NO_MORE_RANSOM - 暗号化されたファイルの解読方法
2016年の終わりに、世界はNO_MORE_RANSOMと呼ばれるユーザー文書とマルチメディアコンテンツを暗号化する重要なトロイの木馬ウイルスです。この脅威の影響を受けた後でファイルを復号化する方法についてさらに検討する予定です。ただし、攻撃を受けたすべてのユーザーに一貫した方法論がないことを警告する価値があります。これは、最先端の暗号化アルゴリズムの1つと、コンピュータシステムへのウイルス侵入の程度、またはローカルネットワークへのウイルスの浸透の程度によるものです(ただし、最初はネットワークへの影響を考慮して設計されていませんでした)。
どのような種類のウイルスですか?NO_MORE_RANSOMはどのように動作しますか?
一般に、ウイルス自体はクラスとして分類されますユーザのファイル(通常はマルチメディア)をコンピュータシステムに侵入し、暗号化、私はあなたを愛するようなトロイの木馬、。祖父母は暗号化のみを異なっ場合は、このウイルスは非常にも総会屋の機能自体に組み合わせ、DA_VINCI_CODと呼ばれるかつてセンセーショナルな脅威から借りています。
感染後、オーディオ、ビデオ、グラフィックス、またはオフィス文書のほとんどのファイルには、複雑なパスワードを含む拡張子NO_MORE_RANSOMの長い名前が割り当てられます。
それらを開こうとすると、ファイルが暗号化されていることを示すメッセージが画面に表示され、復号化にいくらかの金額を支払う必要があります。
脅威はどのようにシステムに浸透していますか?
どのようにして、効果NO_MORE_RANSOMは、上記の種類のファイルを復号化し、コンピュータシステムにウイルスが侵入する技術に変わります。残念ながら、それは聞こえるかもしれませんが、古い証明された方法が使用されます:電子メールアドレスは添付ファイル付きの手紙を受け取ります。添付されたメールは開封され、悪質なコードトリガーを受け取ります。
独創性は、わかるように、この技法は異なる。しかし、そのメッセージは無意味なテキストとして偽装される可能性があります。あるいは、逆に、例えば、それが大企業の問題である場合 - 契約の条件が変更された場合。普通の店員が添付ファイルを開き、嘆かわしい結果を受け取ることは明らかです。最も顕著なアウトブレイクの1つは、一般的な1Cパッケージのデータベースの暗号化でした。そしてこれは深刻なビジネスです。
NO_MORE_RANSOM:ドキュメントをデコードする方法は?
それにもかかわらず、主な質問に対処する必要があります。 確かに誰もがファイルを解読する方法に興味があります。ウイルスNO_MORE_RANSOMには、独自の一連の処理があります。ユーザーが感染直後に解読を試みると、何らかの形でやりとりすることができます。脅威がシステムにしっかりと定着していれば、ここでは専門家の助けがなくても悲しいことです。しかし、彼らはしばしば無力です。
タイムリーに脅威が検出された場合、そのパス一つだけ - リムーバブルメディアに保存されたファイルを開くため、元の分析に基づいて、アクセス不能のペアを、送信するために(すべての文書が暗号化されていないまだ)ウイルス対策企業のサポートに適用される、すべて同じUSBフラッシュドライブに保存した後、すでに感染した文書を復元しよう他に何(ウイルスは、このような文書には広がっていないことを、完全な保証もなしですが)開くことがありません。その後、キャリアの忠誠心のためには、少なくともウィルススキャナ(何を知っている)を確認する必要があります。
アルゴリズム
それとは別に言えば、このアルゴリズムはRSA-3072を使用しています。以前のRSA-2048の技術とは異なり、ウイルス対策研究所の偶然であっても、正しいパスワードを見つけるのに数カ月から数年かかることがあります。したがって、NO_MORE_RANSOMを解読する方法の問題にはかなりの時間がかかります。しかし、すぐに情報を復元する必要がある場合はどうすればよいでしょうか?まず、ウイルス自体を削除します。
ウイルスを削除する方法は?
