• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    No more ransom: як розшифрувати вірус дешифратором

    1. Опис і принцип роботи
    2. Як вилікувати або видалити вірус No_more_ransom
    3. Утиліти-дешифровщики для розшифровки файлів «No_more_ransom»

    В кінці 2016 року було помічено новий вірус-шифрувальник - NO_MORE_RANSOM. Таке довге назву він отримав через розширення, яке присвоює файлам користувача.

    Дуже багато чого перейняв у інших вірусів, наприклад у da_vinci_cod. Так як з'явився в Мережі недавно, антивірусні лабораторії ще не змогли розшифрувати його код. Та й зробити найближчим часом це навряд чи зможуть - використовується поліпшений алгоритм шифрування. Отже, розберемося, що робити, якщо ваші файли зашифровані з розширенням «no_more_ransom».

    Опис і принцип роботи

    Головне завдання No_more_ransom і інших вірусів-шифрувальників - блокування файлів користувача з метою подальшого викупу. Поєднав в собі риси попередніх версій вірусів, отримавши більш стійкий алгоритм шифрування. Як заявили автори, використовується режим шифрування RSA-3072, які в рази краще RSA-2048.

    На початку 2017 року багато форуми заполонили повідомлення «вірус no_more_ransom зашифрував файли», в яких користувачі просили допомоги для видалення загрози. Атаки зазнали не тільки приватні комп'ютери, а й цілі організації (особливо ті, в яких використовуються бази 1С). Ситуація у всіх постраждалих приблизно однакова: відкрили вкладення з електронного листа, через деякий час файли отримали розширення No_more_ransom. Вірус-шифрувальник при цьому без проблем обходив всі популярні антивірусні програми.

    Взагалі, за принципом зараження No_more_ransom нічим не відрізняється від своїх попередників:

    1. На електронну пошту надходить лист нейтрального змісту з вкладенням. Як правило, воно маскується під робочу переписку або повідомлення від будь-яких організацій.
    2. Вкладення, що представляє текстовий документ або архів, несе в собі шкідливий код, який починається поширюватися після відкриття на комп'ютері. Тобто, зараження користувач починає особисто.
    3. Вірус-шифрувальник дуже швидко заражає кожен файл на ПК, додаючи розширення і складний пароль. Щоб забезпечити власну безпеку, вірус копіює себе в кореневі каталоги і реєстр.
    4. На робочому столі і в деяких системних папках з'являється текстовий документ, зміст якого приблизно однаково. У ньому зловмисник за певну плату обіцяє вислати пароль. Для його повчання складені інструкції.
    5. От і все. Після цього, користувачі, впадаючи в паніку, починають шукати інформацію, як розшифрувати файли, що робити з вірусом No_more_ransom. Щоб врятувати цінні дані, багато хто навіть йдуть назустріч шахраям, пересилаючи гроші. Ось тільки часто зловмисники не поспішають виконати обіцянку.

    Як вилікувати або видалити вірус No_more_ransom

    Важливо розуміти, що після того, як ви почнете самостійно боротися з вірусом-шифрувальником No_more_ransom, втратите можливість відновити доступ до файлів за допомогою пароля зловмисників. Чи можна відновити файл після No_more_ransom? На сьогоднішній день немає на 100% робочого алгоритму розшифровки даних. Винятком стають тільки засоби від відомих лабораторій, але підбір пароля займає дуже багато часу (місяці, роки). Але про відновлення трохи нижче. Для початку розберемося, як визначити троян no more ransom (переклад - «немає більше викупу») і побороти його. Важливо розуміти, що після того, як ви почнете самостійно боротися з вірусом-шифрувальником No_more_ransom, втратите можливість відновити доступ до файлів за допомогою пароля зловмисників

    Як правило, встановлене антивірусне ПЗ пропускає шифрувальники на комп'ютер - часто виходять нові версії, для яких просто не встигають випускати бази. Віруси цього типу досить просто видаляються з комп'ютера, адже шахраям і не потрібно, щоб вони залишалися в системі, виконавши своє завдання (шифрування). Для видалення можна скористатися вже готовими утилітами, які поширюються безкоштовно:

    Користуватися ними дуже просто: запускаємо, вибираємо диски, тиснемо «Почати перевірку». Залишається лише чекати. Після з'явиться віконце, в якому будуть відображені всі загрози. Тиснемо «Видалити».

