Ahora para nadie es un secreto que todo tipo de delitos existentes se han trasladado a Internet. Estos incluyen el ciberespionaje, el ciberterrorismo, el ciberfraude, el ciberrobo y, según el tema de este blog, la ciberextorsión y el ciberchantaje.

Hace tiempo que quieren equiparar los delitos cibernéticos en Rusia con robos y aumentar las penas, pero esta pregunta planteado por instigación de estructuras bancarias, a las que supuestamente los piratas informáticos no permiten vivir. Quizás así sea. Quién habla de qué y los bancos hablan de hackers...

El próximo proyecto de ley también menciona la descarga de programas sin licencia y "obras maestras" de audio y vídeo de la moderna industria de las "obras maestras", que ya se está derramando sobre nosotros como un balde de agua sucia. Una vez más, hay una caza de brujas, y no de verdaderos ciberdelincuentes, que se han extendido como una plaga por la World Wide Web y han afectado a todas las familias de todos los países del mundo que tienen acceso a Internet.

Sí, me refiero a la plaga de la extorsión: criptoransomware, cifradores, bloqueadores y todo tipo de falsificaciones, es decir. programas que se hacen pasar por cifradores, bloqueadores, programas que ofrecen “limpieza” por una tarifa, pero eso no les impide ser extorsionadores. Sus creadores publican abiertamente sus "creaciones" en Internet, sin temor a los agentes del orden, la mafia criminal, la policía local, Europol e Interpol. Se anuncian, se anuncian y promocionan en los resultados de búsqueda de los sistemas automatizados de Google y Yandex.

Esto es a quién deberían luchar las leyes sobre delitos cibernéticos, esto es a quién debería atrapar primero la policía, ¡Europol, Interpol y la Dirección "K" deberían descubrirlo! Me gustaría creer que se trabaja en esta dirección día y noche, pero el hecho es claro: la extorsión y la criptoextorsión se han convertido en el flagelo y la plaga de Internet, como una apisonadora que aplasta las clásicas epidemias virales.

Por cierto, según mi información, se produce en Ucrania, Moldavia y Rumania. mayor número Ransomware, si no se tienen en cuenta las regiones del este y sur de Asia, donde hay un porcentaje y un nivel de extorsión completamente diferentes y más altos. ataques de piratas informáticos. Algunos ataques de extorsión desde Ucrania, Moldavia y Rumania están dirigidos a Rusia, empresas y usuarios de habla rusa, mientras que otros apuntan a Estados Unidos, Europa y usuarios de habla inglesa.

En los últimos años, es mucho más probable que los usuarios de computadoras se encuentren con ransomware, ransomware falso, bloqueadores de ransomware y otros que exigen un rescate por devolver el acceso a archivos que han cifrado y hecho ilegibles, bloqueados y vueltos inaccesibles, movidos, ocultos, eliminado... ¿Cómo fue posible esto?

Atrás quedaron los días en que la distribución de malware era responsabilidad de un delincuente o un programador novato.Hoy en día, los ciberdelincuentes suelen trabajar en equipo, porque... este trabajo conjunto genera más ganancias. Por ejemplo, con el desarrollo de un modelo de negocio de extorsión (RaaS) basado en el pago de un rescate en bitcoins, un grupo puede brindar soporte técnico, escribir recomendaciones y, vía chat o correo electrónico, decirle a las nuevas víctimas cómo y dónde pueden comprar, intercambiar y transferir. bitcoins para el pago posterior del rescate. Otro grupo está desarrollando, actualizando y depurando ransomware. El tercer grupo proporciona cobertura y alojamiento. El cuarto grupo trabaja con C&C y administra trabajar desde el centro de mando. El quinto se ocupa de cuestiones financieras y trabaja con socios. El sexto compromete e infecta sitios... Con el desarrollo de RaaS, cuanto más complejo y extendido es el ransomware, más equipos participan y más procesos realizan.

