс, итд). Осим тога, ако запослени има на располагању списак купаца и партнера да се обрати отварање "лефт" порука је сасвим непримерено, као и већина у запошљавању потписати споразуме о шутњи трговинских тајни, и сајбер безбедности.