, VIDEO, MÚSICA y otros archivos personales en .NO_MORE_RANSOM y cambia el nombre original a una combinación aleatoria de letras y números. Sin embargo, la mayoría de los archivos de los formatos más importantes .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP no abras. Contabilidad 1C No funciona. Esto es lo que parece:
El soporte técnico de Kaspersky Lab, Dr.Web y otras empresas conocidas que desarrollan software antivirus, en respuesta a las solicitudes de los usuarios para descifrar datos, informa que es imposible hacerlo en un tiempo aceptable.
¡Pero no te apresures a desesperarte!
El hecho es que, al penetrar en su computadora, el programa malicioso utiliza como herramienta el software de cifrado GPG completamente legal y el popular algoritmo de cifrado RSA-1024. Dado que esta utilidad se utiliza en muchos lugares y no es un virus en sí misma, los programas antivirus le permiten pasar y no bloquean su funcionamiento. Se genera una clave pública y privada para cifrar archivos. La clave privada se envía al servidor de los atacantes, mientras que la clave pública permanece en la computadora del usuario. ¡Se requieren ambas claves para descifrar archivos! Los atacantes sobrescriben cuidadosamente la clave privada en el ordenador afectado. Pero esto no siempre sucede. Por más de tres años de historia de impecable trabajo, especialistas Dr.SHIFRO Hemos estudiado miles de variaciones en las actividades del malware y tal vez incluso en una situación aparentemente desesperada, podremos ofrecerle una solución que le permitirá recuperar sus datos.
En este vídeo puedes ver el funcionamiento real del descifrador en el ordenador de uno de nuestros clientes:
Para analizar la posibilidad de descifrado, envíe 2 muestras de archivos cifrados: un texto (doc, docx, odt, txt o rtf de hasta 100 KB de tamaño), el segundo gráfico (jpg, png, bmp, tif o pdf de hasta 3 MB de tamaño). También necesitas un archivo de notas de los atacantes. Después de examinar los archivos, le daremos una estimación del coste. Los archivos se pueden enviar por correo electrónico. [correo electrónico protegido] o utilice el formulario de envío de archivos en el sitio web (botón naranja).
COMENTARIOS (2)
Detectamos el virus CRYPTED000007. Después de buscar en Internet un método de descifrado, encontramos este sitio. El especialista describió rápida y detalladamente lo que había que hacer. Para garantizarlo, se descifraron 5 archivos de prueba. Anunciaron el coste y tras el pago todo quedó descifrado en unas pocas horas. Aunque no solo se cifró la computadora, sino también la unidad de red. ¡Muchas gracias por su ayuda!
¡Buen día! Recientemente tuve una situación similar con el virus CRYPTED000007, que no tuvo tiempo de cifrar todos los discos, porque... Después de un tiempo, abrí la carpeta con la foto y vi un sobre vacío y un nombre de archivo con un conjunto diferente de letras y números, e inmediatamente descargué e inicié la utilidad gratuita para eliminar troyanos. El virus llegó al correo y había una carta convincente que abrí y lancé el archivo adjunto. La computadora tiene 4 discos duros muy grandes (terabytes). Me puse en contacto con varias empresas, que abundan en Internet y que ofrecen sus servicios, pero incluso si el descifrado se realiza con éxito, todos los archivos estarán en una carpeta separada y todos mezclados. Nadie ofrece una garantía de descifrado del 100%. Me comuniqué con Kaspersky Lab y ni siquiera allí me ayudaron..html# así que decidí contactar. Envié tres fotografías de prueba y después de un tiempo recibí una respuesta con una transcripción completa de las mismas. En la correspondencia postal me ofrecieron ya sea de forma remota o en casa. Decidí hacerlo en casa. Decidimos la fecha y hora de llegada del especialista. Inmediatamente en la correspondencia se acordó el monto del decodificador y después del descifrado exitoso, firmamos un acuerdo sobre el trabajo y yo realicé el pago de acuerdo con el acuerdo. Descifrar los archivos llevó mucho tiempo, ya que algunos de los vídeos eran grandes. Después del descifrado completo, me aseguré de que todos mis archivos volvieran a su forma original y a la extensión de archivo correcta. La capacidad de los discos duros volvió a ser la misma que antes de la infección, ya que durante la infección los discos estaban casi completamente llenos. Los que escriben sobre estafadores, etc., no estoy de acuerdo con esto. Esto lo escriben los competidores por ira, porque no tienen éxito, o personas que se sienten ofendidas por algo. En mi caso todo salió genial, mis miedos quedaron en el pasado. Volví a ver mis viejas fotografías familiares que había tomado hace mucho tiempo y videos familiares que había editado yo mismo. Me gustaría expresar mi agradecimiento a la empresa Dr. Shifro y personalmente a Igor Nikolaevich, quien me ayudó a restaurar todos mis datos. ¡Muchas gracias y buena suerte! Todo lo que está escrito es mi opinión personal, y tú decides a quién contactar.
