Як розшифрувати файли no more ransom NO_MORE_RANSOM – як розшифрувати зашифровані файли? Що таке вірус-шифрувальник no_more_ransom

Наприкінці 2016 року світ був атакований вельми нетривіальним вірусом-трояном, що шифрує користувацькі документи та мультимедіа-контент, який отримав назву NO_MORE_RANSOM. Як розшифрувати файли після впливу цієї загрози, далі буде розглянуто. Однак відразу варто попередити всіх користувачів, які зазнали атаки, що єдиної методики немає. Це пов'язано і з використанням одного з найбільш просунутих і зі ступенем проникнення вірусу в комп'ютерну систему або навіть локальну мережу(Хоча спочатку на мережевий вплив він і не розрахований).

Який вірус NO_MORE_RANSOM і як він працює?

Взагалі сам вірус прийнято відносити до класу троянів типу I Love You, які проникають в комп'ютерну систему і шифрують файли користувача (зазвичай це мультимедіа). Щоправда, якщо прабатько відрізнявся лише шифруванням, цей вірус дуже багато запозичив у колись гучної загрози під назвою DA_VINCI_COD, поєднавши в собі ще й функції здирника.

Після зараження більшості файлів аудіо, відео, графіки або офісних документівнадається довжелезне ім'я з розширенням NO_MORE_RANSOM, що містить складний пароль.

При спробі їх відкриття на екрані з'являється повідомлення про те, що файли зашифровані, а для створення дешифрування потрібно заплатити деяку суму.

Як загроза проникає у систему?

Дамо поки що спокій питання про те, як після впливу NO_MORE_RANSOM розшифрувати файли будь-якого з вищевказаних типів, а звернемося до технології проникнення вірусу в комп'ютерну систему. На жаль, хоч би як звучало, для цього використовується старий перевірений спосіб: на адресу електронної поштинадходить лист із вкладенням, відкриваючи який користувач і отримує спрацьовування шкідливого коду.

Оригінальністю, як бачимо, ця методика не відрізняється. Однак повідомлення може бути замасковано під текст, що нічого не означає. Або, навпаки, наприклад, якщо йдеться про великих компаніях, - Під зміну умов якогось договору. Зрозуміло, що рядовий клерк відкриває вкладення, а далі і отримує плачевний результат. Одним із найяскравіших спалахів стало шифрування баз даних популярного пакету 1С. А це вже справа серйозна.

NO_MORE_RANSOM: як розшифрувати документи?

Але все ж таки варто звернутися до головного питання. Напевно, всіх цікавить, як розшифрувати файли. Вірус NO_MORE_RANSOM має власну послідовність дій. Якщо користувач намагається зробити дешифрування відразу після зараження, зробити це ще абияк можна. Якщо ж загроза влаштувалася в системі міцно, на жаль, без допомоги фахівців тут не обійтися. Але й вони найчастіше виявляються безсилими.

Якщо загроза була виявлена ​​вчасно, шлях тільки один - звернутися до служб підтримки антивірусних компаній (поки ще не всі документи були зашифровані), відправити пару недоступних для відкриття файлів та на основі аналізу оригіналів, збережених на знімних носіях, Спробувати відновити вже заражені документи, попередньо скопіювавши на ту ж флешку все, що ще доступно для відкриття (хоча повної гарантії того, що вірус не проник у такі документи, теж немає). Після цього для вірності носій потрібно обов'язково перевірити хоча б антивірусним сканером(мало що).

Алгоритм

Окремо варто сказати і про те, що вірус для шифрування використовує алгоритм RSA-3072, який, на відміну від технології RSA-2048, що раніше застосовувалася, є настільки складним, що підбір потрібного пароля, навіть за умови, що цим займатиметься весь контингент антивірусних лабораторій. , може зайняти місяці та роки. Таким чином, питання того, як розшифрувати NO_MORE_RANSOM, вимагатиме чималих часових витрат. Але що робити, якщо поновити інформацію потрібно негайно? Насамперед – видалити сам вірус.