Cuando se enfrentan a un ataque de criptoransomware, las víctimas se enfrentan a una pregunta difícil: ¿deberían pagar el rescate? o ¿Decir adiós a los archivos? Para garantizar su anonimato, los ciberdelincuentes utilizan la red Tor y exigen un rescate en la criptomoneda Bitcoin. A partir de junio de 2016, el equivalente monetario de 1 BTC ya supera los 60 mil rublos y no disminuirá. Desgraciadamente, al decidir pagar, las víctimas, sin saberlo, financian nuevas extorsiones de los ciberdelincuentes, cuyo apetito crece a pasos agigantados y con cada nuevo pago se convencen de su impunidad.

Mira a " Las 100 direcciones de Bitcoin más ricas y distribución de Bitcoin"La mayoría de los millonarios ricos en criptomonedas se volvieron millonarios a través de métodos ilegales e incluso criminales.

¿Cómo ser? Hoy en día no existe una herramienta universal para descifrar datos; sólo existen utilidades independientes creadas y adecuadas para cifradores específicos. Por ello, como principal protección, se recomiendan medidas para prevenir la infección por ransomware, la principal de las cuales esProtección antivirus actualizada. También es muy importante concienciar a los usuarios sobre estas medidas y las amenazas que plantean el ransomware y el ransomware.Nuestro blog fue creado con este propósito.Aquí se recopila información sobre cada ransomware, criptógrafo falso o bloqueador que se hace pasar por un ransomware.

En mi segundo blog " Descifradores de archivos"Desde mayo de 2016, se ha resumido la información sobre los descifradores que se crean para descifrar de forma gratuita archivos cifrados con Crypto-Ransomware. Todas las descripciones e instrucciones se publican en ruso por primera vez. Compruébelo periódicamente.

Con el fin de brindar asistencia profesional, en el verano de 2016, Kaspersky Lab, Intel Security, Europol y la policía holandesa organizaron un proyecto conjunto " No más rescate", destinado a combatir el ransomware. Los participantes del proyecto crearon un sitio web.oMoreRansom.org, que contiene información general sobre ransomware (en inglés), así como herramientas gratuitas para recuperar datos cifrados. Al principio sólo había 4 herramientas de este tipo de LC y McAfee.El día de escribir este artículo ya eran 7y la funcionalidad se amplió aún más.

Cabe destacar que este proyecto fue recién en diciembre. complementado un grupo de descifradores que se han descrito durante mucho tiempo en mis blogs "Ransomware Encryptors" y "File Decryptors".

¡No más rescate!
Actualización 15 de diciembre de 2016:
Otras empresas que anteriormente habían lanzado otros descifradores se unieron al proyecto. Ahora ya existen 20 utilidades (algunas incluso dos):
WildFire Decryptor - de Kaspersky Lab e Intel Security
Quimera Decryptor - de Kaspersky Lab
Teslacrypt Decryptor - de Kaspersky Lab e Intel Security
Shade Decryptor - de Kaspersky Lab e Intel Security
CoinVault Decryptor - de Kaspersky Lab
Rannoh Decryptor - de Kaspersky Lab
Rakhni Decryptor - de Kaspersky Lab
Jigsaw Decryptor - desde Check Point
Descifrador de archivos Trend Micro Ransomware - por Trend Micro
NMoreira Decryptor - de Emsisoft
Ozozalocker Decryptor - de Emsisoft
Globe Decryptor - de Emsisoft
Descifrador Globe2 - de Emsisoft
FenixLocker Decryptor - de Emsisoft
Filadelfia Decryptor - por Emsisoft
Stampado Decryptor - de Emsisoft
Xorist Decryptor - de Emsisoft
Nemucod Decryptor - de Emsisoft
Gomasom Decryptor - de Emsisoft
Linux.Encoder Decryptor - de BitDefender
Ahora “No More Ransom” está formado por representantes de 22 países.

