1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как расшифровать no more ransom

Вирус шифровальщик .no_more_ransom

В этой статье не призываю идти на поводу у злоумышленников и платить им деньги, не предлагаю с ними сотрудничать и уж тем более не поощряю их способы заработка, а всего лишь отражаю опыт взаимодействия с ними.

Заражение

Обратился клиент с проблемой актуальной на сегодняшний день, вирус зашифровал файлы, причем переименовав их полностью, а не добавив новое расширение, что не оставляло возможности понять какой тип файла видим перед собой.

Данные стали такого вида: l1YOMSCoG99U6JQ2JPDuD-tbD2JVm5OFdldVfDxnX4ilhnmEOYVUVL6bNH79PjBMpETW3m34U+7z4w4zK+cpkti4Bv4iOzVZS09Vp+Or0hYHX3OqrcuiGip8kHgecj2.5EFC70C2773E0713491D.no_more_ransom

На рабочем столе и в корне дисков появилось текстовые документы вида README1.txt, README2.txt, …, README10.txt, в которых один и тот же текст:

Baшu файлы были зашuфpованы.
Чтобы рaсшuфровaть их, Вaм неoбходимо omnpавuть koд:
<идентификатор зашифрованного компьютера>
на элekmpонный aдрeс yvonne.vancese1982@gmail.com .
Дaлеe вы пoлучumе всe нeoбходuмые uнcmрукцuи.
Попытkи рaсшифрoвaть сaмоcmоятельнo не приведуm ни k чему, kроме безвозвраmной пoтeри инфopмaцuu.
Еcлu вы всё же хотuтe nonытаться, mo предвaрuтeльнo cделaйme резеpвные кoпиu файлoв, иначe в случаe
иx uзмeненuя pаcшuфровka cmaнem нeвoзможнoй ни пpи kакux уcловuяx.
Еcлu вы нe nолучили oтвemа по вышeykазаннoмy aдреcy в течeниe 48 чаcов (и тoльkо в этом случаe!),
восnoльзуйтесь формой oбpаmнoй связu. Эmо мoжно сдeлaть двyмя cпосoбaми:
1) Скaчайте и уcтановume Tor Browser пo ccылke: https://www.torproject.org/download/download-easy.html.en
В адреснoй сmроke Tor Browser-a введиmе aдpeс:
http://cryptsen7fo43rr6.onion/
u нажмuтe Enter. Зaгpyзumcя cтранuцa с фoрмой обpaтной cвязu.
2) В любом бpaузеpe пеpейдиmе nо oдному из aдрecов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
<идентификатор зашифрованного компьютера>
to e-mail address yvonne.vancese1982@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Поиск решения

Написав на почту yvonne.vancese1982@gmail.com, получил ответ:

Стоимость дешифровки 35000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 2 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл,
никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.
Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы
Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.
И помните пожалуйста, что цена каждый день растет.
PS Пишите четко, ясно, предельно понятно, учитывайте, что кроме Вас пишет много человек,
в диалоги не вступаю, работа по приницпу быстро заплатил, сразу получил.Не устраивает цена услуги, больше не пишите.

Все стандартно, заплатил — получил дешифратор. Только риск быть кинутым остается всегда, тем более сумма не маленькая, хотя потеря информации часто более болезненна, чем 35000руб.

Написав, что я обычный менеджер, на которого все повесили, и работу терять я не хочу, поэтому готов заплатить, но особо средствами не располагаю, попросил скидку. Ответ получил довольно быстро, цену снизили до 30 000руб.

Далее процесс перевода денег в Биткоины и отправка на указанный адрес. После чего продолжение общения в почте:

http://dropmefiles.com/*** — ссылка на дешифратор

Разархивируете и сохраняете папку на диск C, после этого нажимаете на файл decrypt.exe два раза, будут вопросы пишите, хорошего дня.
Обязательно отключайте на время расшифровки антивирус и запускайте файл decrypt.exe от имени администратора
ОБЯЗАТЕЛЬНО ОТКЛЮЧАТЬ АНТИВИРУС СОВСЕМ, а не только спящий режим, закрыть абсолютно все программы и во время расшифровки на пк
ничего не делать.После расшифровки смотреть в папке возможно будет файл Rename
Когда программа закончит она предложит нажать Enter
Также после этого смотрите файл Rename (он там же где decrypt) может создастся может нет

Читать еще:  Как играть переборы на гитаре

По итогу имеем расшифрованную информацию и минус 30000руб. в кошельке. В очередной раз все прошло удачно и деньги не улетели в трубу, хотя как посмотреть..