Чи можна видалити вірус та як це зробити?

Власне, зробити це неважко. Судячи з нахабства творців вірусу, загроза в комп'ютерної системине маскується. Навпаки - їй навіть вигідно «самовіддалитися» після закінчення дій.

Проте спочатку, йдучи з приводу вірусу, його таки слід нейтралізувати. Насамперед необхідно використовувати портативні захисні утиліти на кшталт KVRT, Malwarebytes, Dr. Web CureIt! і їм подібні. Зверніть увагу: застосовувані для перевірки програми повинні бути портативного типу в обов'язковому порядку (без встановлення на жорсткий дискіз запуском в оптимальному варіанті зі знімного носія). Якщо загрозу буде виявлено, її слід негайно видалити.

Якщо такі дії не передбачені, необхідно спочатку зайти в диспетчер завдань і завершити в ньому всі процеси, пов'язані з вірусом, відсортувавши служби за назвою (як правило, це процес Runtime Broker).

Після зняття завдання потрібно викликати редактор системного реєстру (regedit у меню «Виконати») та задати пошук за назвою «Client Server Runtime System» (без лапок), після чого використовуючи меню переміщення за результатами «Знайти далі…» видалити всі знайдені елементи. Далі потрібно перезавантажити комп'ютер і повірити в «Диспетчері завдань», чи немає там шуканого процесу.

В принципі питання того, як розшифрувати вірус NO_MORE_RANSOM ще на стадії зараження, може бути вирішено і таким методом. Імовірність його нейтралізації, звісно, ​​невелика, але шанс є.

Як розшифрувати файли, зашифровані NO_MORE_RANSOM: резервні копії

Але є ще одна методика, про яку мало хто знає чи навіть здогадується. Справа в тому, що сама операційна системапостійно створює власні тіньові резервні копії(наприклад, у разі відновлення), або користувач навмисно створює такі образи. Як показує практика, саме на такі копії вірус не впливає (у його структурі це просто не передбачено, хоч і не виключено).

Таким чином, проблема того, як розшифрувати NO_MORE_RANSOM, зводиться до того, щоб використовувати їх саме. Однак застосовувати для цього штатні засоби Windows не рекомендується (а багато користувачів до прихованих копій не отримають доступу взагалі). Тому використовувати потрібно утиліту ShadowExplorer (вона є портативною).

Для відновлення потрібно просто запустити відсортувати інформацію за датами або розділами, вибрати потрібну копію (файла, папки або всієї системи) і через меню ПКМ використовувати рядок експорту. Далі просто вибирається директорія, в якій буде збережено поточну копію, а потім використовується стандартний процес відновлення.

Сторонні утиліти

Звичайно, до проблеми того, як розшифрувати NO_MORE_RANSOM, багато лабораторій пропонують свої рішення. Так, наприклад, "Лабораторія Касперського" рекомендує використовувати власний програмний продукт Kaspersky Decryptor, представлений у двох модифікаціях - Rakhini та Rector.

Не менш цікаво виглядають і аналогічні розробки на зразок дешифратора NO_MORE_RANSOM від Dr. Web. Але тут варто відразу врахувати, що застосування таких програм виправдано лише у разі швидкого виявлення загрози, поки що не були заражені всі файли. Якщо ж вірус влаштувався в системі міцно (коли зашифровані файли просто неможливо порівняти з незашифрованими оригіналами), і такі програми можуть виявитися марними.

Як підсумок

Власне, висновок напрошується лише один: боротися з цим вірусом необхідно виключно на стадії зараження, коли відбувається шифрування перших файлів. А взагалі, найкраще не відкривати вкладення в повідомленнях електронної пошти, отриманих із сумнівних джерел (це стосується виключно клієнтів, встановлених безпосередньо на комп'ютері – Outlook, Oulook Express та ін.). До того ж, якщо співробітник компанії має у своєму розпорядженні список адрес клієнтів і партнерів, відкриття «лівих» повідомлень стає абсолютно недоцільним, оскільки більшість при прийомі на роботу підписує угоди про нерозголошення комерційної таємниці та кібербезпеки.

, ВІДЕО , МУЗИКИ та інших особистих файлів на .NO_MORE_RANSOM, А оригінальна назва змінює на випадкове поєднання букв та цифр. При цьому більшість файлів найважливіших форматів .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIPне відкриваються. Бухгалтерія 1Сне працює. Ось як це виглядає:

Технічна підтримка Лабораторії Касперського, Dr.Web та інших відомих компаній, що займаються розробкою антивірусного програмного забезпечення, у відповідь на прохання користувачів розшифрувати дані повідомляє, що зробити це за прийнятний час неможливо.

Але не поспішайте зневірятися!

Справа в тому, що, проникнувши на Ваш комп'ютер, шкідлива програма використовує як інструмент абсолютно легальне програмне забезпечення для шифрування GPG і популярний алгоритм шифрування - RSA-1024. Так як ця утиліта багато де використовується і не є вірусом сама по собі, антивіруси пропускають та не блокують її роботу. Формується відкритий та закритий ключ для шифрування файлів. Закритий ключ надсилається на сервер зловмисників, відкритий залишається на комп'ютері користувача. Для дешифрації файлів необхідні обидва ключі! Закритий ключ зловмисники ретельно затирають на комп'ютері. Але так відбувається не завжди. За більш ніж трирічну історію бездоганної роботи фахівці Dr.SHIFROвивчили тисячі варіацій діяльності зловредів, і, можливо, навіть у здавалося б безнадійній ситуації ми зможемо запропонувати рішення, яке дозволить повернути Ваші дані.

На цьому відео Ви можете переглянути реальну роботудешифратора на комп'ютері одного з наших клієнтів:

Для аналізу можливості розшифровки надішліть 2 зразки зашифрованих файлів: один текстовий (doc, docx, odt, txt або rtf розміром до 100 Кб), другий графічний (jpg, png, bmp, tif або pdf розміром до 3 Мб). Ще потрібний файл-записка від зловмисників. Після дослідження файлів ми зорієнтуємо Вас за вартістю. Файли можна надіслати на пошту [email protected]або скористатися формою надсилання файлів на сайті (помаранчева кнопка).

КОМЕНТАРІ (2)

Підхопили вірус CRYPTED000007. Після пошуку в інтернеті методу розшифрування знайшли цей сайт. Фахівець швидко та докладно описав, що потрібно зробити. Для гарантії розшифрували п'ять пробних файлів. Озвучили вартість і після оплати всі розшифрували протягом кількох годин. Хоча зашифрований був не тільки комп'ютер, а й мережевий диск. Дякую за допомогу!

Доброго часу доби! У мене була зовсім недавно аналогічна ситуація з вірусом CRYPTED000007, який не встиг зашифрувати всі диски, т.к. через якийсь час відкрив папку з фото і побачив порожній конверт та назву файлу з різного набору літер та цифр і одразу ж скачав та запустив безкоштовну утиліту з видалення Троянов. Вірус прийшов поштою і був переконливий лист, який відкрив і запустив вкладення. Жорстких дисків на комп'ютері встановлено 4 великих розмірів (терабайтів). Звертався до різних компаній, яких в інтернеті повно і які пропонують свої послуги, але навіть при вдалому розшифруванні всі файли будуть лежати в окремій папці і всі перемішані. Гарантії на 100% розшифрування ніхто не дає. Були звернення до Лабораторії Касперського і навіть там мені не допомогли.html і вирішив звернутися. Відправив три пробні фотографії і через час отримав відповідь з їх повним розшифруванням. У поштовому листуванні мені було запропоновано чи віддалено, чи з виїздом додому. Я вирішив, що б удома. Визначилися за датою та часом приїзду спеціаліста. Відразу в листуванні було обумовлено суму за дешифратор і після вдалого розшифрування ми підписали договір про виконання робіт і я зробив оплату, згідно з договором. Розшифровка файлів зайняла дуже багато часу, так як деякі відео було великого розміру. Після повної розшифровки я переконався, що всі мої файли набули початкового вигляду та правильного розширення файлу. Об `єм жорстких дисківстав як і було до їхнього зараження, тому що під час зараження диски були забиті майже повністю. Ті, хто пишуть про шахраїв тощо, я з цим не згоден. Це пишуть чи конкуренти від злості, що в них нічого не виходить чи на щось ображені люди. У моєму випадку все вийшло чудово, мої побоювання у минулому. Я знову побачив свої давні сімейні фотографії, які я знімав із давніх-давен і сімейні відеоролики, які сам монтував. Хочу сказати слова подяки компанії dr.Shifro та особисто Ігорю Миколайовичу, який мені допоміг відновити всі мої дані. Дякую Вам величезне та удачі! Все, що написано, це моя особиста думка, а Ви самі вирішуйте до кого звертатися.