¡¡¡Buena suerte con el descifrado!!!

¡No pagues el rescate! ¡Prepararse! ¡Protege tus datos! ¡Haz copias de seguridad! Aprovechando este momento les recuerdo: ¡La extorsión es un delito, no un juego! No juegues a estos juegos.
© Amigo-A (Andrew Ivanov): Todos los artículos del blog

virus no_more_ransom- Este nuevo virus ransomware, una continuación de la famosa serie de virus que incluye Better_call_saul y da_vinci_code. Al igual que sus versiones anteriores, este virus ransomware se propaga a través de mensajes de spam. Cada uno de estos correos electrónicos contiene un archivo adjunto, un archivo que a su vez contiene un archivo ejecutable. Es cuando intentas abrirlo que el virus se activa. El virus No_more_ransom cifra archivos de varios tipos (documentos, imágenes, bases de datos, incluidas las bases de datos 1C) en la computadora de la víctima. Una vez completado el proceso de cifrado, todos los archivos familiares desaparecen y aparecen nuevos archivos con nombres extraños y la extensión .no_more_ransom en las carpetas donde se almacenaron los documentos. Además, en el escritorio aparece un mensaje similar al siguiente:

El virus No_more_ransom combina características de varios ransomware descubiertos anteriormente. Según los autores del virus, a diferencia de las versiones anteriores que utilizaban el modo de cifrado RSA-2048 con una longitud de clave de 2048 bits, el virus no_more_ransom utiliza un modo de cifrado aún más potente con una longitud de clave mayor (algoritmo de cifrado RSA-3072).

Virus No_more-ransom - formulario comentario

Cuando una computadora está infectada con el virus ransomware no_more_ransom, este programa malicioso copia su cuerpo a carpeta del sistema y agrega una entrada al registro de Windows, asegurando que se inicie automáticamente cada vez que se inicia la computadora. Después de lo cual el virus comienza a cifrar los archivos. El ransomware asigna una identificación única a cada computadora infectada con No_more_ransom, que la víctima debe enviar a los autores del virus para recibir su propia clave de descifrado. En este caso, la víctima debe pagar una cantidad significativa por descifrar los archivos.no_more_ransom.

Por el momento, no existe una forma 100% funcional de recuperar archivos cifrados de forma gratuita. Por lo tanto sugerimos utilizar programas gratis, como ShadowExplorer y PhotoRec para intentar recuperar copias de archivos cifrados. Si hay disponible un método para descifrar archivos .no_more_ransom, actualizaremos esta instrucción de inmediato.

Cómo llega el virus de rescate no_more_ransom a su computadora

El virus No_more_ransom se propaga por correo electrónico. La carta contiene un documento o archivo infectado adjunto. Estas cartas se envían a enorme base de datos correos electrónicos. Los autores de este virus utilizan encabezados y contenidos engañosos de las cartas, intentando engañar al usuario para que abra un documento adjunto a la carta. Algunas cartas informan sobre la necesidad de pagar una factura, otras ofrecen mirar la lista de precios más reciente, otras ofrecen abrir una foto divertida, etc. En cualquier caso, el resultado de abrir el archivo adjunto será infectar su computadora con un virus de rescate.

¿Qué es un virus ransomware no_more_ransom?

El virus ransomware no_more_ransom es una continuación de la familia de ransomware, que incluye una gran cantidad de otros programas maliciosos similares. Este malware afecta a todas las versiones modernas de los sistemas operativos. sistemas windows, incluidos Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Este virus utiliza un modo de cifrado más potente que RSA-2048 con una longitud de clave de 2048 bits, lo que prácticamente elimina la posibilidad de seleccionar una clave para descifrar archivos. tú mismo.

