NO_MORE_RANSOM - 如何解密加密的文件？

在2016年年底，世界被一个很琐碎，木马病毒攻击加密文件和多媒体内容，被称为NO_MORE_RANSOM。 如何接触到这种威胁后解密的文件，并且将进一步讨论。 但是，一旦有必要提醒谁被攻击的所有用户，不存在单一的方法。 这是用最先进的加密算法，一个连接，并同程度的病毒渗透到计算机系统，甚至是局域网（虽然最初对网络的影响，并没有计算它）。

什么NO_MORE_RANSOM病毒以及它是如何工作的？

一般情况下，病毒本身作为类木马，如我爱你，它渗透到计算机系统和加密用户的文件（通常是多媒体）。 但是，如果祖父母唯一不同的加密，这种病毒非常多，从所谓DA_VINCI_COD曾经轰动一时的威胁借来的，本身也结合功能勒索。

感染后，大多数的音频文件，视频，图片和Office文档被分配了一个很长的名字与扩展NO_MORE_RANSOM，包含一个复杂的密码。

当出现打开的邮件的文件进行加密和解密的产品，你需要支付一定的金额。

作为威胁渗透到系统？

让我们先不谈如何，影响NO_MORE_RANSOM后解密的上述任何类型的文件的问题，而转向技术，穿透病毒进入电脑系统。 不幸的是，陈词滥调，因为它听起来，它使用老式的方法：通过e-mail带有一个附件被打开，用户收到的激活和恶意代码。

创意，我们可以看到，这种技术是没有什么不同。 然而，该消息可以伪装成一个毫无意义的文字东西。 或者，相反，例如，在大公司的情况下， - 在合同的条件的变化。 据了解，一个普通的业务员打开附件，然后和得到不好的结果。 其中最亮的耀斑的走红加密封装基座1C的数据。 这是一个严重的问题。

NO_MORE_RANSOM：如何破译文件？

但还是值得的转向的主要问题。 当然每个人都感兴趣的是如何解密文件。 NO_MORE_RANSOM病毒有一系列动作。 如果用户试图感染后，立即进行解密，让别的东西越好。 如果威胁在系统中，唉坚决解决，无需专业人员不能做的帮助。 但他们往往无能为力。

如果安全隐患及时得到检测，方式只有一个 - 应用于防病毒公司的支持（但不是所有的文件都已经加密）发送一对不可访问来打开文件和原分析的基础上，存储在可移动媒体，试图恢复以前已经被感染的文件复制相同的USB闪存驱动器任何其他可用于打开（虽然充分的保证，这种病毒还没有蔓延到这样的文件是不一样的）上。 在此之后，对于运营商的忠诚度，有必要检查至少一个病毒扫描程序（谁知道）。

算法

我们还应该提到的是，加密病毒利用RSA-3072的算法，其中，相对于以前使用的RSA-2048技术是如此复杂，正确密码的选择，即使假定这将应对反病毒实验室的整个队伍，它可能需要几个月或几年。 因此，如何破译NO_MORE_RANSOM的问题，需要相当耗时。 但是，如果你有什么需要立即恢复信息？ 首先， - 删除病毒自身。

是否有可能清除病毒，怎么办呢？

其实，这是不难做到。 由病毒制造者的嚣张气焰来看，计算机系统的威胁没有被屏蔽。 相反 - 它甚至有利可图“samoudalitsya”上述行动结束后。

然而，在第一，病毒的牵头下，它仍然必须被压制。 第一步是使用便携式保护事业像KVRT，的Malwarebytes，博士 网络CureIt！ 等等。 注：用于测试的程序应该是一个便携式的是强制性的（没有从可移动媒体运行在最佳状态的硬盘上安装任何东西）。 如果检测到威胁，应立即删除。

如果不提供这样的行动，你必须首先进入“任务管理器”，并完成它与病毒相关的所有进程，以服务名称排序（通常，进程运行时代理）。

排除故障后，我们必须调用注册表编辑器（在菜单中的“运行”注册表编辑器），然后搜索标题«客户端服务器运行时系统»（不带引号），然后使用上的结果，此举菜单中的“查找下一个......”删除所有找到的项目。 接下来，您需要重新启动计算机，并在“任务管理器”认为，看是否有必要的过程。

原则上，如何破译NO_MORE_RANSOM病毒的问题仍然是感染的阶段，可以通过这种方法来解决。 中和的概率，当然是小，但是有机会的话。

如何解密文件加密NO_MORE_RANSOM：备份

但还有另一种方法，它很少有人知道，甚至猜测。 操作系统不断创建它自己的阴影的备份（例如，在恢复的情况下）的事实，或者通过故意制造这样的图像。 实践表明，这种病毒不会影响这些副本（在其结构上，根本就没有提供它，虽然它是可能的）。

因此，如何破译NO_MORE_RANSOM问题，归结为以使用该符号。 不推荐但是，使用Windows标准的工具这一点（很多用户的隐藏副本，将无法获得在所有）。 因此，你需要使用的工具ShadowExplorer（它是便携式）。

要恢复，只需运行可执行 程序文件， 按日期或标题的信息，选择所需的复印（文件，文件夹或整个系统），并通过PCM菜单使用汇出行。 其中电流副本将被存储，然后进一步简单地选择目录使用标准恢复过程。

第三方工具

当然，如何破译NO_MORE_RANSOM问题，许多实验室提供了自己的解决方案。 例如，“卡巴斯基实验室”建议使用它自己的软件产品卡巴斯基解密，两种版本呈现的 - Rakhini和校长。

不那么有趣的外观和类似的发展就像博士NO_MORE_RANSOM解码器 网页。 不过这里要考虑到的是，采用这种方案只有在快速检测威胁的情况下是合理的帐户立即必要的，而不是所有的文件都被感染。 如果病毒在系统中（在刚加密的文件不能与他们的非加密原件相比）根深蒂固，而这种应用可能是无用的。

结果

事实上，结论只有一个：对抗病毒必须是完全感染的阶段，当只有文件的第一加密。 在一般情况下，最好不要打开来历不明收到的电子邮件附件（此专指客户，直接在电脑上安装 - Outlook中，Oulook快递等）。 此外，如果员工在掌握客户和合作伙伴的名单，以解决这是很不合适的，因为大多数在招聘的商业机密，以及网络安全的迹象保密协议“左”的消息开幕。