A finales de 2016, se detectó un nuevo virus ransomware: NO_MORE_RANSOM. Recibió un nombre tan largo debido a la extensión que asigna a los archivos de usuario.
Adopté muchas cosas de otros virus, por ejemplo de da_vinci_cod. Desde su reciente aparición en Internet, los laboratorios antivirus aún no han podido descifrar su código. Y es poco probable que puedan hacerlo en un futuro próximo: se utiliza un algoritmo de cifrado mejorado. Entonces, averigüemos qué hacer si sus archivos están cifrados con la extensión "no_more_ransom".
Descripción y principio de funcionamiento.
A principios de 2017, muchos foros se vieron inundados de mensajes “el virus no_more_ransom ha cifrado archivos”, en los que los usuarios pedían ayuda para eliminar la amenaza. No solo fueron atacados ordenadores privados, sino también organizaciones enteras (especialmente aquellas que utilizan bases de datos 1C). La situación para todas las víctimas es aproximadamente la misma: abrieron un archivo adjunto de un correo electrónico y, después de un tiempo, los archivos recibieron la extensión No_more_ransom. El virus ransomware eludió todos los programas antivirus populares sin ningún problema.
En general, según el principio de infección, No_more_ransom es indistinguible de sus predecesores:
Cómo curar o eliminar el virus No_more_ransom
Es importante comprender que después de iniciar No_more_ransom usted mismo, perderá la oportunidad de restaurar el acceso a los archivos utilizando la contraseña de los atacantes. ¿Es posible recuperar un archivo después de No_more_ransom? Hasta la fecha, no existe un algoritmo que funcione al 100% para descifrar datos. Las únicas excepciones son las utilidades de laboratorios conocidos, pero la selección de la contraseña lleva mucho tiempo (meses, años). Pero más sobre la recuperación a continuación. Primero, descubramos cómo identificar el troyano no more rescate (traducción: "no más rescate") y derrotarlo. 
Como regla general, el software antivirus instalado permite que el ransomware ingrese a la computadora; a menudo se lanzan nuevas versiones, para las cuales simplemente no hay tiempo para publicar bases de datos. Los virus de este tipo se eliminan con bastante facilidad de una computadora, porque los estafadores no necesitan que permanezcan en el sistema después de completar su tarea (cifrado). Para eliminarlo, puede utilizar utilidades listas para usar que se distribuyen de forma gratuita:
Usarlos es muy simple: inicie, seleccione los discos, haga clic en "Iniciar escaneo". Sólo queda esperar. Posteriormente aparecerá una ventana en la que se mostrarán todas las amenazas. Haga clic en "Eliminar".
Lo más probable es que una de estas utilidades elimine el virus ransomware. Si esto no sucede, entonces es necesaria la eliminación manual:
Si detecta rápidamente un virus y logra eliminarlo, existe la posibilidad de que algunos de los datos no estén cifrados. Es mejor guardar los archivos que no fueron atacados en una unidad separada.
