NO_MORE_RANSOM - як расшыфраваць зашыфраваныя файлы?

У канцы 2016 года свет быў атакаваны вельмі нетрывіяльным вірусам-траянам, шыфруе карыстацкія дакументы і мультымедыя-кантэнт, якія атрымалі назву NO_MORE_RANSOM. Як расшыфраваць файлы пасля ўздзеяння гэтай пагрозы, далей і будзе разгледжана. Аднак адразу варта папярэдзіць усіх карыстальнікаў, якія падвергліся нападу, што адзінай методыкі няма. Гэта звязана і з выкарыстаннем аднаго з самых прасунутых алгарытмаў шыфравання, і са ступенню пранікнення віруса ў кампутарную сістэму або нават у лакальную сетку (хоць першапачаткова на сеткавае ўздзеянне ён і не разлічаны).

Што за вірус NO_MORE_RANSOM і як ён працуе?

Наогул, сам вірус прынята адносіць да класа траянаў тыпу I Love You, якія пранікаюць у кампутарную сістэму і шыфруюць файлы карыстача (звычайна гэта мультымедыя). Праўда, калі прабацька адрозніваўся толькі шыфраваннем, то гэты вірус вельмі многае запазычыў у некалі нашумелай пагрозы пад назвай DA_VINCI_COD, сумясціўшы ў сабе яшчэ і функцыі вымагальніка.

Пасля заражэння большасці файлаў аўдыё, відэа, графікі або офісных дакументаў прысвойваецца даўжэзную імя з пашырэннем NO_MORE_RANSOM, якое змяшчае складаны пароль.

Пры спробе іх адкрыцця на экране з'яўляецца паведамленне пра тое, што файлы зашыфраваныя, а для творы дэшыфраванні трэба заплаціць некаторую суму.

Як пагроза пранікае ў сістэму?

Пакінем пакуль у спакоі пытанне пра тое, як пасля ўздзеяння NO_MORE_RANSOM расшыфраваць файлы любога з вышэйзгаданых тыпаў, а звернемся да тэхналогіі пранікнення віруса ў кампутарную сістэму. На жаль, як бы банальна гэта ні гучала, для гэтага выкарыстоўваецца стары правераны спосаб: на адрас электроннай пошты прыходзіць ліст з укладаннем, адкрываючы якое, карыстальнік і атрымлівае спрацоўванне шкоднаснага кода.

Арыгінальнасцю, як бачым, гэтая методыка не адрозніваецца. Аднак паведамленне можа быць замаскіравана пад які нічога не азначаў тэкст. Ці, наадварот, напрыклад, калі гаворка ідзе пра буйныя кампаніі, - пад змяненне ўмоў нейкага кантракту. Зразумела, што радавы клерк адкрывае ўкладанне, а далей і атрымлівае жаласны вынік. Адной з самых яркіх выбліскаў стала шыфраванне баз дадзеных папулярнага пакета 1С. А гэта ўжо справа сур'ёзная.

NO_MORE_RANSOM: як расшыфраваць дакументы?

Але ўсё ж варта звярнуцца да галоўнага пытання. Напэўна ўсіх цікавіць, як расшыфраваць файлы. Вірус NO_MORE_RANSOM мае сваю паслядоўнасць дзеянняў. Калі карыстальнік спрабуе вырабіць дэшыфраванне адразу ж пасля заражэння, зрабіць гэта яшчэ сяк-так можна. Калі ж пагроза абгрунтавалася ў сістэме трывала, на жаль, без дапамогі спецыялістаў тут не абысціся. Але і яны часцяком аказваюцца нямоглыя.

Калі пагроза была выяўленая своечасова, шлях толькі адзін - звярнуцца ў службы падтрымкі антывірусных кампаній (пакуль яшчэ не ўсе дакументы былі зашыфраваныя), адправіць пару недаступных для адкрыцця файлаў і на аснове аналізу арыгіналаў, захаваных на здымных носьбітах, паспрабаваць аднавіць ужо заражаныя дакументы, папярэдне скапіраваўшы на тую ж флешку ўсё, што яшчэ даступна для адкрыцця (хоць поўнай гарантыі таго, што вірус не працяў такія дакументы, таксама няма). Пасля гэтага для вернасці носьбіт трэба абавязкова праверыць хоць бы антывірусным сканарам (але чаго).

алгарытм

Асобна варта сказаць і пра тое, што вірус для шыфравання выкарыстоўвае алгарытм RSA-3072, які, у адрозненне ад раней якая ўжывалася тэхналогіі RSA-2048, з'яўляецца настолькі складаным, што падбор патрэбнага пароля, нават пры ўмове, што гэтым будзе займацца ўвесь кантынгент антывірусных лабараторый , можа заняць месяцы і гады. Такім чынам, пытанне таго, як расшыфраваць NO_MORE_RANSOM, запатрабуе досыць вялікіх часавых выдаткаў. Але што рабіць, калі аднавіць інфармацыю трэба неадкладна? Перш за ўсё - выдаліць сам вірус.

Ці можна выдаліць вірус і як гэта зрабіць?

