NO_MORE_RANSOM - как расшифровать зашифрованные файлы?

В конце 2016 года мир был атакован весьма нетривиальным вирусом-трояном, шифрующим пользовательские документы и мультимедиа-контент, получившим название NO_MORE_RANSOM. Как расшифровать файлы после воздействия этой угрозы, далее и будет рассмотрено. Однако сразу стоит предупредить всех пользователей, подвергшихся атаке, что единой методики нет. Это связано и с использованием одного из самых продвинутых алгоритмов шифрования, и со степенью проникновения вируса в компьютерную систему или даже в локальную сеть (хотя изначально на сетевое воздействие он и не рассчитан).

Что за вирус NO_MORE_RANSOM и как он работает?

Вообще, сам вирус принято относить к классу троянов типа I Love You, которые проникают в компьютерную систему и шифруют файлы пользователя (обычно это мультимедиа). Правда, если прародитель отличался только шифрованием, то этот вирус очень многое позаимствовал у некогда нашумевшей угрозы под названием DA_VINCI_COD, совместив в себе еще и функции вымогателя.

После заражения большинству файлов аудио, видео, графики или офисных документов присваивается длиннющее имя с расширением NO_MORE_RANSOM, содержащее сложный пароль.

При попытке их открытия на экране появляется сообщение о том, что файлы зашифрованы, а для произведения дешифрования нужно заплатить некоторую сумму.

Как угроза проникает в систему?

Оставим пока в покое вопрос о том, как после воздействия NO_MORE_RANSOM расшифровать файлы любого из вышеуказанных типов, а обратимся к технологии проникновения вируса в компьютерную систему. К сожалению, как бы банально это ни звучало, для этого используется старый проверенный способ: на адрес электронной почты приходит письмо с вложением, открывая которое, пользователь и получает срабатывание вредоносного кода.

Оригинальностью, как видим, эта методика не отличается. Однако сообщение может быть замаскировано под ничего не значащий текст. Или, наоборот, например, если речь идет о крупных компаниях, - под изменение условий какого-то контракта. Понятно, что рядовой клерк открывает вложение, а далее и получает плачевный результат. Одной из самых ярких вспышек стало шифрование баз данных популярного пакета 1С. А это уже дело серьезное.

NO_MORE_RANSOM: как расшифровать документы?

Но все же стоит обратиться к главному вопросу. Наверняка всех интересует, как расшифровать файлы. Вирус NO_MORE_RANSOM имеет свою последовательность действий. Если пользователь пытается произвести дешифрование сразу же после заражения, сделать это еще кое-как можно. Если же угроза обосновалась в системе прочно, увы, без помощи специалистов здесь не обойтись. Но и они зачастую оказываются бессильны.

Если угроза была обнаружена своевременно, путь только один – обратиться в службы поддержки антивирусных компаний (пока еще не все документы были зашифрованы), отправить пару недоступных для открытия файлов и на основе анализа оригиналов, сохраненных на съемных носителях, попытаться восстановить уже зараженные документы, предварительно скопировав на ту же флешку все, что еще доступно для открытия (хотя полной гарантии того, что вирус не проник в такие документы, тоже нет). После этого для верности носитель нужно обязательно проверить хотя бы антивирусным сканером (мало ли что).

Алгоритм

Отдельно стоит сказать и о том, что вирус для шифрования использует алгоритм RSA-3072, который, в отличие от ранее применявшейся технологии RSA-2048, является настолько сложным, что подбор нужного пароля, даже при условии, что этим будет заниматься весь контингент антивирусных лабораторий, может занять месяцы и годы. Таким образом, вопрос того, как расшифровать NO_MORE_RANSOM, потребует достаточно больших временных затрат. Но что делать, если восстановить информацию нужно немедленно? Прежде всего – удалить сам вирус.

Можно ли удалить вирус и как это сделать?

Собственно, сделать это нетрудно. Судя по наглости создателей вируса, угроза в компьютерной системе не маскируется. Наоборот – ей даже выгодно «самоудалиться» после окончания произведенных действий.

Тем не менее поначалу, идя на поводу у вируса, его все-таки следует нейтрализовать. Первым делом необходимо использовать портативные защитные утилиты вроде KVRT, Malwarebytes, Dr. Web CureIt! и им подобные. Обратите внимание: применяемые для проверки программы должны быть портативного типа в обязательном порядке (без установки на жесткий диск с запуском в оптимальном варианте со съемного носителя). Если угроза будет обнаружена, ее следует немедленно удалить.

Если таковые действия не предусмотрены, необходимо сначала зайти в «Диспетчер задач» и завершить в нем все процессы, связанные с вирусом, отсортировав службы по названию (как правило, это процесс Runtime Broker).

После снятия задачи нужно вызвать редактор системного реестра (regedit в меню «Выполнить») и задать поиск по названию «Client Server Runtime System» (без кавычек), после чего используя меню перемещения по результатам «Найти далее…», удалить все найденные элементы. Далее нужно произвести перезагрузку компьютера и поверить в «Диспетчере задач», нет ли там искомого процесса.

В принципе, вопрос того, как расшифровать вирус NO_MORE_RANSOM еще на стадии заражения, может быть решен и таким методом. Вероятность его нейтрализации, конечно, невелика, но шанс есть.

Как расшифровать файлы, зашифрованные NO_MORE_RANSOM: резервные копии

Но есть еще одна методика, о которой мало кто знает или даже догадывается. Дело в том, что сама операционная система постоянно создает собственные теневые резервные копии (например, на случай восстановления), или пользователь намеренно создает такие образы. Как показывает практика, именно на такие копии вирус не воздействует (в его структуре это просто не предусмотрено, хотя и не исключено).

Таким образом, проблема того, как расшифровать NO_MORE_RANSOM, сводится к тому, чтобы использовать именно их. Однако применять для этого штатные средства Windows не рекомендуется (а многие пользователи к скрытым копиям не получат доступа вообще). Поэтому применять нужно утилиту ShadowExplorer (она является портативной).

Для восстановления нужно просто запустить исполняемый файл программы, отсортировать информацию по датам или разделам, выбрать нужную копию (файла, папки или всей системы) и через меню ПКМ использовать строку экспорта. Далее просто выбирается директория, в которой будет сохранена текущая копия, а затем используется стандартный процесс восстановления.

Сторонние утилиты

Конечно, к проблеме того, как расшифровать NO_MORE_RANSOM, многие лаборатории предлагают свои собственные решения. Так, например, «Лаборатория Касперского» рекомендует использовать собственный программный продукт Kaspersky Decryptor, представленный в двух модификациях – Rakhini и Rector.

Не менее интересно выглядят и аналогичные разработки вроде дешифратора NO_MORE_RANSOM от Dr. Web. Но тут стоит сразу же учесть, что применение таких программ оправдано только в случае быстрого обнаружения угрозы, пока еще не были заражены все файлы. Если же вирус обосновался в системе прочно (когда зашифрованные файлы просто невозможно сравнить с их незашифрованными оригиналами), и такие приложения могут оказаться бесполезными.

Как итог

Собственно, вывод напрашивается только один: бороться с этим вирусом необходимо исключительно на стадии заражения, когда происходит шифрование только первых файлов. А вообще, лучше всего не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников (это касается исключительно клиентов, установленных непосредственно на компьютере – Outlook, Oulook Express и др.). К тому же если сотрудник компании имеет в своем распоряжении список адресов клиентов и партнеров, открытие «левых» сообщений становится совершенно нецелесообразным, поскольку большинство при приеме на работу подписывает соглашения о неразглашении коммерческой тайны и кибербезопасности.

Комментарии