実際には、これを行うことは難しくありません。ウイルスの作成者の襲撃によると、コンピュータシステムの脅威は隠されていない。それどころか、彼女が行動の終わりの後に「出る」ことさえ有利です。
それにもかかわらず、最初は、ウイルスについては、それにもかかわらず、中和されるべきである。まず第一に、KVRT、Malwarebytes、Dr.Sc.のような携帯用保護ユーティリティを使用する必要があります。 Web CureIt!等が挙げられる。注意:チェックに使用するプログラムは、ポータブルタイプでなければなりません(リムーバブルメディアから最適な起動でハードディスクにインストールする必要はありません)。脅威が検出された場合は、直ちに削除する必要があります。
そのような行動が提供されない場合、「タスクマネージャー」に行き、ウイルスに関連するすべてのプロセスを完了し、サービスを名前でソートする必要があります(これは、通常、これはランタイムブローカープロセスです)。
タスクを削除した後、エディタを呼び出す必要がありますシステムレジストリ( "実行"メニューのregedit)をクリックし、 "Client Server Runtime System"(引用符なし)という名前で検索を設定し、検索結果に基づいてナビゲーションメニューを使用して "Find more ..."次に、コンピュータを再起動し、検索プロセスがあるかどうか、 "タスクマネージャ"を信じる必要があります。
原則として、感染段階でNO_MORE_RANSOMウイルスを解読する方法の問題は、この方法で解決することができます。もちろん、その中立化の可能性はあまり高くありませんが、チャンスがあります。
暗号化されたファイルを復号化する方法NO_MORE_RANSOM:バックアップ
しかしもう1つのテクニックがあります。知っているか、あるいは推測している。事実、オペレーティングシステム自体がシャドウバックアップを常に作成している(たとえば、リカバリの場合)か、ユーザーが故意にそのようなイメージを作成するということです。練習が示すように、ウイルスはそのようなコピーに影響を与えません(ウイルスの構造は除外されていませんが、単に提供されません)。
したがって、解読する方法の問題NO_MORE_RANSOMは、それらを使用するまで降ります。ただし、これに標準のWindowsツールを使用することは推奨されていません(多くのユーザーは隠しコピーにアクセスできません)。したがって、ユーティリティShadowExplorer(ポータブル)を使用する必要があります。
復元するには、実行する必要があります実行可能なプログラムファイルを作成し、日付またはセクションで情報をソートし、目的のコピー(ファイル、フォルダまたはシステム全体)を選択し、PCMメニューからエクスポート行を使用します。次に、現在のコピーが保存されるディレクトリを選択し、標準のリカバリプロセスを使用します。
サードパーティのユーティリティ
もちろん、解読する方法の問題NO_MORE_RANSOM、多くの研究所が独自のソリューションを提供します。 Rakhiniレクター - たとえば、「カスペルスキー」は、2つのバージョンで提供、独自のソフトウェア製品カスペルスキーの復号化を使用することを推奨しています。
同じように面白い博士によるNO_MORE_RANSOMデコーダなどの開発ウェブ。しかし、ここでそれはないすべてのファイルが感染しているが、このようなプログラムの使用は、唯一の迅速な脅威検出の場合に正当化されることを考慮に入れてすぐに必要です。ウイルスはしっかりと(ただのファイルを暗号化する場合、その非暗号化されたオリジナルと比較することはできません)システムに定着し、されている場合は、そのようなアプリケーションでは役に立たないかもしれません。
結果として
実際、結論は1つだけです。 ファイルの最初の暗号化がある場合、ウイルスは、単に感染の段階にあることが必要戦います。一般的には、( - 展望、Oulook Expressの、などこれは、お使いのコンピュータに直接インストール、顧客に独占的に参照)怪しげなソースから受信した電子メールメッセージの添付ファイルを開くことが最善ではありません。従業員がその処分で「左」のメッセージの開口部に対処するため、顧客やパートナーのリストを持っている場合はさらに、それは企業秘密のサイン機密保持契約、およびサイバーセキュリティを雇うのほとんどのように、非常に不適切です。
</ p>