Al infectar una computadora, el virus de rescate no_more_ransom puede usar varios directorios diferentes para almacenar sus archivos. Por ejemplo C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Sistema32. Se crea un archivo csrss.exe en la carpeta, que es una copia Archivo ejecutable virus. Luego, el ransomware crea una entrada en registro de windows: en la sección HKCU\Software\Microsoft\Windows\CurrentVersion\Run, una clave denominada Client Server Runtime Subsystem. Esto permite que el virus continúe cifrando. si el usuario apaga la computadora por algún motivo.

Inmediatamente después del inicio, el virus escanea todas las unidades disponibles, incluidas las de red y almacenamiento en la nube, para determinar qué archivos se cifrarán. El virus de rescate no_more_ransom utiliza una extensión de nombre de archivo como forma de identificar un grupo de archivos que se cifrarán. Esta versión del virus cifra una gran cantidad diferentes tipos archivos, incluidos los más comunes como:

3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Inmediatamente después de cifrar el archivo, recibe un nuevo nombre y extensión.no_more_ransom. Después de lo cual el virus se crea en todos los discos y en el escritorio. documentos de texto con nombres README.txt, README1.txt, README2.txt..., que contienen instrucciones para descifrar archivos cifrados.

El ransomware no_more_ransom utiliza activamente tácticas de intimidación mostrando una advertencia en el escritorio. Intentando de esta forma obligar a la víctima a enviar sin dudarlo el ID del ordenador a la dirección de correo electrónico del autor del virus para intentar recuperar sus archivos.

¿Mi computadora está infectada con el virus de rescate no_more_ransom?

Es bastante fácil determinar si su computadora está infectada con el virus de rescate no_more_ransom. Si en lugar de tus archivos personales aparecen archivos con nombres extraños y la extensión no_more_ransom, entonces tu ordenador está infectado. Además, un signo de infección es la presencia de un archivo llamado README en sus directorios. Este archivo contendrá instrucciones para descifrar archivos no_more_ransom. A continuación se proporciona un ejemplo del contenido de dicho archivo.

Sus archivos han sido cifrados.
Para descifrarlos, debes enviar el código:
(identificación de computadora)
en dirección de correo electrónico [correo electrónico protegido].
A continuación recibirás todas las instrucciones necesarias.
Los intentos de descifrar por su cuenta no conducirán más que a una pérdida irrecuperable de información.
Si aún quieres intentarlo, primero hazlo. copias de seguridad archivos, de lo contrario en caso
al cambiarlos, el descifrado será imposible bajo ninguna circunstancia.
Si no recibe una respuesta a la dirección anterior dentro de las 48 horas (¡y solo en este caso!),
Utilice el formulario de comentarios. Esto se puede hacer de dos formas:
1) Descargar e instalar Navegador Tor a través del enlace: https://www.torproject.org/download/download-easy.html.en
En la barra de direcciones del navegador Tor, ingrese la dirección:

y presione Entrar. Se cargará la página con el formulario de comentarios.
2) En cualquier navegador, vaya a una de las direcciones:

Todos los archivos importantes de su computadora fueron cifrados.
Para descifrar los archivos que debes enviar la siguiente código:
(identificación de computadora)
a la dirección de correo electrónico [correo electrónico protegido].
Luego recibirá todas las instrucciones necesarias.
Todos los intentos de descifrado por su cuenta resultarán únicamente en la pérdida irrevocable de sus datos.
Si aún desea intentar descifrarlos usted mismo, primero haga una copia de seguridad porque
el descifrado será imposible en caso de cualquier cambio dentro de los archivos.
Si no recibió la respuesta del correo electrónico antes mencionado durante más de 48 horas (¡y sólo en este caso!),
Utilice el formulario de comentarios. Puedes hacerlo de dos maneras:
1) Descarga el navegador Tor desde aquí:
https://www.torproject.org/download/download-easy.html.en
Instálalo y escribe la siguiente dirección. en el Barra de dirección:
http://cryptsen7fo43rr6.onion/
Presione Entrar y luego se cargará la página con el formulario de comentarios.
2) Vaya a una de las siguientes direcciones en cualquier navegador:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

¿Cómo descifrar archivos cifrados por el virus de rescate no_more_ransom?

Actualmente no hay ningún descifrador disponible para archivos .no_more_ransom. El virus ransomware le dice repetidamente a la víctima que se está utilizando un algoritmo de cifrado potente. Esto significa que sin una clave privada, es casi imposible descifrar archivos. Usar el método de selección de clave tampoco es una opción debido a la gran longitud de la clave. Por lo tanto, lamentablemente, pagar únicamente a los autores del virus la cantidad total solicitada (9.000 rublos o más) es la única forma de intentar obtener la clave de descifrado.

No hay absolutamente ninguna garantía de que después del pago los autores del virus se comuniquen con usted y le proporcionen la clave necesaria para descifrar sus archivos. Además, debe comprender que al pagar dinero a los desarrolladores de virus, usted mismo los anima a crear nuevos virus.

¿Cómo eliminar el virus de rescate no_more_ransom?

Antes de comenzar, debe saber que al comenzar a eliminar el virus e intentar restaurar los archivos usted mismo, está bloqueando la capacidad de descifrar los archivos pagando a los autores del virus la cantidad que solicitaron.

Kaspersky Virus Removal Tool (KVRT) y Malwarebytes Anti-malware (MBAM) pueden detectar diferentes tipos virus ransomware activos y los eliminarán fácilmente de su computadora, PERO no pueden restaurar archivos cifrados.

Haz clic en tu teclado Teclas de Windows y R (K rusa) al mismo tiempo. Se abrirá una pequeña ventana con el título Ejecutar en la que ingresa:

Presione Entrar.

Se iniciará el Editor del Registro. Abra el menú Editar y haga clic en Buscar. Ingresar:

Subsistema de tiempo de ejecución del servidor cliente

Presione Entrar.

Elimine este parámetro haciendo clic derecho sobre él y seleccionando Eliminar como se muestra en la siguiente figura. ¡Ten mucho cuidado!

Cierre el Editor del Registro.

Reinicia tu computadora. Abra el directorio C:\Documents and Settings\All Users\Application Data\Windows\ y elimine el archivo csrss.exe.

Descarga el programa HijackThis haciendo clic en el siguiente enlace.

Unas pocas palabras finales

Si sigue estas instrucciones, su computadora quedará libre del virus de rescate no_more_ransom. Si tiene alguna pregunta o necesita ayuda, contáctenos.

, VIDEO, MÚSICA y otros archivos personales en .NO_MORE_RANSOM y cambia el nombre original a una combinación aleatoria de letras y números. Sin embargo, la mayoría de los archivos de los formatos más importantes .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP no abrir. Contabilidad 1C No funciona. Esto es lo que parece:

El soporte técnico de Kaspersky Lab, Dr.Web y otras empresas conocidas que desarrollan software antivirus, en respuesta a las solicitudes de los usuarios para descifrar datos, informa que es imposible hacerlo en un tiempo aceptable.

¡Pero no te apresures a desesperarte!

El hecho es que, al penetrar en su computadora, el programa malicioso utiliza como herramienta el software de cifrado GPG completamente legal y el popular algoritmo de cifrado RSA-1024. Dado que esta utilidad se utiliza en muchos lugares y no es un virus en sí misma, los programas antivirus le permiten pasar y no bloquean su funcionamiento. Se genera una clave pública y privada para cifrar archivos. Llave privada se envía al servidor de los atacantes y permanece abierto en la computadora del usuario. ¡Se requieren ambas claves para descifrar archivos! Los atacantes sobrescriben cuidadosamente la clave privada en el ordenador afectado. Pero esto no siempre sucede. Por más de tres años de historia de impecable trabajo, especialistas Dr.SHIFRO Hemos estudiado miles de variaciones en las actividades del malware y tal vez incluso en una situación aparentemente desesperada, podremos ofrecerle una solución que le permitirá recuperar sus datos.

En este vídeo puedes ver el funcionamiento real del descifrador en el ordenador de uno de nuestros clientes:

Para analizar la posibilidad de descifrado, envíe 2 muestras de archivos cifrados: un texto (doc, docx, odt, txt o rtf de hasta 100 KB de tamaño), el segundo gráfico (jpg, png, bmp, tif o pdf de hasta 3 MB de tamaño). También necesitas un archivo de notas de los atacantes. Después de examinar los archivos, le daremos una estimación del coste. Los archivos se pueden enviar por correo electrónico. [correo electrónico protegido] o utilice el formulario de envío de archivos en el sitio web (botón naranja).

COMENTARIOS (2)

Detectamos el virus CRYPTED000007. Después de buscar en Internet un método de descifrado, encontramos este sitio. El especialista describió rápida y detalladamente lo que había que hacer. Para garantizarlo, se descifraron 5 archivos de prueba. Anunciaron el coste y tras el pago todo quedó descifrado en unas pocas horas. Aunque no sólo la computadora estaba encriptada, sino también unidad de red. ¡Muchas gracias por su ayuda!

¡Buen día! Recientemente tuve una situación similar con el virus CRYPTED000007, que no tuvo tiempo de cifrar todos los discos, porque... Después de un tiempo, abrí la carpeta con la foto y vi un sobre vacío y un nombre de archivo con un conjunto diferente de letras y números, e inmediatamente descargué e inicié la utilidad gratuita para eliminar troyanos. El virus llegó al correo y había una carta convincente que abrí y lancé el archivo adjunto. La computadora tiene 4 discos duros muy grandes (terabytes). Me puse en contacto con varias empresas, de las cuales hay muchas en Internet y que ofrecen sus servicios, pero incluso si el descifrado se realiza correctamente, todos los archivos estarán en una carpeta separada y todos mezclados. Nadie ofrece una garantía de descifrado del 100%. Me comuniqué con Kaspersky Lab y ni siquiera allí me ayudaron..html# así que decidí contactar. Envié tres fotografías de prueba y después de un tiempo recibí una respuesta con una transcripción completa de las mismas. En la correspondencia postal me ofrecieron ya sea de forma remota o en casa. Decidí hacerlo en casa. Decidimos la fecha y hora de llegada del especialista. Inmediatamente en la correspondencia se acordó el monto del decodificador y después del descifrado exitoso, firmamos un acuerdo sobre el trabajo y yo realicé el pago de acuerdo con el acuerdo. Descifrar los archivos llevó mucho tiempo, ya que algunos de los vídeos eran grandes. Después del descifrado completo, me aseguré de que todos mis archivos volvieran a su forma original y a la extensión de archivo correcta. Volumen unidades de disco duro volvió a ser el mismo que era antes de la infección, ya que durante la infección los discos estaban casi completamente obstruidos. Los que escriben sobre estafadores, etc., no estoy de acuerdo con esto. Esto lo escriben los competidores por ira, porque no tienen éxito, o personas que se sienten ofendidas por algo. En mi caso todo salió genial, mis miedos quedaron en el pasado. Volví a ver mis viejas fotografías familiares que había tomado hace mucho tiempo y videos familiares que había editado yo mismo. Me gustaría expresar mi agradecimiento a la empresa Dr. Shifro y personalmente a Igor Nikolaevich, quien me ayudó a restaurar todos mis datos. ¡Muchas gracias y buena suerte! Todo lo que está escrito es mi opinión personal, y tú decides a quién contactar.

A finales de 2016, el mundo fue atacado por un virus troyano nada trivial que encripta documentos de usuario y contenido multimedia, llamado NO_MORE_RANSOM. Se analizará más a fondo cómo descifrar archivos después de la exposición a esta amenaza. Sin embargo, conviene advertir inmediatamente a todos los usuarios que han sido atacados de que no existe una técnica uniforme. Esto se debe al uso de uno de los más avanzados y al grado de penetración del virus en el sistema informático o incluso en red local(aunque inicialmente no fue diseñado para impactar en la red).

¿Qué es el virus NO_MORE_RANSOM y cómo funciona?

En general, el virus en sí suele clasificarse como una clase de troyanos como I Love You, que penetran en un sistema informático y cifran los archivos del usuario (normalmente multimedia). Es cierto que si su progenitor se diferenciaba solo en el cifrado, entonces este virus tomó mucho prestado de la alguna vez sensacional amenaza llamada DA_VINCI_COD, que combina las funciones de un ransomware.

Una vez infectado, la mayor parte del audio, vídeo, gráficos o documentos de oficina Se asigna un nombre largo con la extensión NO_MORE_RANSOM, que contiene una contraseña compleja.

Cuando intentas abrirlos, aparece un mensaje en la pantalla que indica que los archivos están cifrados y que para descifrarlos debes pagar una determinada cantidad.

¿Cómo ingresa la amenaza al sistema?

Dejemos en paz por ahora la cuestión de cómo descifrar archivos de cualquiera de los tipos anteriores después de la exposición a NO_MORE_RANSOM, y pasemos a la tecnología para saber cómo un virus penetra en un sistema informático. Desafortunadamente, no importa cómo suene, para esto se utiliza el antiguo método probado: se envía un correo electrónico con un archivo adjunto a la dirección de correo electrónico y, al abrirlo, el usuario recibe un código malicioso.

Como vemos, esta técnica no es original. Sin embargo, el mensaje puede disfrazarse de texto sin sentido. O, por el contrario, por ejemplo, si hablamos de grandes empresas, cambiar los términos de algún contrato. Está claro que un empleado corriente abre una inversión y luego obtiene un resultado desastroso. Uno de los brotes más llamativos fue el cifrado de bases de datos del popular paquete 1C. Y esto ya es un asunto serio.

NO_MORE_RANSOM: ¿cómo descifrar documentos?

Pero aun así vale la pena abordar la cuestión principal. Seguramente todo el mundo está interesado en cómo descifrar archivos. El virus NO_MORE_RANSOM tiene su propia secuencia de acciones. Si el usuario intenta descifrar inmediatamente después de la infección, todavía hay alguna manera de hacerlo. Si la amenaza se ha establecido firmemente en el sistema, lamentablemente no podrá solucionarse sin la ayuda de especialistas. Pero a menudo resultan impotentes.

Si la amenaza se detectó de manera oportuna, solo hay una manera: comunicarse con los servicios de soporte de las empresas antivirus (aún no se han cifrado todos los documentos), enviar un par de archivos inaccesibles y, basándose en un análisis de los originales. guardado en media removible, intente restaurar documentos ya infectados copiando primero en la misma unidad flash todo lo que aún esté disponible para abrir (aunque tampoco hay una garantía completa de que el virus no haya penetrado en dichos documentos). Después de esto, sin duda, los medios deben comprobarse con al menos un escáner antivirus (nunca se sabe).

Algoritmo

También vale la pena mencionar que el virus utiliza el algoritmo de cifrado RSA-3072, que, a diferencia de la tecnología RSA-2048 utilizada anteriormente, es tan complejo que elegir la contraseña correcta, incluso si todo el contingente de laboratorios antivirus está involucrado en Esto puede llevar meses o años. Por lo tanto, la cuestión de cómo descifrar NO_MORE_RANSOM requerirá bastante tiempo. Pero ¿qué pasa si necesita restaurar información inmediatamente? En primer lugar, elimine el virus.

¿Es posible eliminar un virus y cómo hacerlo?

En realidad, esto no es difícil de hacer. A juzgar por el descaro de los creadores del virus, la amenaza es sistema informático no camuflado. Por el contrario, incluso le resulta beneficioso “quitarse” después de completar las acciones realizadas.

Sin embargo, al principio, siguiendo el ejemplo del virus, todavía hay que neutralizarlo. El primer paso es utilizar utilidades de seguridad portátiles como KVRT, Malwarebytes, Dr. Web CureIt! y similares. Tenga en cuenta: los programas utilizados para las pruebas deben ser portátiles (sin instalación en disco duro ejecutándose de manera óptima desde medios extraíbles). Si se descubre una amenaza, se debe eliminar de inmediato.

Si no se proporcionan tales acciones, primero debe ir al "Administrador de tareas" y finalizar todos los procesos asociados con el virus en él, clasificando los servicios por nombre (generalmente este es el proceso Runtime Broker).

Después de eliminar la tarea, debe llamar al editor de registro del sistema (regedit en el menú "Ejecutar") y buscar el nombre "Client Server Runtime System" (sin comillas), y luego usar el menú para moverse por los resultados "Buscar siguiente...” para eliminar todos los elementos encontrados. A continuación, debe reiniciar la computadora y verificar en el "Administrador de tareas" para ver si el proceso que está buscando está allí.

En principio, la cuestión de cómo descifrar el virus NO_MORE_RANSOM en la etapa de infección se puede resolver utilizando este método. La probabilidad de su neutralización es, por supuesto, pequeña, pero existe la posibilidad.

Cómo descifrar archivos cifrados con NO_MORE_RANSOM: copias de seguridad

Pero existe otra técnica que pocas personas conocen o siquiera adivinan. El caso es que ella Sistema operativo crea constantemente sus propias copias de seguridad ocultas (por ejemplo, en caso de recuperación), o el usuario crea intencionalmente dichas imágenes. Como muestra la práctica, son precisamente estas copias a las que el virus no afecta (esto simplemente no está previsto en su estructura, aunque no está excluido).

Entonces el problema de cómo descifrar NO_MORE_RANSOM se reduce a usarlos. Sin embargo, utilice el estándar herramientas de windows no recomendado (y muchos usuarios no tendrán acceso a copias ocultas en absoluto). Por lo tanto, debe utilizar la utilidad ShadowExplorer (es portátil).

Para restaurar, solo necesita ejecutar el ejecutable, ordenar la información por fechas o secciones, seleccionar la copia deseada (de un archivo, carpeta o de todo el sistema) y usar la línea de exportación a través del menú RMB. A continuación, simplemente seleccione el directorio en el que se guardará la copia actual y luego utilice el proceso de recuperación estándar.

Utilidades de terceros

Por supuesto, muchos laboratorios ofrecen sus propias soluciones al problema de cómo descifrar NO_MORE_RANSOM. Por ejemplo, Kaspersky Lab recomienda utilizar su propio software Kaspersky Decryptor, presentado en dos modificaciones: Rakhini y Rector.

Desarrollos similares como el decodificador NO_MORE_RANSOM de Dr. no parecen menos interesantes. Web. Pero aquí vale la pena tener en cuenta de inmediato que el uso de dichos programas está justificado solo en el caso detección rápida amenazas hasta que todos los archivos hayan sido infectados. Si el virus está firmemente establecido en el sistema (cuando los archivos cifrados simplemente no se pueden comparar con sus originales no cifrados), dichas aplicaciones también pueden resultar inútiles.

Como resultado

En realidad, sólo se sugiere una conclusión: es necesario combatir este virus exclusivamente en la fase de infección, cuando sólo se cifran los primeros archivos. En general, es mejor no abrir archivos adjuntos en mensajes de correo electrónico recibidos de fuentes dudosas (esto se aplica exclusivamente a clientes instalados directamente en la computadora: Outlook, Oulook Express, etc.). Además, si un empleado de la empresa tiene a su disposición una lista de direcciones de clientes y socios, abrir mensajes "inapropiados" se vuelve completamente impráctico, ya que la mayoría de las personas firman acuerdos de confidencialidad sobre secretos comerciales y ciberseguridad al solicitar un empleo.