Единственный способ защиты от вирусов-шифровальщиков — это резервные копии. Не забывайте делать бэкапы, а если хотите автоматизировать этот процесс, пишите через обратную связь, помогу.

Авторизуясь, вы даете согласие на обработку персональных данных.

Удаление шифровальщика .no_more_ransom (Novikov.Vavila@gmail.com) и дешифратор

.no_more_ransom (.crypted000007, novikov.vavila virus, lukyan.sazonov26@gmail.com, gervasiy.menyaev virus, Trojan.Encoder.20, Filecoder.ED) – название даного шифровальщика по классификациям разных антивирусных лабораторий. .no_more_ransom или .crypted000007 – именно в такое расширения вирус-шифровальщик из семейства CTB-Locker “перепаковывает” все Ваши документы, фото, базы-данных, таблицы и другие файлы. Они будут иметь вид 0MRRecIEfKBdze3MvvKaLOkn-mlwjAOl6u2+6WCLLbzm5XusIJTeKu1d7P6HihYl.4FA9D92ABB00CC1EAB54.no_more_ransom, .crypted000007 или что-то подобное. Алгоритм шифрования, который используют злоумышленники, действительно практически исключает возможность самостоятельной расшифровки файлов. Но есть возможность частичного или даже полного восстановления из скрытых копий или другими методами. Но об этом чуть ниже. После полного или частичного шифрования Ваших файлов (вирус шифрует 34 типа файлов) на рабочем столе и в некоторых папках появляется файл Readme.txt или README1.txt с “инструкциями” по восстановлению информации.

Один из вариантов обоев рабочего стола компьютера инфицированного шифровальщиком .no_more_ransom (Novikov.Vavila@gmail.com)

Все что с Вас хотят – это денежные средства в размере 500-1000$ (зависит от страны), само-собой биткоинами, в таком случае получателя идентифицировать не получится.

Сообщение вируса no_more_ransom:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:

на электронный адрес Novikov.Vavila@gmail.com . (yvonne.vancese1982@gmail.com)
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:

to e-mail address Novikov.Vavila@gmail.com . (yvonne.vancese1982@gmail.com) (gervasiy.menyaev@gmail.com)
Then you will receive all necessary instructions.

Вирус распространяется чаще всего через вложения к эл. почте и сообщениях в социальных сетях. Причем вирус может прислать Вам и друг, компютер которого инфицирован троянским конем. Письма могут быть замаскированы под уведомление Вашего банка, налоговой инспекции, сообщение от бухгалтера и.т.д

Пример спам-рассылки с вирусом no_more_ransom в архиве

Мы настоятельно не рекомендуем платить выкуп злоумышленникам, так как знаем о десятках случаев когда после оплаты пользователь НЕ ПОЛУЧАЛ ключ программное обеспечение для расшифровки своих файлов.

Интерфейс обратной связи с злоумышленниками через браузер Tor

Верить мошенникам – себе дороже. Следуйте инструкциям ниже для того чтобы попытаться восстановить хотя-бы часть вашей информации.

Удалить шифровальщик .no_more_ransom с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

  1. Загрузить программу для удаления вируса .no_more_ransom. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления шифровальщика .no_more_ransom.
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Читать еще:  Как узнать коэффициент КБМ ОСАГО

    Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла. Использовать инструмент “Теневой проводник” ShadowExplorer

» data-medium-file=»https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1″ data-large-file=»https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1″ class=»aligncenter size-full wp-image-140″ src=»https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?resize=392%2C515″ alt=»previous-versions» width=»392″ height=»515″ data-recalc-dims=»1″ />

  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).
  • Резервное копирование

    Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

    Проверить возможное наличие остаточных компонентов вымогателя .no_more_ransom

    Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

    NO_MORE_RANSOM — как расшифровать зашифрованные файлы?