Utilidades de descifrado para descifrar archivos "No_more_ransom"
Es simplemente imposible encontrar el código usted mismo, a menos que sea un hacker avanzado. El descifrado requiere utilidades especiales. Diré de inmediato que no todos podrán descifrar un archivo cifrado como "No_more_ransom". El virus es nuevo, por lo que adivinar una contraseña es una tarea muy difícil.
Entonces, en primer lugar, intentamos restaurar datos a partir de instantáneas. De forma predeterminada, el sistema operativo, a partir de Windows 7, guarda periódicamente copias de sus documentos. En algunos casos, el virus no puede eliminar copias. Por ello, descargamos el programa gratuito ShadowExplorer. No es necesario instalar nada, sólo descomprimirlo.
Si el virus no elimina las copias, existe la posibilidad de recuperar entre el 80 y el 90 % de la información cifrada.
Los laboratorios antivirus de renombre también ofrecen programas de descifrado para recuperar archivos después del virus No_more_ransom. Sin embargo, no debe esperar que estas utilidades puedan recuperar sus datos. Los cifradores se mejoran constantemente y los especialistas simplemente no tienen tiempo para publicar actualizaciones para cada versión. Envíe muestras al soporte técnico del laboratorio antivirus para ayudar a los desarrolladores.
Para combatir No_more_ransom existe Kaspersky Decryptor. La utilidad se presenta en dos versiones con prefijos y Rakhni (hay artículos separados sobre ellos en nuestro sitio web). Para combatir el virus y descifrar archivos, solo necesita ejecutar el programa y seleccionar las ubicaciones de escaneo.
Además, debe especificar uno de los documentos bloqueados para que la utilidad comience a adivinar la contraseña.
También puedes descargar el mejor descifrador No_more_ransom del Dr. de forma gratuita. Web. La utilidad se llama matsnu1decrypt. Funciona de forma similar con los programas de Kaspersky. Todo lo que tienes que hacer es ejecutar el escaneo y esperar hasta que finalice.
virus no_more_ransom es un nuevo virus ransomware, una continuación de la notoria serie de virus, que incluye Better_call_saul y da_vinci_code. Al igual que sus versiones anteriores, este virus ransomware se propaga a través de mensajes de spam. Cada uno de estos correos electrónicos contiene un archivo adjunto, un archivo que a su vez contiene un archivo ejecutable. Es cuando intentas abrirlo que el virus se activa. El virus No_more_ransom cifra archivos de varios tipos (documentos, imágenes, bases de datos, incluidas las bases de datos 1C) en la computadora de la víctima. Una vez completado el proceso de cifrado, todos los archivos familiares desaparecen y aparecen nuevos archivos con nombres extraños y la extensión .no_more_ransom en las carpetas donde se almacenaron los documentos. Además, en el escritorio aparece un mensaje similar al siguiente:
El virus No_more_ransom combina características de varios ransomware descubiertos anteriormente. Según los autores del virus, a diferencia de las versiones anteriores que utilizaban el modo de cifrado RSA-2048 con una longitud de clave de 2048 bits, el virus no_more_ransom utiliza un modo de cifrado aún más potente con una longitud de clave mayor (algoritmo de cifrado RSA-3072).
Virus No_more-ransom - formulario de comentarios
Cuando una computadora está infectada con el virus ransomware no_more_ransom, este programa malicioso copia su cuerpo en la carpeta del sistema y agrega una entrada al registro de Windows, asegurando que se inicie automáticamente cada vez que se inicia la computadora. Después de lo cual el virus comienza a cifrar los archivos. El ransomware asigna una identificación única a cada computadora infectada con No_more_ransom, que la víctima debe enviar a los autores del virus para recibir su propia clave de descifrado. En este caso, la víctima debe pagar una cantidad significativa por descifrar los archivos.no_more_ransom.
Por el momento, no existe una forma 100% funcional de recuperar archivos cifrados de forma gratuita. Por lo tanto, sugerimos utilizar programas gratuitos como ShadowExplorer y PhotoRec para intentar recuperar copias de archivos cifrados. Si hay disponible un método para descifrar archivos .no_more_ransom, actualizaremos esta instrucción de inmediato.
Cómo llega el virus de rescate no_more_ransom a su computadora
El virus No_more_ransom se propaga por correo electrónico. La carta contiene un documento o archivo infectado adjunto. Estas cartas se envían a una enorme base de datos de direcciones de correo electrónico. Los autores de este virus utilizan encabezados y contenidos engañosos de las cartas, intentando engañar al usuario para que abra un documento adjunto a la carta. Algunas cartas informan sobre la necesidad de pagar una factura, otras ofrecen mirar la lista de precios más reciente, otras ofrecen abrir una foto divertida, etc. En cualquier caso, el resultado de abrir el archivo adjunto será infectar su computadora con un virus de rescate.
¿Qué es un virus ransomware no_more_ransom?
El virus ransomware no_more_ransom es una continuación de la familia de ransomware, que incluye una gran cantidad de otros programas maliciosos similares. Este programa malicioso afecta a todas las versiones modernas de los sistemas operativos Windows, incluidos Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Este virus utiliza un modo de cifrado más potente que el RSA-2048 con una longitud de clave de 2048 bits, que prácticamente elimina la posibilidad de forzar la clave para el autodescifrado de archivos.
Al infectar una computadora, el virus de rescate no_more_ransom puede usar varios directorios diferentes para almacenar sus archivos. Por ejemplo C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Sistema32. Se crea un archivo csrss.exe en la carpeta, que es una copia del archivo ejecutable del virus. Luego, el ransomware crea una entrada en el registro de Windows: en la sección HKCU\Software\Microsoft\Windows\CurrentVersion\Run, una clave denominada Client Server Runtime Subsystem. Esto permite que el virus continúe cifrando. si el usuario apaga la computadora por algún motivo.
Inmediatamente después del inicio, el virus escanea todas las unidades disponibles, incluida la red y el almacenamiento en la nube, para determinar los archivos que se cifrarán. El virus de rescate no_more_ransom utiliza una extensión de nombre de archivo como forma de identificar un grupo de archivos que se cifrarán. Esta versión del virus cifra una gran cantidad de tipos diferentes de archivos, incluidos los más comunes como:
3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Inmediatamente después de cifrar el archivo, recibe un nuevo nombre y extensión.no_more_ransom. Después de lo cual el virus crea documentos de texto en todos los discos y en el escritorio con los nombres README.txt, README1.txt, README2.txt..., que contienen instrucciones para descifrar archivos cifrados.
El ransomware no_more_ransom utiliza activamente tácticas de intimidación mostrando una advertencia en el escritorio. Intentando de esta forma obligar a la víctima a enviar sin dudarlo el ID del ordenador a la dirección de correo electrónico del autor del virus para intentar recuperar sus archivos.
¿Mi computadora está infectada con el virus de rescate no_more_ransom?
Es bastante fácil determinar si su computadora está infectada con el virus de rescate no_more_ransom. Si en lugar de tus archivos personales aparecen archivos con nombres extraños y la extensión no_more_ransom, entonces tu ordenador está infectado. Además, un signo de infección es la presencia de un archivo llamado README en sus directorios. Este archivo contendrá instrucciones para descifrar archivos no_more_ransom. A continuación se proporciona un ejemplo del contenido de dicho archivo.
Sus archivos han sido cifrados.
Para descifrarlos, debes enviar el código:
(identificación de computadora)
a la dirección de correo electrónico [correo electrónico protegido].
A continuación recibirás todas las instrucciones necesarias.
Los intentos de descifrar por su cuenta no conducirán más que a una pérdida irrecuperable de información.
Si aún desea intentarlo, primero haga copias de seguridad de sus archivos; de lo contrario, en caso de que
al cambiarlos, el descifrado será imposible bajo ninguna circunstancia.
Si no recibe una respuesta a la dirección anterior dentro de las 48 horas (¡y solo en este caso!),
Utilice el formulario de comentarios. Esto se puede hacer de dos formas:
1) Descargue e instale Tor Browser desde el enlace: https://www.torproject.org/download/download-easy.html.en
En la barra de direcciones del navegador Tor, ingrese la dirección:
y presione Entrar. Se cargará la página con el formulario de comentarios.
2) En cualquier navegador, vaya a una de las direcciones:Todos los archivos importantes de su computadora fueron cifrados.
Para descifrar los archivos debes enviar el siguiente código:
(identificación de computadora)
a la dirección de correo electrónico [correo electrónico protegido].
Luego recibirá todas las instrucciones necesarias.
Todos los intentos de descifrado por su cuenta resultarán únicamente en la pérdida irrevocable de sus datos.
Si aún desea intentar descifrarlos usted mismo, primero haga una copia de seguridad porque
el descifrado será imposible en caso de cualquier cambio dentro de los archivos.
Si no recibió la respuesta del correo electrónico antes mencionado durante más de 48 horas (¡y sólo en este caso!),
Utilice el formulario de comentarios. Puedes hacerlo de dos maneras:
1) Descarga el navegador Tor desde aquí:
https://www.torproject.org/download/download-easy.html.en
Instálelo y escriba la siguiente dirección en la barra de direcciones:
http://cryptsen7fo43rr6.onion/
Presione Entrar y luego se cargará la página con el formulario de comentarios.
2) Vaya a una de las siguientes direcciones en cualquier navegador:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
¿Cómo descifrar archivos cifrados por el virus de rescate no_more_ransom?
Actualmente no hay ningún descifrador disponible para archivos .no_more_ransom. El virus ransomware le dice repetidamente a la víctima que se está utilizando un algoritmo de cifrado potente. Esto significa que sin una clave privada, es casi imposible descifrar archivos. Usar el método de selección de clave tampoco es una opción debido a la gran longitud de la clave. Por lo tanto, lamentablemente, pagar únicamente a los autores del virus la cantidad total solicitada (9.000 rublos o más) es la única forma de intentar obtener la clave de descifrado.
No hay absolutamente ninguna garantía de que después del pago los autores del virus se comuniquen con usted y le proporcionen la clave necesaria para descifrar sus archivos. Además, debe comprender que al pagar dinero a los desarrolladores de virus, usted mismo los anima a crear nuevos virus.
¿Cómo eliminar el virus de rescate no_more_ransom?
Antes de comenzar, debe saber que al comenzar a eliminar el virus e intentar restaurar los archivos usted mismo, está bloqueando la capacidad de descifrar los archivos pagando a los autores del virus la cantidad que solicitaron.
Kaspersky Virus Removal Tool (KVRT) y Malwarebytes Anti-malware (MBAM) pueden detectar diferentes tipos de virus ransomware activos y los eliminarán fácilmente de su computadora, PERO no pueden recuperar archivos cifrados.
Presione las teclas Windows y R en su teclado al mismo tiempo. Se abrirá una pequeña ventana con el título Ejecutar en la que ingresa:
Presione Entrar.
Se iniciará el Editor del Registro. Abra el menú Editar y haga clic en Buscar. Ingresar:
Subsistema de tiempo de ejecución del servidor cliente
Presione Entrar.
Elimine este parámetro haciendo clic derecho sobre él y seleccionando Eliminar como se muestra en la siguiente figura. ¡Ten mucho cuidado!
Cierre el Editor del Registro.
Reinicia tu computadora. Abra el directorio C:\Documents and Settings\All Users\Application Data\Windows\ y elimine el archivo csrss.exe.
Descarga el programa HijackThis haciendo clic en el siguiente enlace.
Unas pocas palabras finales
Si sigue estas instrucciones, su computadora quedará libre del virus de rescate no_more_ransom. Si tiene alguna pregunta o necesita ayuda, contáctenos.
Ahora para nadie es un secreto que todo tipo de delitos existentes se han trasladado a Internet. Estos incluyen el ciberespionaje, el ciberterrorismo, el ciberfraude, el ciberrobo y, según el tema de este blog, la ciberextorsión y el ciberchantaje.
Durante mucho tiempo han querido equiparar los delitos cibernéticos en Rusia con robos y aumentar las penas, pero esta cuestión surgió a instancias de las estructuras bancarias, a las que supuestamente los piratas informáticos no permiten vivir. Quizás así sea. Quién habla de qué y los bancos hablan de hackers...
El próximo proyecto de ley también menciona la descarga de programas sin licencia y "obras maestras" de audio y vídeo de la moderna industria de las "obras maestras", que ya se derrama sobre nosotros como un balde de agua sucia. Una vez más, hay una caza de brujas, y no de verdaderos ciberdelincuentes, que se han extendido como una plaga por la World Wide Web y han afectado a todas las familias de todos los países del mundo que tienen acceso a Internet.
Sí, me refiero a la plaga de la extorsión: criptoransomware, cifradores, bloqueadores y todo tipo de falsificaciones, es decir. programas que se hacen pasar por cifradores, bloqueadores, programas que ofrecen “limpieza” por una tarifa, pero eso no les impide ser extorsionadores. Sus creadores publican abiertamente sus "creaciones" en Internet, sin temor a los agentes del orden, la mafia criminal, la policía local, Europol e Interpol. Se anuncian, se anuncian y promocionan en los resultados de búsqueda de los sistemas automatizados de Google y Yandex.
Esto es a quién deberían luchar las leyes sobre delitos cibernéticos, esto es a quién debería atrapar primero la policía, ¡Europol, Interpol y la Dirección "K" deberían descubrirlo! Me gustaría creer que se trabaja en esta dirección día y noche, pero el hecho es claro: la extorsión y la criptoextorsión se han convertido en el flagelo y la plaga de Internet, como una apisonadora que aplasta las clásicas epidemias virales.
Por cierto, según mi información, la mayor cantidad de ransomware se produce en Ucrania, Moldavia y Rumania, si no se tienen en cuenta las regiones del este y sur de Asia, donde hay un porcentaje y un nivel de infección completamente diferentes y más altos. extorsión y ataques de piratas informáticos. Algunos ataques de extorsión desde Ucrania, Moldavia y Rumania están dirigidos a Rusia, empresas y usuarios de habla rusa, mientras que otros apuntan a Estados Unidos, Europa y usuarios de habla inglesa.
En los últimos años, es mucho más probable que los usuarios de computadoras se encuentren con ransomware, ransomware falso, bloqueadores de ransomware y otros que exigen un rescate por devolver el acceso a archivos que han cifrado y hecho ilegibles, bloqueados y vueltos inaccesibles, movidos, ocultos, eliminado... ¿Cómo fue posible esto?
Atrás quedaron los días en que la distribución de malware era responsabilidad de un delincuente o un programador novato.Hoy en día, los ciberdelincuentes suelen trabajar en equipo, porque... este trabajo conjunto genera más ganancias. Por ejemplo, con el desarrollo de un modelo de negocio de extorsión (RaaS) basado en el pago de un rescate en bitcoins, un grupo puede brindar soporte técnico, escribir recomendaciones y, vía chat o correo electrónico, decirle a las nuevas víctimas cómo y dónde pueden comprar, intercambiar y transferir. bitcoins para el pago posterior del rescate. Otro grupo está desarrollando, actualizando y depurando ransomware. El tercer grupo proporciona cobertura y alojamiento. El cuarto grupo trabaja con C&C y administra trabajar desde el centro de mando. El quinto se ocupa de cuestiones financieras y trabaja con socios. El sexto compromete e infecta sitios... Con el desarrollo de RaaS, cuanto más complejo y extendido es el ransomware, más equipos participan y más procesos realizan.
Cuando se enfrentan a un ataque de criptoransomware, las víctimas se enfrentan a una pregunta difícil: ¿deberían pagar el rescate? o ¿Decir adiós a los archivos? Para garantizar su anonimato, los ciberdelincuentes utilizan la red Tor y exigen un rescate en la criptomoneda Bitcoin. A partir de junio de 2016, el equivalente monetario de 1 BTC ya supera los 60 mil rublos y no disminuirá. Desgraciadamente, al decidir pagar, las víctimas, sin saberlo, financian nuevas extorsiones de los ciberdelincuentes, cuyo apetito crece a pasos agigantados y con cada nuevo pago se convencen de su impunidad.
Mira a " Las 100 direcciones de Bitcoin más ricas y distribución de Bitcoin"La mayoría de los millonarios ricos en criptomonedas se volvieron millonarios a través de métodos ilegales e incluso criminales.
¿Cómo ser? Hoy en día no existe una herramienta universal para descifrar datos; sólo existen utilidades independientes creadas y adecuadas para cifradores específicos. Por ello, como principal protección, se recomiendan medidas para prevenir la infección por ransomware, la principal de las cuales esProtección antivirus actualizada. También es muy importante concienciar a los usuarios sobre estas medidas y las amenazas que plantean el ransomware y el ransomware.Nuestro blog fue creado con este propósito.Aquí se recopila información sobre cada ransomware, criptógrafo falso o bloqueador que se hace pasar por ransomware.
En mi segundo blog " Descifradores de archivos"Desde mayo de 2016, se ha resumido la información sobre los descifradores que se crean para descifrar de forma gratuita archivos cifrados con Crypto-Ransomware. Todas las descripciones e instrucciones se publican en ruso por primera vez. Compruébelo periódicamente.
Con el fin de brindar asistencia profesional, en el verano de 2016, Kaspersky Lab, Intel Security, Europol y la policía holandesa organizaron un proyecto conjunto " No más rescate", destinado a combatir el ransomware. Los participantes del proyecto crearon un sitio web.oMoreRansom.org, que contiene información general sobre ransomware (en inglés), así como herramientas gratuitas para recuperar datos cifrados. Al principio sólo había 4 herramientas de este tipo de LC y McAfee.El día de escribir este artículo ya eran 7y la funcionalidad se amplió aún más.
Cabe destacar que este proyecto fue recién en diciembre. complementado un grupo de descifradores que se han descrito durante mucho tiempo en mis blogs "Ransomware Encryptors" y "File Decryptors".
¡No más rescate!
Actualización 15 de diciembre de 2016:
Otras empresas que anteriormente habían lanzado otros descifradores se unieron al proyecto. Ahora ya existen 20 utilidades (algunas incluso dos):
WildFire Decryptor - de Kaspersky Lab e Intel Security
Quimera Decryptor - de Kaspersky Lab
Teslacrypt Decryptor - de Kaspersky Lab e Intel Security
Shade Decryptor - de Kaspersky Lab e Intel Security
CoinVault Decryptor - de Kaspersky Lab
Rannoh Decryptor - de Kaspersky Lab
Rakhni Decryptor - de Kaspersky Lab
Jigsaw Decryptor - desde Check Point
Descifrador de archivos Trend Micro Ransomware - por Trend Micro
NMoreira Decryptor - de Emsisoft
Ozozalocker Decryptor - de Emsisoft
Globe Decryptor - de Emsisoft
Descifrador Globe2 - de Emsisoft
FenixLocker Decryptor - de Emsisoft
Filadelfia Decryptor - por Emsisoft
Stampado Decryptor - de Emsisoft
Xorist Decryptor - de Emsisoft
Nemucod Decryptor - de Emsisoft
Gomasom Decryptor - de Emsisoft
Linux.Encoder Decryptor - de BitDefender
Ahora “No More Ransom” está formado por representantes de 22 países.
¡¡¡Buena suerte con el descifrado!!!
¡No pagues el rescate! ¡Prepararse! ¡Protege tus datos! ¡Haz copias de seguridad! Aprovechando este momento les recuerdo: ¡La extorsión es un delito, no un juego! No juegues a estos juegos.
© Amigo-A (Andrew Ivanov): Todos los artículos del blog