No_more_ransom вірус- це новий вірус-шифрувальник, продовження сумнозвісної серії вірусів, до складу якої входять better_call_saul і da_vinci_code. Як і його попередні версії, цей вірус-вимагач поширюється через спам повідомлень. Кожен із цих електронних листів містить приєднаний файл — архів, який у свою чергу містить файл, що виконується. Саме за спробі його відкриття відбувається активізація вірусу. No_more_ransom вірус зашифровує файли різноманітних типів (документи, зображення, бази даних, включаючи бази 1С) на комп'ютері жертви. Після закінчення процесу шифрування всі знайомі файли зникають, а в папках де зберігалися документи з'являються нові файли з дивними іменами та розширенням. no_more_ransom. Крім цього на робочому столі з'являється повідомлення подібне до нижченаведеного:

No_more_ransom вірус поєднує у собі риси різних виявлених раніше шифрувальників. Як заявляють автори вірусу, на відміну від більш ранніх версій, які використовували режим шифрування RSA-2048 з довжиною ключа 2048 біт, no_more_ransom вірус використовує ще більш стійкий режим шифрування, з більшою довжиною ключа (алгоритм шифрування RSA-3072).

No_more-ransom вірус - форма зворотнього зв'язку

При зараженні комп'ютера вірусом-шифрувальником no_more_ransom ця шкідлива програма копіює своє тіло в системну папку і додає запис до реєстру Windows, забезпечуючи собі автоматичний запускпри кожному старті комп'ютера. Після цього вірус починає зашифровувати файли. Кожному зараженому комп'ютеру No_more_ransom шифрувальник надає унікальний ID, який жертва повинна надіслати авторам вірусу для того, щоб отримати свій власний ключ розшифровки. При цьому жертва повинна заплатити за розшифровку.no_more_ransom файлів значну суму.

на теперішній моментнемає 100% реально працюючого способу безкоштовно відновити зашифровані файли. Тому ми пропонуємо використовувати безкоштовні програми, такі як ShadowExplorer та PhotoRec для спроби відновити копії зашифрованих файлів. У разі появи способу розшифровки.no_more_ransom файлів ми оперативно оновимо цю інструкцію.

Як no_more_ransom вірус-шифрувальник проникає на комп'ютер

No_more_ransom вірус поширюється електронною поштою. Лист містить вкладений заражений документ чи архів. Такі листи розсилаються величезною базою адрес електронної пошти. Автори цього вірусу використовують заголовки і зміст листів, що вводять в оману, намагаючись обманом змусити користувача відкрити вкладений у лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитись свіжий прайс-лист, треті відкрити веселу фотографію тощо. У будь-якому випадку результатом відкриття прикріпленого файлу буде зараження комп'ютера no_more_ransom вірусом-шифрувальником.

Що таке вірус-шифрувальник no_more_ransom

Вірус-шифрувальник no_more_ransom - це продовження сім'ї шифраторів, до якої входить велика кількість інших подібних шкідливих програм. Ця шкідлива програма вражає всі сучасні версії операційних систем Windows, включаючи Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. для самостійного розшифрування файлів.

Під час зараження комп'ютера вірус-шифрувальник no_more_ransom може використовувати кілька різних каталогів для зберігання власних файлів. Наприклад C:\ProgramData\Windows, C:\Users\Всі користувачі\Windows, C:\ProgramData\Csrss, C:\Users\Всі користувачі\Csrss, C:\ProgramData\System32, C:\Users\Всі користувачі\ System32. У папці створюється файл csrss.exe, який є копією файлу вірусу. Потім шифрувальник створює запис у реєстрі Windows: у розділі HKCU\Software\Microsoft\Windows\CurrentVersion\Run, ключ з ім'ям Client Server Runtime Subsystem. Цим вірус забезпечує можливість продовжити шифрування. якщо користувач з будь-яких причин вимкнув комп'ютер.

Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві та хмарні сховища, для визначення файлів, які будуть зашифровані. Вірус-шифрувальник no_more_ransom використовує розширення імені файлу як спосіб визначення групи файлів, які будуть зашифровані. Ця версія вірусу шифрує величезну кількість різних видівфайлів, включаючи такі поширені як:

3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg,.txt,.p7c,.p7b,.p12,.pfx,.pem,.crt,.cer,.der,. .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .e ps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav , .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, . wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll , .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, . ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Відразу після того, як файл зашифрований, він отримує нове ім'я та розширення.no_more_ransom. Після чого вірус створює на всіх дисках та Робочому столі текстові документиз іменами README.txt, README1.txt, README2.txt…, які містять інструкцію з розшифрування зашифрованих файлів.

Вірус-шифрувальник no_more_ransom активно використовує тактику залякування, показуючи на робочому столі попередження. Намагаючись таким чином змусити жертву, не роздумуючи надіслати ID комп'ютера на адресу електронної пошти автора вірусу для спроби повернути свої файли.

Мій комп'ютер заражений вірусом-шифрувальником no_more_ransom?

Визначити заражений комп'ютер чи ні вірусом-шифрувальником no_more_ransom досить легко. Якщо замість ваших персональних файлів з'явилися файли з дивними іменами та розширенням no_more_ransom, ваш комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям README у ваших каталогах. Цей файл буде містити інструкцію з розшифровування файлів no_more_ransom. Приклад такого вмісту наведено нижче.

Ваші файли були зашифровані.
Щоб розшифрувати їх, Вам необхідно надіслати код:
(ID комп'ютера)
на електронна адреса [email protected].
Далі ви отримаєте усі необхідні інструкції.
Спроби розшифрувати самостійно не призведуть ні до чого, окрім безповоротної втрати інформації.
Якщо ви все ж таки хочете спробувати, то попередньо зробіть резервні копії файлів, інакше у випадку
їх зміни розшифровка стане неможливою за жодних умов.
Якщо ви не отримали відповіді за вказаною адресою протягом 48 годин (і тільки в цьому випадку!),
скористайтеся формою зворотного зв'язку. Це можна зробити двома способами:
1) Завантажте та встановіть Tor Browser за посиланням: https://www.torproject.org/download/download-easy.html.en
У адресному рядку Tor Browser-а введіть адресу:

та натисніть Enter. Завантажиться сторінка із формою зворотного зв'язку.
2) У будь-якому браузері перейдіть за однією з адрес:

Всі важливі файли на вашому комп'ютері були розглянуті.
Щоб вибрати файли, ви повинні прочитати наступний код:
(ID комп'ютера)
до електронної пошти address [email protected].
Then you will receive all necessary instructions.
Всі аспекти звільнення від вас будутьв результаті тільки в невиправдані втрати з вашого data.
Якщо ви збираєтеся попросити вас, щоб переконатися, що ви, мабуть, backup at first because
decryption will become impossible in case of any changes inside the files.
Якщо ви не отримуєте повідомлення від отриманого електронної пошти для більше ніж 48 годин (і тільки в цьому випадку!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type following address into address bar:
http://cryptsen7fo43rr6.onion/
Натисніть клавішу Enter and then the page with feedback form will be loaded.
2) Перейти до однієї з наступних повідомлень в будь-якому браузері:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Як розшифрувати файли зашифровані вірусом-шифрувальником no_more_ransom?

На даний момент немає доступного розшифровувача.no_more_ransom файлів. Вірус-шифрувальник неодноразово повідомляє жертву, що використовується сильний алгоритм шифрування. Це означає, що без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа так само не вихід через велику довжину ключа. Тому, на жаль, тільки оплата авторам вірусу всієї суми (9000 рублів і більше) — єдиний спосіб спробувати отримати ключ розшифровки.

Немає жодної гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ необхідний для розшифровування ваших файлів. Крім цього, потрібно розуміти, що сплачуючи гроші розробникам вірусів, ви самі підштовхуєте їх на створення нових вірусів.

Як видалити вірус-шифрувальник no_more_ransom?

Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу та спроби самостійного відновленняфайлів, ви блокуєте можливість розшифрувати файли, заплативши авторам вірусу запрошену ними суму.

Kaspersky Virus Removal Tool(KVRT) та Malwarebytes Anti-malware(MBAM) можуть виявляти різні типиактивних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.

Натисніть на клавіатурі клавіші Windowsі R (російська До) одночасно. Відкриється невелике віконце із заголовком Виконати в якому введіть:

Натисніть клавішу Enter.

Запустити редактор реєстру. Відкрийте меню Правка, а в ньому натисніть пункт Знайти. Введіть:

Client Server Runtime Subsystem

Натисніть клавішу Enter.

Видаліть цей параметр, клацнувши по ньому правою клавішею і вибравши Видалити як показано на малюнку нижче. Будьте дуже уважними!

Закрийте редактор реєстру.

Перезавантажте комп'ютер. Відкрийте каталог C:\Documents and Settings\All Users\Application Data\Windows\ і видаліть файл csrss.exe.

Завантажте програму HijackThis, клацнувши за наступним посиланням.

Декілька фінальних слів

Виконавши цю інструкцію, ваш комп'ютер буде очищений від no_more_ransom вірусу-шифрувальника. Якщо у вас виникли питання або вам потрібна допомога, то звертайтеся на наш .

Наприкінці 2016 року був помічений новий вірус-шифрувальник – NO_MORE_RANSOM. Таку довгу назву він отримав через розширення, яке надає файлам користувача.

Дуже багато перейняв у інших вірусів, наприклад у da_vinci_cod. Оскільки нещодавно з'явився в Мережі, антивірусні лабораторії ще не змогли розшифрувати його код. Та й зробити найближчим часом це навряд чи зможуть – використовується покращений алгоритм шифрування. Отже, розберемося, що робити, якщо ваші файли зашифровані з розширенням "no_more_ransom".

Опис та принцип роботи

На початку 2017 року багато форумів заполонили повідомлення "вірус no_more_ransom зашифрував файли", в яких користувачі просили допомоги для видалення загрози. Атаку зазнали як приватні комп'ютери, а й цілі організації (особливо ті, у яких використовуються бази 1С). Ситуація у всіх постраждалих приблизно однакова: відкрили вкладення з електронного листа, Через деякий час файли отримали розширення No_more_ransom. Вірус-шифрувальник при цьому без проблем обходив усі популярні антивірусні програми.

Взагалі, за принципом зараження No_more_ransom нічим не відрізнити від своїх попередників:

Як вилікувати або видалити вірус No_more_ransom

Важливо розуміти, що після того, як ви почнете самостійно No_more_ransom, ви втратите можливість відновити доступ до файлів за допомогою пароля зловмисників. Чи можна відновити файл після No_more_ransom? На сьогоднішній день немає на 100% робочого алгоритму розшифрування даних. Винятком стають лише утиліти від відомих лабораторій, але підбір пароля займає багато часу (місяці, роки). Але про відновлення трохи нижче. Спочатку розберемося, як визначити троян no more ransom (переклад – «немає більше викупу») і подолати його.

Як правило, встановлене антивірусне програмне забезпечення пропускає шифрувальники на комп'ютер – часто виходять нові версії, для яких просто не встигають випускати бази. Віруси цього досить просто видаляються з комп'ютера, адже шахраям і потрібно, щоб вони залишалися у системі, виконавши своє завдання (шифрування). Для видалення можна скористатися вже готовими утилітами, які розповсюджуються безкоштовно:

Користуватися ними дуже просто: запускаємо, вибираємо диски, тиснемо "Почати перевірку". Залишається лише чекати. Після цього з'явиться віконце, в якому будуть відображені всі загрози. Тиснемо «Видалити».

Швидше за все, одна з цих утилітів видалить вірус-шифрувальник. Якщо цього не сталося, необхідно видалити вручну:

Якщо швидко помітите вірус, встигнувши його видалити, то є шанс, що частина даних не буде зашифрована. Краще зберегти файли, які не зазнали атаки, на окремий накопичувач.

Утиліти-дешифрувальники для розшифрування файлів "No_more_ransom"

Підібрати код самостійно просто неможливо, якщо ви не просунутий хакер. Для розшифровки потрібні спеціальні утиліти. Відразу скажу, що далеко не всім вдасться розшифровувати зашифрований файл типу «No_more_ransom». Вірус новий, тому підбір пароля – дуже складне завдання.

Отже, перш за все намагаємося відновити дані з тіньових копій. За промовчанням операційна система, починаючи з Windows 7, регулярно зберігає копії документів. У деяких випадках вірусу не під силу видалити копії. Тому завантажуємо безкоштовну програму ShadowExplorer. Встановлювати нічого не доведеться – потрібно просто розпакувати.

Якщо вірус не видалив копії, то є можливість відновити близько 80-90% зашифрованої інформації.

Програми-дешифратори для відновлення файлів після вірусу No_more_ransom пропонують відомі антивірусні лабораторії. Щоправда, не варто розраховувати, що ці утиліти зможуть поновити ваші дані. Шифрувальники постійно вдосконалюються, а фахівці просто не встигають випускати оновлення для кожної версії. Надсилайте зразки в технічну підтримкуантивірусних лабораторій, щоб допомогти розробникам.

Для боротьби з No_more_ransom є Kaspersky Decryptor. Утиліта представлена ​​у двох версіях з приставками та Rakhni (про них на нашому сайті є окремі статті). Для боротьби з вірусом та розшифрування файлів необхідно просто запустити програму, вибравши місця перевірки.

Крім цього, потрібно вказати один із заблокованих документів, щоб утиліта зайнялася підбором пароля.

Можна безкоштовно скачати і найкращий дешифратор No_more_ransom від Dr. Web. Утиліта називається matsnu1decrypt. Працює за схожим сценарієм з програмами від Kaspersky. Достатньо запустити перевірку та дочекатися закінчення.

Зіткнувшись із атакою крипто-вимагачів постраждалі постають перед складним питанням: Заплатити викуп? або Попрощатися з файлами? Щоб забезпечити анонімність кіберзлочинці використовують мережу Tor і вимагають викуп у криптовалюті Bitcoin. На червень 2016 року грошовий еквівалент 1 BTC вже перевищує 60 тисяч рублів і менше вже не стане. На жаль, вирішивши заплатити, постраждалі мимоволі фінансують подальшу здирницьку діяльність кіберзлочинців, апетит яких зростає не щодня, а щогодини і з кожною новою виплатою вони переконуються у своїй безкарності.

Подивіться на " Топ 100 найбагатших Біткоїн Адреса і Біткоїн розподілБільшість тамтешніх криптовалютних багатіїв-мільйонерів стали такими незаконними і навіть злочинними методами.

Удачі в дешифруванні!