Вирус зашифровал файлы no more ransom. Удалить вирус шифровальщик no_more_ransom и восстановить зашифрованные файлы

, ВИДЕО , МУЗЫКИ и других личных файлов на .NO_MORE_RANSOM , а оригинальное название меняет на случайное сочетание букв и цифр. При этом большинство файлов самых важных форматов .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP не открываются. Бухгалтерия 1С не работает. Вот как это выглядит:

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно.

Но не спешите отчаиваться!

Дело в том, что, проникнув на Ваш компьютер, зловредная программа использует в качестве инструмента совершенно легальное ПО для шифрования GPG и популярный алгоритм шифрования - RSA-1024. Так как эта утилита много где используется и не является вирусом сама по себе, антивирусы пропускают и не блокируют ее работу. Формируется открытый и закрытый ключ для шифрования файлов. Закрытый ключ отправляется на сервер злоумышленников, открытый остается на компьютере пользователя. Для дешифрации файлов необходимы оба ключа! Закрытый ключ злоумышленники тщательно затирают на пораженном компьютере. Но так происходит не всегда. За более чем трёхлетнюю историю безупречной работы специалисты Dr.SHIFRO изучили тысячи вариаций деятельности зловредов, и, возможно, даже в, казалось бы, безнадёжной ситуации мы сможем предложить решение, которое позволит вернуть Ваши данные.

На этом видео Вы можете посмотреть реальную работу дешифратора на компьютере одного из наших клиентов:

Для анализа возможности расшифровки пришлите 2 образца зашифрованных файлов: один текстовый (doc, docx, odt, txt или rtf размером до 100 Кб), второй графический (jpg, png, bmp, tif или pdf размером до 3 Мб). Еще необходим файл-записка от злоумышленников. После исследования файлов мы сориентируем Вас по стоимости. Файлы можно прислать на почту [email protected] или воспользоваться формой отправки файлов на сайте (оранжевая кнопка).

КОММЕНТАРИИ (2)

Подхватили вирус CRYPTED000007. После поиска в интернете метода расшифровки нашли данный сайт. Специалист быстро и подробно описал что нужно сделать. Для гарантии расшифровали 5 пробных файлов. Озвучили стоимость и после оплаты все расшифровали в течении нескольких часов. Хотя зашифрован был не только компьютер но и сетевой диск. Спасибо огромное за помощь!

Доброго времени суток! У меня была совсем недавно аналогичная ситуация с вирусом CRYPTED000007, который не успел все диски зашифровать, т.к. через какое то время открыл папку с фото и увидел пустой конверт и название файла из разного набора букв и цифр и сразу же скачал и запустил бесплатную утилиту по удалению Троянов. Вирус пришел по почте и было убедительное письмо, которое я открыл и запустил вложение. Жестких дисков на компьютере установлено 4 очень больших размеров (терабайтов). Обращался в различные компании, которых в интернете полно и которые предлагают свои услуги, но даже при удачной расшифровке все файлы будут лежать в отдельной папке и все перемешаны. Гарантии на 100% расшифровку никто не даёт. Были обращения в Лабораторию Касперского и даже там мне не помогли..html# и решил обратиться. Отправил три пробные фотографии и через время получил ответ с полной их расшифровкой. В почтовой переписке мне было предложено или удаленно или с выездом на дом. Я решил, что бы на дому. Определились по дате и времени приезда специалиста. Сразу в переписке была оговорена сумма за дешифратор и после удачной расшифровки мы подписали договор о выполнении работ и я произвел оплату,согласно договора. Расшифровка файлов заняла очень много времени,так как некоторые видеоролики было большого размера. После полной расшифровки я убедился, что все мои файлы приняли первоначальный вид и правильное расширения файла. Объем жестких дисков стал как и было до их заражения, так как во время заражения диски были забиты почти полностью. Те, кто пишут про мошенников и т.д., я с этим не согласен. Это пишут или конкуренты от злобы, что у них ничего не получается или на что то обиженные люди. В моем случае всё получилось отлично, мои опасения в прошлом. Я снова увидел свои давние семейные фотографии, которые я снимал с давних времен и семейные видеоролики, которые сам монтировал. Хочу сказать слова благодарности компании dr.Shifro и лично Игорю Николаевичу, который мне помог восстановить все мои данные. Спасибо Вам огромное и удачи! Всё что написано,это мое личное мнение, а Вы сами решайте к кому обращаться.

В конце 2016 года мир был атакован весьма нетривиальным вирусом-трояном, шифрующим пользовательские документы и мультимедиа-контент, получившим название NO_MORE_RANSOM. Как расшифровать файлы после воздействия этой угрозы, далее и будет рассмотрено. Однако сразу стоит предупредить всех пользователей, подвергшихся атаке, что единой методики нет. Это связано и с использованием одного из самых продвинутых и со степенью проникновения вируса в компьютерную систему или даже в локальную сеть (хотя изначально на сетевое воздействие он и не рассчитан).

Что за вирус NO_MORE_RANSOM и как он работает?

Вообще, сам вирус принято относить к классу троянов типа I Love You, которые проникают в компьютерную систему и шифруют файлы пользователя (обычно это мультимедиа). Правда, если прародитель отличался только шифрованием, то этот вирус очень многое позаимствовал у некогда нашумевшей угрозы под названием DA_VINCI_COD, совместив в себе еще и функции вымогателя.

После заражения большинству файлов аудио, видео, графики или офисных документов присваивается длиннющее имя с расширением NO_MORE_RANSOM, содержащее сложный пароль.

При попытке их открытия на экране появляется сообщение о том, что файлы зашифрованы, а для произведения дешифрования нужно заплатить некоторую сумму.

Как угроза проникает в систему?

Оставим пока в покое вопрос о том, как после воздействия NO_MORE_RANSOM расшифровать файлы любого из вышеуказанных типов, а обратимся к технологии проникновения вируса в компьютерную систему. К сожалению, как бы ни звучало, для этого используется старый проверенный способ: на адрес электронной почты приходит письмо с вложением, открывая которое, пользователь и получает срабатывание вредоносного кода.

Оригинальностью, как видим, эта методика не отличается. Однако сообщение может быть замаскировано под ничего не значащий текст. Или, наоборот, например, если речь идет о крупных компаниях, - под изменение условий какого-то контракта. Понятно, что рядовой клерк открывает вложение, а далее и получает плачевный результат. Одной из самых ярких вспышек стало шифрование баз данных популярного пакета 1С. А это уже дело серьезное.

NO_MORE_RANSOM: как расшифровать документы?

Но все же стоит обратиться к главному вопросу. Наверняка всех интересует, как расшифровать файлы. Вирус NO_MORE_RANSOM имеет свою последовательность действий. Если пользователь пытается произвести дешифрование сразу же после заражения, сделать это еще кое-как можно. Если же угроза обосновалась в системе прочно, увы, без помощи специалистов здесь не обойтись. Но и они зачастую оказываются бессильны.

Если угроза была обнаружена своевременно, путь только один - обратиться в службы поддержки антивирусных компаний (пока еще не все документы были зашифрованы), отправить пару недоступных для открытия файлов и на основе анализа оригиналов, сохраненных на съемных носителях, попытаться восстановить уже зараженные документы, предварительно скопировав на ту же флешку все, что еще доступно для открытия (хотя полной гарантии того, что вирус не проник в такие документы, тоже нет). После этого для верности носитель нужно обязательно проверить хотя бы антивирусным сканером (мало ли что).

Алгоритм

Отдельно стоит сказать и о том, что вирус для шифрования использует алгоритм RSA-3072, который, в отличие от ранее применявшейся технологии RSA-2048, является настолько сложным, что подбор нужного пароля, даже при условии, что этим будет заниматься весь контингент антивирусных лабораторий, может занять месяцы и годы. Таким образом, вопрос того, как расшифровать NO_MORE_RANSOM, потребует достаточно больших временных затрат. Но что делать, если восстановить информацию нужно немедленно? Прежде всего - удалить сам вирус.

Можно ли удалить вирус и как это сделать?

Собственно, сделать это нетрудно. Судя по наглости создателей вируса, угроза в компьютерной системе не маскируется. Наоборот - ей даже выгодно «самоудалиться» после окончания произведенных действий.

Тем не менее поначалу, идя на поводу у вируса, его все-таки следует нейтрализовать. Первым делом необходимо использовать портативные защитные утилиты вроде KVRT, Malwarebytes, Dr. Web CureIt! и им подобные. Обратите внимание: применяемые для проверки программы должны быть портативного типа в обязательном порядке (без установки на жесткий диск с запуском в оптимальном варианте со съемного носителя). Если угроза будет обнаружена, ее следует немедленно удалить.

Если таковые действия не предусмотрены, необходимо сначала зайти в «Диспетчер задач» и завершить в нем все процессы, связанные с вирусом, отсортировав службы по названию (как правило, это процесс Runtime Broker).

После снятия задачи нужно вызвать редактор системного реестра (regedit в меню «Выполнить») и задать поиск по названию «Client Server Runtime System» (без кавычек), после чего используя меню перемещения по результатам «Найти далее…», удалить все найденные элементы. Далее нужно произвести перезагрузку компьютера и поверить в «Диспетчере задач», нет ли там искомого процесса.

В принципе, вопрос того, как расшифровать вирус NO_MORE_RANSOM еще на стадии заражения, может быть решен и таким методом. Вероятность его нейтрализации, конечно, невелика, но шанс есть.

Как расшифровать файлы, зашифрованные NO_MORE_RANSOM: резервные копии

Но есть еще одна методика, о которой мало кто знает или даже догадывается. Дело в том, что сама операционная система постоянно создает собственные теневые резервные копии (например, на случай восстановления), или пользователь намеренно создает такие образы. Как показывает практика, именно на такие копии вирус не воздействует (в его структуре это просто не предусмотрено, хотя и не исключено).

Таким образом, проблема того, как расшифровать NO_MORE_RANSOM, сводится к тому, чтобы использовать именно их. Однако применять для этого штатные средства Windows не рекомендуется (а многие пользователи к скрытым копиям не получат доступа вообще). Поэтому применять нужно утилиту ShadowExplorer (она является портативной).

Для восстановления нужно просто запустить исполняемый отсортировать информацию по датам или разделам, выбрать нужную копию (файла, папки или всей системы) и через меню ПКМ использовать строку экспорта. Далее просто выбирается директория, в которой будет сохранена текущая копия, а затем используется стандартный процесс восстановления.

Сторонние утилиты

Конечно, к проблеме того, как расшифровать NO_MORE_RANSOM, многие лаборатории предлагают свои собственные решения. Так, например, «Лаборатория Касперского» рекомендует использовать собственный программный продукт Kaspersky Decryptor, представленный в двух модификациях - Rakhini и Rector.

Не менее интересно выглядят и аналогичные разработки вроде дешифратора NO_MORE_RANSOM от Dr. Web. Но тут стоит сразу же учесть, что применение таких программ оправдано только в случае быстрого обнаружения угрозы, пока еще не были заражены все файлы. Если же вирус обосновался в системе прочно (когда зашифрованные файлы просто невозможно сравнить с их незашифрованными оригиналами), и такие приложения могут оказаться бесполезными.

Как итог

Собственно, вывод напрашивается только один: бороться с этим вирусом необходимо исключительно на стадии заражения, когда происходит шифрование только первых файлов. А вообще, лучше всего не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников (это касается исключительно клиентов, установленных непосредственно на компьютере - Outlook, Oulook Express и др.). К тому же если сотрудник компании имеет в своем распоряжении список адресов клиентов и партнеров, открытие «левых» сообщений становится совершенно нецелесообразным, поскольку большинство при приеме на работу подписывает соглашения о неразглашении коммерческой тайны и кибербезопасности.

Сейчас уже ни для кого не секрет, что в Интернет перенесены все виды имеющихся преступлений. Среди них кибершпионаж, кибертерроризм, кибермошенничество, киберкражи и, согласно тематике этого блога, кибервымогательство и кибершантаж.

Киберпреступления в России давно хотят приравнять к кражам , усилив наказания, но данный вопрос поднят с подачи банковских структур, которым якобы хакеры житья не дают. Может быть, так оно и есть. Кто о чём, а банки о хакерах...

В готовящемся законопроекте также упомянуто скачивание нелицензионных программ и аудио-видео-"шедевров" современной "шедевро"-индустрии, и так выливающейся на нас, как ушат грязной воды. Опять налицо охота на ведьм, а не на истинных киберпреступников, которые как чума распространились по всей Всемирной Сети и затронули каждую семью в каждой стране мира, имеющую выход в Интернет.

Да, я говорю о Вымогательской Чуме: крипто-вымогателях, шифровальщиках, блокировщиках и всевозможных фейках, т.е. программах, которые прикидываются шифровальщиками, блокировщиками, программами, предлагающими "очистку" за плату, но от этого не перестают быть вымогателями. Их создатели открыто размещают свои "творения" в сети Интернет, не боясь ни правоохранителей, ни криминальной мафии, ни местной полиции, ни Европола и Интерпола. Они рекламируют, их рекламируют и продвигают в результатах поиска автоматизированных систем Google и Яндекс.

Вот с кем должны бороться законы о киберпреступлениях, вот кого в первую очередь должна хватать полиция, вычислять Европол, Интерпол и Управление "К"! Хотелось бы верить, что работа в этом направлении ведётся денно и нощно, но факт налицо: вымогательство и криптовымогательство стало бичом и чумой Интернета, как каток подмяв под себя классические вирусные эпидении.

Кстати, по моим сведениям из Украины, Молдовы и Румынии выпускается наибольшее количество Ransomware, если при этом не учитывать Восточные и Южные регионы Азии, где совершенной другой, более высокий процент и уровень вымогательства и хакерских атак. Одни вымогательские атаки из Украины, Молдовы и Румынии направлены на Россию, русскоязычные предприятия и пользователей, а другие на США, Европу и англоязычных пользователей.

Пользователи компьютеров за последнюю пару лет стали гораздо чаще сталкиваться с программами-шифровальщиками, фейк-шифровальщиками, блокировщиками-вымогателями и прочими, требующими выкуп за возвращение доступа к файлам, которые они зашифровали и сделали нечитаемыми, заблокировали и сделали недоступными, переместили, скрыли, удалили... Как это стало возможным?

Давно прошли те времена, когда распространением вредоносной программы занимался один преступник или начинающий программист. Сейчас чаще всего киберпреступники работают командой, т.к. такая совместная работа приносит больше прибыли. Например, с развитием вымогательской бизнес-модели (RaaS), основанной на оплате выкупа в биткоинах, одна группа может заниматься техподдержкой, написанием рекомендаций, через чат или по email подсказывать новым жертвам, как и где можно купить, обменять, перевести биткоины для последующей уплаты выкупа. Другая группа занимается разработкой, обновлением и отладкой вымогательского ПО. Третья группа обеспечивает прикрытие и размещение. Четвертая группа работает с C&C и администрирует работу из командного центра. Пятая занимается финансовыми вопросами и работает с партнёрами. Шестая компрометирует и заражает сайты... С развитием RaaS, чем сложнее и распространеннее вымогательское ПО, тем больше задействованных групп и выполняемых ими процессов.

Столкнувшись с атакой крипто-вымогателей пострадавшие оказываются перед сложным вопросом: Заплатить выкуп? или Распрощаться с файлами? Чтобы обеспечить себе анонимность киберпреступники используют сеть Tor и требуют выкуп в криптовалюте Bitcoin. На июнь 2016 денежный эквивалент 1 BTC уже превышает 60 тысяч рублей и меньше уже не станет. К сожалению, решив заплатить, пострадавшие невольно финансируют дальнейшую вымогательскую деятельность киберпреступников, аппетит которых растёт не по дням, а по часам и с каждой новой выплатой они убеждаются в своей безнаказанности.

Посмотрите на "Топ 100 богатейших Биткоин Адресов и Биткоин распределение ". Большинство тамошних криптовалютных богатеев-миллионеров стали таковыми незаконными и даже преступными методами.

Как же быть? Сегодня пока нет универсального инструмента для расшифровки данных, есть лишь отдельные утилиты, создаваемые и подходящие для конкретных шифровальщиков. Потому в качестве основной защиты рекомендуются меры, не допускающие заражения шифровальщиками, главной из которых является Актуальная антивирусная защита . При этом очень важно также повышение осведомленности пользователей об этих мерах и об угрозах, исходящих от программ-шифровальщиков и вымогателей. Для этой цели создан наш блог. Здесь собирается информация по каждому шифровальщику-вымогателю, фейк-шифровальщику или блокировщику, выдающему себя за шифровальщика.

Во втором моём блоге "Дешифровщики файлов " с мая 2016 года суммируется информация по декриптерам, которые создаются для бесплатной дешифровки файлов, зашифрованных Crypto-Ransomware. Все описания и инструкции впервые публикуются на русском языке. Сверяйтесь регулярно.

Для цели профессиональной помощи летом 2016 года «Лаборатория Касперского», Intel Security, Европол и полиция Нидерландов организовали совместный проект "No More Ransom" , направленный на борьбу с программами-вымогателями. Участники проекта создали сайт oMoreRansom.org , содержащий общую информацию о шифровальщиках (на английском), а также бесплатные инструменты для восстановления зашифрованных данных. Сначала было всего 4 таких инструмента от ЛК и McAfee. На день написания этой статьи их было уже 7 и функционал был ещё более расширен.

Примечательно, что этот проект только лишь в декабре дополнен группой декриптеров, которые давно описаны в моих блогах "Шифровальщики-вымогатели " и "Дешифровщики файлов ".

No More Ransom!
Обновление от 15 декабря 2016:
К проекту присоединились другие компании, ранее выпустившие другие дешифровщики. Сейчас там уже 20 утилит (некоторых даже по две):
WildFire Decryptor - от «Лаборатории Касперского» и Intel Security
Chimera Decryptor - от «Лаборатории Касперского»
Teslacrypt Decryptor - от «Лаборатории Касперского» и Intel Security
Shade Decryptor - от «Лаборатории Касперского» и Intel Security
CoinVault Decryptor - от «Лаборатории Касперского»
Rannoh Decryptor - от «Лаборатории Касперского»
Rakhni Decryptor - от «Лаборатории Касперского»
Jigsaw Decryptor - от Check Point
Trend Micro Ransomware File Decryptor - от Trend Micro
NMoreira Decryptor - от Emsisoft
Ozozalocker Decryptor - от Emsisoft
Globe Decryptor - от Emsisoft
Globe2 Decryptor - от Emsisoft
FenixLocker Decryptor - от Emsisoft
Philadelphia Decryptor - от Emsisoft
Stampado Decryptor - от Emsisoft
Xorist Decryptor - от Emsisoft
Nemucod Decryptor - от Emsisoft
Gomasom Decryptor - от Emsisoft
Linux.Encoder Decryptor - от BitDefender
Теперь в "No More Ransom" состоят представители из 22 стран мира.

Удачи в дешифровке!!!

Не плати выкуп! Подготовься! Защити свои данные! Делай бэкапы! Пользуясь моментом, напоминаю: Вымогательство — это преступление, а не игра! Не играйте в эти игры.
© Amigo-A (Andrew Ivanov): All blog articles

В конце 2016 года был замечен новый вирус-шифровальщик – NO_MORE_RANSOM. Такое длинное название он получил из-за расширения, которое присваивает файлам пользователя.

Очень многое перенял у других вирусов, например у da_vinci_cod. Так как появился в Сети недавно, антивирусные лаборатории еще не смогли расшифровать его код. Да и сделать в ближайшее время это вряд ли смогут – используется улучшенный алгоритм шифровки. Итак, разберемся, что делать, если ваши файлы зашифрованы с расширением «no_more_ransom».

Описание и принцип работы

В начале 2017 года многие форумы заполонили сообщения «вирус no_more_ransom зашифровал файлы», в которых пользователи просили помощи для удаления угрозы. Атаке подверглись не только частные компьютеры, но и целые организации (особенно те, в которых используются базы 1С). Ситуация у всех пострадавших примерно одинаковая: открыли вложение из электронного письма, через некоторое время файлы получили расширение No_more_ransom. Вирус-шифровальщик при этом без проблем обходил все популярные антивирусные программы.

Вообще, по принципу заражения No_more_ransom ничем не отличим от своих предшественников:

Как вылечить или удалить вирус No_more_ransom

Важно понимать, что после того, как вы начнете самостоятельно No_more_ransom, потеряете возможность восстановить доступ к файлам при помощи пароля злоумышленников. Можно ли восстановить файл после No_more_ransom? На сегодняшний день нет на 100% рабочего алгоритма расшифровки данных. Исключением становятся только утилиты от известных лабораторий, но подбор пароля занимает очень много времени (месяцы, годы). Но о восстановлении чуть ниже. Для начала разберемся, как определить троян no more ransom (перевод – «нет больше выкупа») и побороть его.

Как правило, установленное антивирусное ПО пропускает шифровальщики на компьютер – часто выходят новые версии, для которых попросту не успевают выпускать базы. Вирусы этого типа довольно просто удаляются с компьютера, ведь мошенникам и не нужно, чтобы они оставались в системе, выполнив свою задачу (шифрование). Для удаления можно воспользоваться уже готовыми утилитами, которые распространяются бесплатно:

Пользоваться ими очень просто: запускаем, выбираем диски, жмем «Начать проверку». Остается лишь ждать. После появится окошко, в котором будут отображены все угрозы. Жмем «Удалить».

Скорее всего, одна из этих утилит удалит вирус-шифровальщик. Если этого не произошло, то необходимо удаление вручную:

Если быстро заметите вирус, успев его удалить, то есть шанс, что часть данных не будет зашифрована. Лучше сохранить файлы, которые не подверглись атаке, на отдельный накопитель.

Утилиты-дешифровщики для расшифровки файлов «No_more_ransom»

Подобрать код самостоятельно просто невозможно, если только вы не продвинутый хакер. Для расшифровки потребуются специальные утилиты. Сразу скажу, что далеко не всем удастся расшифровка зашифрованного файла типа «No_more_ransom». Вирус новый, поэтому подбор пароля - очень сложная задача.

Итак, первым делом пробуем восстановить данные из теневых копий. По умолчанию операционная система, начиная с Windows 7, регулярно сохраняет копии ваших документов. В некоторых случаях вирусу не под силу удалить копии. Поэтому скачиваем бесплатную программу ShadowExplorer. Устанавливать ничего не придется – нужно просто распаковать.

Если вирус не удалил копии, то есть вероятность восстановить порядка 80-90% зашифрованной информации.

Программы-дешифраторы для восстановления файлов после вируса No_more_ransom предлагают и известные антивирусные лаборатории. Правда, не стоит рассчитывать, что эти утилиты сумеют восстановить ваши данные. Шифровальщики постоянно совершенствуются, а специалисты попросту не успевают выпускать обновления для каждой версии. Отправляйте образцы в техническую поддержку антивирусных лабораторий, чтобы помочь разработчикам.

Для борьбы с No_more_ransom есть Kaspersky Decryptor. Утилита представлена в двух версиях с приставками и Rakhni (о них на нашем сайте есть отдельные статьи). Для борьбы с вирусом и расшифровки файлов необходимо просто запустить программу, выбрав места проверки.

Помимо этого, требуется указать один из заблокированных документов, чтобы утилита занялась подбором пароля.

Можно бесплатно скачать и лучший дешифратор No_more_ransom от Dr. Web. Утилита называется matsnu1decrypt. Работает по схожему сценарию с программами от Kaspersky. Достаточно запустить проверку и дождаться окончания.