Уласна, зрабіць гэта няцяжка. Мяркуючы па нахабства стваральнікаў віруса, пагроза ў кампутарнай сістэме ня маскіруецца. Наадварот - ёй нават выгадна «самоудалиться» пасля заканчэння вырабленых дзеянняў.

Тым не менш спачатку, ідучы на повадзе ў віруса, яго ўсё ж варта нейтралізаваць. Перш за ўсё неабходна выкарыстоўваць партатыўныя ахоўныя ўтыліты накшталт KVRT, Malwarebytes, Dr. Web CureIt! і ім падобныя. Звярніце ўвагу: якія прымяняюцца для праверкі праграмы павінны быць партатыўнага тыпу ў абавязковым парадку (без ўстаноўкі на жорсткі дыск з запускам ў аптымальным варыянце са здымнага носьбіта). Калі пагроза будзе выяўлена, яе варта неадкладна выдаліць.

Калі такія дзеянні не прадугледжаны, неабходна спачатку зайсці ў "Дыспетчар задач» і завяршыць у ім усе працэсы, звязаныя з вірусам, адсартаваўшы службы па назве (як правіла, гэта працэс Runtime Broker).

Пасля зняцця задачы трэба выклікаць рэдактар сістэмнага рэестра (regedit ў меню «Выканаць») і задаць пошук па назве «Client Server Runtime System» (без двукоссяў), пасля чаго выкарыстоўваючы меню перамяшчэння па выніках «Знайсці далей ...», выдаліць ўсе знойдзеныя элементы. Далей трэба зрабіць перазагрузку кампутара і паверыць у «Дыспетчару задач», ці няма там шуканага працэсу.

У прынцыпе, пытанне таго, як расшыфраваць вірус NO_MORE_RANSOM яшчэ на стадыі заражэння, можа быць вырашана і такім метадам. Верагоднасць яго нейтралізацыі, вядома, невялікая, але шанец ёсць.

Як расшыфраваць файлы, зашыфраваныя NO_MORE_RANSOM: рэзервовыя копіі

Але ёсць яшчэ адна методыка, пра якую мала хто ведае ці нават здагадваецца. Справа ў тым, што сама аперацыйная сістэма пастаянна стварае ўласныя ценявыя рэзервовыя копіі (напрыклад, на выпадак аднаўлення), або карыстальнік наўмысна стварае такія вобразы. Як паказвае практыка, менавіта на такія копіі вірус не ўздзейнічае (у яго структуры гэта проста не прадугледжана, хоць і не выключана).

Такім чынам, праблема таго, як расшыфраваць NO_MORE_RANSOM, зводзіцца да таго, каб выкарыстоўваць менавіта іх. Аднак ужываць для гэтага штатныя сродкі Windows не рэкамендуецца (а многія карыстальнікі да ўтоеных копіям не атрымаюць доступу наогул). Таму ўжываць трэба ўтыліту ShadowExplorer (яна з'яўляецца партатыўнай).

Для аднаўлення трэба проста запусціць выкананы файл праграмы, адсартаваць інфармацыю па дат або раздзелах, выбраць патрэбную копію (файла, папкі або ўсёй сістэмы) і праз меню ПКМ выкарыстоўваць радок экспарту. Далей проста выбіраецца дырэкторыя, у якой будзе захавана бягучая копія, а затым выкарыстоўваецца стандартны працэс аднаўлення.

іншыя ўтыліты

Вядома, да праблемы таго, як расшыфраваць NO_MORE_RANSOM, шматлікія лабараторыі прапануюць свае ўласныя рашэнні. Так, напрыклад, «Лабараторыя Касперскага» рэкамендуе выкарыстоўваць уласны праграмны прадукт Kaspersky Decryptor, прадстаўлены ў двух мадыфікацыях - Rakhini і Rector.

Не менш цікава выглядаюць і аналагічныя распрацоўкі накшталт дэшыфратара NO_MORE_RANSOM ад Dr. Web. Але тут варта адразу ж ўлічыць, што ўжыванне такіх праграм апраўдана толькі ў выпадку хуткага выяўлення пагрозы, пакуль яшчэ не былі заражаныя ўсе файлы. Калі ж вірус абгрунтаваўся ў сістэме трывала (калі зашыфраваныя файлы проста немагчыма параўнаць з іх незашыфраванымі арыгіналамі), і такія праграмы могуць апынуцца бескарыснымі.

як вынік

Уласна, выснова напрошваецца толькі адзін: змагацца з гэтым вірусам неабходна выключна на стадыі заражэння, калі адбываецца шыфраванне толькі першых файлаў. А наогул, лепш за ўсё не адчыняць укладанні ў паведамленнях электроннай пошты, атрыманых з сумніўных крыніц (гэта тычыцца выключна кліентаў, устаноўленых непасрэдна на кампутары - Outlook, Oulook Express і інш.). Да таго ж калі супрацоўнік кампаніі мае ў сваім распараджэнні спіс адрасоў кліентаў і партнёраў, адкрыццё «левых» паведамленняў становіцца зусім немэтазгодным, паколькі большасць пры прыёме на працу падпісвае дамовы аб невыдаванні камерцыйнай таямніцы і кібербяспекі.