NO_MORE_RANSOM - jak dešifrovat šifrované soubory?

Na konci roku 2016 byl svět napaden velmi netriviálním trojským virem, který šifroval uživatelské dokumenty a multimediální obsah nazvaný NO_MORE_RANSOM. Jak dále dešifrovat soubory po dopadu této hrozby. Nicméně, jakmile varujete všechny uživatele, kteří byli napadeni, neexistuje jednotná metodika. To je způsobeno používáním jednoho z nejpokročilejších šifrovacích algoritmů a stupněm proniknutí virů do počítačového systému nebo dokonce do lokální sítě (i když původně nebyla navržena pro síťový dopad).

Jaký virus je NO_MORE_RANSOM a jak to funguje?

Obecně platí, že samotný virus je přiřazen třídě trojských koní, jako je I Love You, které pronikají do počítačového systému a šifrují soubory uživatele (obvykle multimédia). Je pravda, že pokud se progenitor lišil pouze v šifrování, pak tento virus naplnil hodně senzační hrozbu nazvanou DA_VINCI_COD, která spojila funkce výtržníka sama o sobě.

Po infekci je většině souborů zvukových, obrazových, grafických nebo kancelářských dokumentů přiděleno dlouhé jméno s příponou NO_MORE_RANSOM, která obsahuje složité heslo.

Při pokusu o jejich otevření se na obrazovce zobrazí zpráva, že soubory jsou zašifrovány a je nutné zaplatit určitou částku, která ji dešifruje.

Jak hrozba proniká do systému?

Zanecháme otázku, jak dešifrovat soubory jakéhokoliv z výše uvedených typů po expozici NO_MORE_RANSOM, ale obrátit se na technologii pronikání virů do počítačového systému. Bohužel, i když to může znít, používá se stará osvědčená metoda: e-mailová adresa obdrží dopis s přílohou, která při otevření obdrží spouštěč škodlivého kódu.

Originálnost, jak vidíme, není nijak odlišná. Zpráva však může být skryta jako nesmyslný text. Nebo naopak, například pokud jde o velké společnosti, - při změně podmínek jakékoli smlouvy. Je zřejmé, že úředník se stupněm zápisu otevře přílohu a poté obdrží zneklidňující výsledek. Jedním z nejsvětlejších ohnisek bylo šifrování databází populárního balíčku 1C. A to je vážná záležitost.

NO_MORE_RANSOM: Jak dekódovat dokumenty?

Přesto je však třeba se zaměřit na hlavní otázku. Určitě každý má zájem o to, jak dešifrovat soubory. Virus NO_MORE_RANSOM má vlastní sekvenci akcí. Pokud se uživatel pokusí dešifrovat okamžitě po infekci, může to být ještě nějakým způsobem proveden. Pokud se hrozba ustálí v systému pevně, bohužel, bez pomoci odborníků je zde nepostradatelná. Ale často jsou bezmocní.

Pokud byla hrozba včas zjištěna, jediným způsobem je kontaktovat služby podpory antivirových firem (ne všechny dokumenty byly zašifrovány ještě), odeslat několik souborů, které nejsou přístupné pro otevření a na základě analýzy originálů uložených na vyměnitelných médiích, zkuste obnovit již napadené dokumenty Kopírování na stejnou jednotku flash všechno, co je ještě k dispozici pro otevírání (i když zde také není žádná záruka, že virus neprocházel takovými dokumenty). Pak je pravda, že nosič musí být zkontrolován alespoň antivirovým skenerem (nikdy nevíte, co).

Algoritmus

Samozřejmě by se mělo říci, že virus používá algoritmus RSA-3072 pro šifrování, což je na rozdíl od dříve používaných technologií RSA-2048 tak složité, že výběr požadovaného hesla, a to i v případě, že celý kontingent antivirových laboratoří Může trvat měsíce a roky. Tak otázka, jak dešifrovat NO_MORE_RANSOM, bude vyžadovat spoustu času. Co když však potřebujete okamžitě obnovit informace? Nejdříve odstraňte samotný virus.

Mohu virus odstranit a jak?

Ve skutečnosti to není těžké. Podle souhřezdí tvůrců viru není hrozba v počítačovém systému maskovaná. Naopak, je dokonce výhodné, aby se po skončení akce "dostala ven".

Nicméně, nejprve, když jde o virus, musí být stále neutralizován. Nejprve je nutné použít přenosné ochranné nástroje jako KVRT, Malwarebytes, Dr.Sc. Web CureIt! A podobně. Upozorňujeme, že programy používané pro kontrolu musí být bezporuchový přenos (bez instalace na pevný disk s optimálním spuštěním z vyměnitelného média). Pokud je zjištěna hrozba, měla by být okamžitě odstraněna.

Pokud tomu tak není, musíte nejprve přejít do Správce úloh a dokončit všechny procesy spojené s tímto virem, třídíte služby podle názvu (obvykle proces Runtime Broker).

Po odstranění úlohy musíte zavolat editor systému registru (regedit v nabídce "Spustit") a vyhledat název "Klientský server Runtime System" (bez uvozovek) a pak pomocí nabídky "Najít další ..." odstranit všechny nalezené položky. Poté budete muset restartovat počítač a věřit v "Správce úloh", zda se jedná o proces vyhledávání.

V zásadě může být touto metodou vyřešena otázka, jak dešifrovat virus NO_MORE_RANSOM ve fázi infekce. Pravděpodobnost neutralizace, samozřejmě, není velká, ale existuje šance.

Jak dešifrovat soubory šifrované NO_MORE_RANSOM: zálohy

Existuje však ještě jedna technika, o níž málo lidí ví, nebo dokonce hádat. Faktem je, že samotný operační systém neustále vytváří vlastní stínové zálohy (například v případě obnovy), nebo uživatel záměrně vytváří takové obrazy. Jak ukazuje praxe, je na takových kopiích, že virus nefunguje (ve struktuře se jednoduše neposkytuje, i když to není vyloučeno).

Problém, jak dešifrovat NO_MORE_RANSOM, je tedy snížen na jejich použití. Neodporuje se však použití standardních nástrojů Windows (a mnoho uživatelů nebude mít vůbec přístup ke skrytým kopím). Proto musíte použít nástroj ShadowExplorer (je přenosný).

Chcete-li obnovit, stačí spustit spustitelný soubor programu, uspořádat informace podle dat nebo částí, vybrat požadovanou kopii (soubor, složku nebo celý systém) a použít exportní řádek z nabídky PCM. Poté jednoduše vyberte adresář, kam bude uložena aktuální kopie, a poté použijte standardní proces obnovy.

Pomůcky třetích stran

Samozřejmě, na problém, jak dešifrovat NO_MORE_RANSOM, mnoho laboratoří nabízí své vlastní řešení. Kaspersky Lab například doporučuje používat vlastní softwarový produkt Kaspersky Decryptor, který je prezentován ve dvou verzích - Rakhini a Rector.

Neméně zajímavý vzhled a podobný vývoj, jako je dekodér NO_MORE_RANSOM od Dr. Web. Zde je však nutné okamžitě vzít v úvahu, že použití takových programů je oprávněné pouze v případě rychlého odhalení hrozby, pokud nejsou všechny soubory infikovány. Je-li virus v systému pevně založen (když nelze šifrované soubory porovnávat s jejich nezašifrovanými originály), mohou být tyto aplikace zbytečné.

Jako výsledek

Závěr pouze navrhuje jediný: boj proti tomuto viru je nezbytný pouze ve fázi infekce, kdy jsou zašifrovány pouze první soubory. Obecně platí, že nejlépe neotevírat přílohy e-mailových zpráv přijatých z pochybných zdrojů (platí to pouze pro zákazníky instalované přímo v počítači - Outlook, Oulook Express atd.). Kromě toho, pokud zaměstnanec společnosti má k dispozici seznam adres klientů a partnerů, otevření "levé" zprávy se stává naprosto nepraktickým, protože většina v procesu náboru podepisuje dohody o nezveřejnění obchodního tajemství a kybernetické bezpečnosti.