    В конце 2016 года мир был атакован весьма нетривиальным вирусом-трояном, шифрующим пользовательские документы и мультимедиа-контент, получившим название NO_MORE_RANSOM. Как расшифровать файлы после воздействия этой угрозы, далее и будет рассмотрено. Однако сразу стоит предупредить всех пользователей, подвергшихся атаке, что единой методики нет. Это связано и с использованием одного из самых продвинутых алгоритмов шифрования, и со степенью проникновения вируса в компьютерную систему или даже в локальную сеть (хотя изначально на сетевое воздействие он и не рассчитан).

    Что за вирус NO_MORE_RANSOM и как он работает?

    Вообще, сам вирус принято относить к классу троянов типа I Love You, которые проникают в компьютерную систему и шифруют файлы пользователя (обычно это мультимедиа). Правда, если прародитель отличался только шифрованием, то этот вирус очень многое позаимствовал у некогда нашумевшей угрозы под названием DA_VINCI_COD, совместив в себе еще и функции вымогателя.

    После заражения большинству файлов аудио, видео, графики или офисных документов присваивается длиннющее имя с расширением NO_MORE_RANSOM, содержащее сложный пароль.

    При попытке их открытия на экране появляется сообщение о том, что файлы зашифрованы, а для произведения дешифрования нужно заплатить некоторую сумму.

    Как угроза проникает в систему?

    Оставим пока в покое вопрос о том, как после воздействия NO_MORE_RANSOM расшифровать файлы любого из вышеуказанных типов, а обратимся к технологии проникновения вируса в компьютерную систему. К сожалению, как бы банально это ни звучало, для этого используется старый проверенный способ: на адрес электронной почты приходит письмо с вложением, открывая которое, пользователь и получает срабатывание вредоносного кода.

    Оригинальностью, как видим, эта методика не отличается. Однако сообщение может быть замаскировано под ничего не значащий текст. Или, наоборот, например, если речь идет о крупных компаниях, — под изменение условий какого-то контракта. Понятно, что рядовой клерк открывает вложение, а далее и получает плачевный результат. Одной из самых ярких вспышек стало шифрование баз данных популярного пакета 1С. А это уже дело серьезное.

    NO_MORE_RANSOM: как расшифровать документы?

    Но все же стоит обратиться к главному вопросу. Наверняка всех интересует, как расшифровать файлы. Вирус NO_MORE_RANSOM имеет свою последовательность действий. Если пользователь пытается произвести дешифрование сразу же после заражения, сделать это еще кое-как можно. Если же угроза обосновалась в системе прочно, увы, без помощи специалистов здесь не обойтись. Но и они зачастую оказываются бессильны.

    Если угроза была обнаружена своевременно, путь только один – обратиться в службы поддержки антивирусных компаний (пока еще не все документы были зашифрованы), отправить пару недоступных для открытия файлов и на основе анализа оригиналов, сохраненных на съемных носителях, попытаться восстановить уже зараженные документы, предварительно скопировав на ту же флешку все, что еще доступно для открытия (хотя полной гарантии того, что вирус не проник в такие документы, тоже нет). После этого для верности носитель нужно обязательно проверить хотя бы антивирусным сканером (мало ли что).

    Читать еще:  Постельная сцена из викингов

    Алгоритм

    Отдельно стоит сказать и о том, что вирус для шифрования использует алгоритм RSA-3072, который, в отличие от ранее применявшейся технологии RSA-2048, является настолько сложным, что подбор нужного пароля, даже при условии, что этим будет заниматься весь контингент антивирусных лабораторий, может занять месяцы и годы. Таким образом, вопрос того, как расшифровать NO_MORE_RANSOM, потребует достаточно больших временных затрат. Но что делать, если восстановить информацию нужно немедленно? Прежде всего – удалить сам вирус.

    Можно ли удалить вирус и как это сделать?