    Швидше за все, одна з цих утиліт видалить вірус-шифрувальник. Якщо цього не відбулося, то необхідно видалення вручну:

    1. Відкрийте «Диспетчер завдань». Знайдіть процес вірусу (за назвою). Переходимо в папку, в якій він розмістився.
    2. Видаляємо. Переходимо до реєстру. Для цього натискаємо клавіші Win + R, в рядок «Виконати» вписуємо «regedit». Перейдіть в пункт «Правка», далі «Знайти», тут вводимо «Client Server Runtime Subsystem». Знаходимо і видаляємо вірус No_more_ransom.
    3. Перезавантажуємо комп'ютер, заходимо в «Диспетчер завдань» і перевіряємо, щоб не було процесу «No_more_ransom».

    Якщо швидко помітите вірус, встигнувши його видалити, то є шанс, що частина даних не буде зашифрована. Краще зберегти файли, які не піддалися атаці, на окремий накопичувач.

    Утиліти-дешифровщики для розшифровки файлів «No_more_ransom»

    Підібрати код самостійно просто неможливо, якщо тільки ви не просунутий хакер. Для розшифровки будуть потрібні спеціальні утиліти. Відразу скажу, що далеко не всім вдасться розшифровка зашифрованого файлу типу «No_more_ransom». Вірус новий, тому підбір пароля - дуже складне завдання.

    Отже, перш за все пробуємо відновити дані з тіньових копій. За замовчуванням операційна система, починаючи з Windows 7, регулярно зберігає копії ваших документів. У деяких випадках вірусу не під силу видалити копії. Тому завантажуємо безкоштовну програму ShadowExplorer. Встановлювати нічого не доведеться - потрібно просто розпакувати.

    1. Запускаємо утиліту.
    2. У лівому верхньому кутку бачимо дві колонки: буква диска і дата збереження копій.
    3. Переходимо до потрібного логічного диску, вибравши букву зі списку.
    4. Далі шукаємо потрібну папку з документами. Перебираємо дати створення копій, поки не знайдемо відповідну.
    5. Тиснемо правою кнопкою миші по папці, а потім «Export». У новому віконці вибираємо, в яку папку зберегти копії.

    Якщо вірус не видалив копії, то є ймовірність відновити близько 80-90% зашифрованої інформації.

    Програми-дешифратори для відновлення файлів після вірусу No_more_ransom пропонують і відомі антивірусні лабораторії. Правда, не варто розраховувати, що ці утиліти зуміють відновити ваші дані. Шифрувальники постійно вдосконалюються, а фахівці просто не встигають випускати оновлення для кожної версії. Надсилайте зразки в технічну підтримку антивірусних лабораторій, щоб допомогти розробникам.

    Надсилайте зразки в технічну підтримку антивірусних лабораторій, щоб допомогти розробникам

    Для боротьби з No_more_ransom є Kaspersky Decryptor. Утиліта представлена ​​в двох версіях з приставками Rector і Rakhni (про них на нашому сайті є окремі статті). Для боротьби з вірусом і розшифровки файлів необхідно просто запустити програму, вибравши місця перевірки.

    Крім цього, потрібно вказати один із заблокованих документів, щоб утиліта зайнялася підбором пароля.

    Можна безкоштовно скачати і кращий дешифратор No_more_ransom від Dr. Web. Утиліта називається matsnu1decrypt. Працює за схожим сценарієм з програмами від Kaspersky. Досить запустити перевірку і дочекатися закінчення.

    Чи можна відновити файл після No_more_ransom?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua