В края на 2016 г. светът е бил атакуван от много нетривиален троянски вирус, шифриране на потребителски документи и мултимедийно съдържание, наречено NO_MORE_RANSOM. Как да дешифрираме файловете след въздействието на тази заплаха и ще бъдат разгледани по-нататък. Незабавно обаче е необходимо да се предупреждават всички атакувани потребители, че няма единна техника. Това се дължи на използването на един от най-модерните алгоритми за криптиране и степента на проникване на вируса в компютърната система или дори в локалната мрежа (въпреки че първоначално не се изчислява върху мрежовия ефект).

Какво представлява вирусът NO_MORE_RANSOM и как работи?

Като цяло, самият вирус е класифициран като троянски тип I Love You, който прониква в компютърната система и криптира потребителските файлове (обикновено мултимедийни). Вярно е, че ако предшественикът се различаваше само в криптирането, тогава този вирус е заимствал много от някогашната силна заплаха, наречена DA_VINCI_COD, комбинирайки функциите на екстрите. След заразяването на повечето аудио, видео, графики или офис файлове, се задава дълго име с разширение NO_MORE_RANSOM, съдържащо сложна парола. Когато се опитате да ги отворите, на екрана се появява съобщение, че файловете са криптирани и създанията са длъжни да платят определена сума за декриптиране.

Как заплахата влиза в системата?

Нека оставим настрана въпроса как, след влиянието на NO_MORE_RANSOM да дешифрира файловете на всеки от горните типове и да се обърне към технологиятапроникване на вируса в компютърната система. За съжаление, колкото и банално да звучи, за това се използва стар доказан метод: имейл с прикачен файл пристига на имейл адреса, който отваря потребителя и получава злонамерен код.


Оригиналността, както виждаме, тази техника не се различава. Въпреки това, съобщението може да бъде маскирано за безсмислен текст. Или, напротив, когато става въпрос за големи компании - при условията на договор. Ясно е, че средният чиновник отваря привързаността и след това получава ужасен резултат. Един от най-ярките светкавици е криптирането на базите от популярния 1С пакет. И това е сериозен въпрос.

NO_MORE_RANSOM: как да декриптираме документите?

Все пак си струва да се обърнем към основния въпрос. Вероятно всеки се интересува от това как да декриптира файлове. Вирусът NO_MORE_RANSOM има своя собствена последователност от действия. Ако потребителят се опита да декриптира веднага след заразяването, той все още може да се направи. Ако заплахата е уреден в системата твърдо, за съжаление, без помощта на специалист тук не може да направи. Но дори и те най-често са безсилни. Ако заплахата е била открита навреме, единственият начин е да се свържете с антивирусна поддръжка (все още не всички документи са криптирани), да изпратите двойка недостъпни файлове за отваряне и, въз основа на анализ на оригиналите, съхранени на преносим носител, опитайте да възстановите вече заразените документи, предварително копиране на същата флаш устройство, което е достъпно за отваряне (макар и пълно)гаранцията, че вирусът не прониква в такива документи, също не е). След това, за прецизност, носителят трябва да бъде проверен поне от антивирусен скенер (нещо).

Алгоритъм

Следва също така да се отбележи, че вирусът за криптиране използва алгоритъма RSA-3072, който, за разлика от прилаганата преди това RSA-2048 технология, е толкова сложен, че изборът на необходимата парола, дори ако че това ще се занимава с целия контингент на антивирусни лаборатории, може да отнеме месеци и години. По този начин, въпросът как да се декриптира NO_MORE_RANSOM изисква много временни разходи. Но какво да направя, ако трябва да възстановя информацията незабавно? На първо място - премахване на самия вирус.

Можете ли да премахнете вируса и как да го направите?

Всъщност, лесно е да се направи това. Съдейки по нахалството на създателите на вируса, заплахата в компютърната система не е маскирана. Напротив - дори изгодно "самоунищожение" след края на действието. Въпреки това, първоначално след вируса, той все пак трябва да бъде неутрализиран. Първото нещо е да се използват преносими инструменти за сигурност като KVRT, Kaspersky, Dr. Web CureIt! и като тях. Забележка: Прилагането за проверка на програмата трябва да бъде преносим тип, както се изисква (без да се инсталира на твърдия диск с стартиране в оптималната версия на сменяемия носител). Ако заплахата бъде открита, тя трябва незабавно да бъде премахната. Ако тези действия не са предвидени, първо трябва да влезете в диспечера на задачите и да попълните всички процеси, свързани с него, като сортирате услугата по име(по правило това е процес на Брокер за изпълнение). След като отстраните задачата, трябва да извикате редактора на регистъра (regedit от менюто Run) и да зададете търсенето на името "Client Server Runtime System" (без кавички), след това използвайте менюто "Find Next" за да изтриете всички намерени елементи. , След това трябва да рестартирате компютъра и да повярвате в "Task Manager", няма желания процес.
По принцип въпросът как да се дешифрира вирусът NO_MORE_RANSOM на етап инфекция може да бъде решен с този метод. Вероятността за нейната неутрализация, разбира се, е малка, но има шанс.

Как да декриптираме криптирани файлове NO_MORE_RANSOM: backups

Но има и друг метод, който малко хора знаят или дори предполагат. Фактът, че самата операционна система постоянно създава свои собствени резервни копия в сянка (например, в случай на възстановяване), или потребителят умишлено създава такива изображения. Както показва практиката, тя е на такива копия, че вирусът не засяга (в неговата структура той просто не е предоставен, въпреки че не е изключен). По този начин, проблемът как да се декодира NO_MORE_RANSOM е да го използвате точно. Не се препоръчва обаче да се използва стандартно офис оборудване за Windows (и много потребители изобщо няма да имат достъп до скрити копия). Затова трябва да приложите помощната програма ShadowExplorer (тя е преносима). За да се възстановите, просто трябва да стартирате изпълним файл на програмата, да сортирате информацията по дата или раздел, да изберете желаното копие (файл, папка или цялата система) и чрез менюто PCM.използвайте низ за експортиране. След това просто изберете директорията, в която ще се съхранява текущото копие, и след това използвайте стандартния процес на възстановяване.

Комунални услуги от трети страни

Разбира се, много от лабораториите предлагат свои собствени решения на проблема с дешифрирането на NO_MORE_RANSOM. Например, Kaspersky Lab препоръчва използването на собствен софтуер на Kaspersky Anti-Virus, представен в две модификации - Rakhini и Rector. Не по-малко интересен външен вид и подобни разработки като декодер NO_MORE_RANSOM от Dr. Мрежата. Но тук си струва да се отбележи, че използването на такива програми е оправдано само в случай на бързо откриване на заплахата, докато всички файлове бъдат заразени. Ако вирусът е стегнат в системата (когато криптираните файлове са просто невъзможни за сравняване с техните некриптирани оригинали), и такива приложения могат да бъдат напразни.

В резултат

Всъщност заключението предполага само едно: борбата срещу този вирус трябва да бъде изключително на етапа на заразяване, когато се криптират само първите файлове. Най-общо е по-добре да не отваряте прикачени файлове към имейли от съмнителни източници (това се отнася само за клиенти, инсталирани директно на вашия компютър - Microsoft Outlook, Oulook Express и др.). Освен това, ако служителят на компанията има списък с адреси на клиенти и партньори, отварянето на "ляво" съобщения става абсолютно неподходящо, тъй като повечето при наемането подписват договор за неразкриване на търговски тайни и киберсигурност.