    Собственно, сделать это нетрудно. Судя по наглости создателей вируса, угроза в компьютерной системе не маскируется. Наоборот – ей даже выгодно «самоудалиться» после окончания произведенных действий.

    Тем не менее поначалу, идя на поводу у вируса, его все-таки следует нейтрализовать. Первым делом необходимо использовать портативные защитные утилиты вроде KVRT, Malwarebytes, Dr. Web CureIt! и им подобные. Обратите внимание: применяемые для проверки программы должны быть портативного типа в обязательном порядке (без установки на жесткий диск с запуском в оптимальном варианте со съемного носителя). Если угроза будет обнаружена, ее следует немедленно удалить.

    Если таковые действия не предусмотрены, необходимо сначала зайти в «Диспетчер задач» и завершить в нем все процессы, связанные с вирусом, отсортировав службы по названию (как правило, это процесс Runtime Broker).

    После снятия задачи нужно вызвать редактор системного реестра (regedit в меню «Выполнить») и задать поиск по названию «Client Server Runtime System» (без кавычек), после чего используя меню перемещения по результатам «Найти далее…», удалить все найденные элементы. Далее нужно произвести перезагрузку компьютера и поверить в «Диспетчере задач», нет ли там искомого процесса.

    В принципе, вопрос того, как расшифровать вирус NO_MORE_RANSOM еще на стадии заражения, может быть решен и таким методом. Вероятность его нейтрализации, конечно, невелика, но шанс есть.

    Как расшифровать файлы, зашифрованные NO_MORE_RANSOM: резервные копии

    Но есть еще одна методика, о которой мало кто знает или даже догадывается. Дело в том, что сама операционная система постоянно создает собственные теневые резервные копии (например, на случай восстановления), или пользователь намеренно создает такие образы. Как показывает практика, именно на такие копии вирус не воздействует (в его структуре это просто не предусмотрено, хотя и не исключено).

    Таким образом, проблема того, как расшифровать NO_MORE_RANSOM, сводится к тому, чтобы использовать именно их. Однако применять для этого штатные средства Windows не рекомендуется (а многие пользователи к скрытым копиям не получат доступа вообще). Поэтому применять нужно утилиту ShadowExplorer (она является портативной).

    Для восстановления нужно просто запустить исполняемый файл программы, отсортировать информацию по датам или разделам, выбрать нужную копию (файла, папки или всей системы) и через меню ПКМ использовать строку экспорта. Далее просто выбирается директория, в которой будет сохранена текущая копия, а затем используется стандартный процесс восстановления.

    Сторонние утилиты

    Конечно, к проблеме того, как расшифровать NO_MORE_RANSOM, многие лаборатории предлагают свои собственные решения. Так, например, «Лаборатория Касперского» рекомендует использовать собственный программный продукт Kaspersky Decryptor, представленный в двух модификациях – Rakhini и Rector.

    Не менее интересно выглядят и аналогичные разработки вроде дешифратора NO_MORE_RANSOM от Dr. Web. Но тут стоит сразу же учесть, что применение таких программ оправдано только в случае быстрого обнаружения угрозы, пока еще не были заражены все файлы. Если же вирус обосновался в системе прочно (когда зашифрованные файлы просто невозможно сравнить с их незашифрованными оригиналами), и такие приложения могут оказаться бесполезными.

    Как итог

    Собственно, вывод напрашивается только один: бороться с этим вирусом необходимо исключительно на стадии заражения, когда происходит шифрование только первых файлов. А вообще, лучше всего не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников (это касается исключительно клиентов, установленных непосредственно на компьютере – Outlook, Oulook Express и др.). К тому же если сотрудник компании имеет в своем распоряжении список адресов клиентов и партнеров, открытие «левых» сообщений становится совершенно нецелесообразным, поскольку большинство при приеме на работу подписывает соглашения о неразглашении коммерческой тайны и кибербезопасности.

    Источники:

    http://poznyaev.ru/blog/windows/virus-shifrovalshhik-no_more_ransom
    http://itsecurity-ru.com/viruses/no-more-ransom
    http://fb.ru/article/328534/no-more-ransom—kak-rasshifrovat-zashifrovannyie-faylyi

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector