Désormais, ce n’est un secret pour personne que tous les types de crimes existants ont été transférés sur Internet. Il s’agit notamment du cyberespionnage, du cyberterrorisme, de la cyberfraude, du cybervol et, selon le thème de ce blog, de la cyberextorsion et du cyberchantage.

En Russie, ils veulent depuis longtemps assimiler la cybercriminalité à des vols, en augmentant les sanctions, mais cette question soulevée à l'instigation de structures bancaires, qui ne seraient pas laissées vivre par des hackers. C'est peut-être comme ça. Qui parle de quoi, et les banques parlent de hackers...

Le projet de loi à venir mentionne également le téléchargement de programmes sans licence et de « chefs-d’œuvre » audio-vidéo de l’industrie moderne des « chefs-d’œuvre », qui se déversent déjà sur nous comme un baquet d’eau sale. Une fois de plus, c'est une chasse aux sorcières, et non aux véritables cybercriminels, qui se sont répandues comme une peste sur le World Wide Web et ont touché toutes les familles de tous les pays du monde ayant accès à Internet.

Oui, je parle du fléau de l'extorsion : crypto-ransomwares, chiffreurs, bloqueurs et toutes sortes de contrefaçons, c'est-à-dire des programmes qui prétendent être des crypteurs, des bloqueurs, des programmes qui proposent du « nettoyage » moyennant des frais, mais cela ne les empêche pas d'être des extorsionnistes. Leurs créateurs publient ouvertement leurs « créations » sur Internet, sans crainte des forces de l'ordre, de la mafia criminelle, de la police locale, d'Europol et d'Interpol. Ils font de la publicité, ils sont annoncés et promus dans les résultats de recherche des systèmes automatisés Google et Yandex.

C'est contre qui les lois sur la cybercriminalité doivent se battre, c'est contre qui la police doit arrêter en premier, Europol, Interpol et le Département « K » doivent le découvrir ! J’aimerais croire que des travaux dans ce sens se font jour et nuit, mais le fait est clair : l’extorsion et l’extorsion cryptographique sont devenues le fléau et le fléau d’Internet, tel un rouleau compresseur écrasant les épidémies virales classiques.

D'ailleurs, selon mes informations, il est produit en Ukraine, en Moldavie et en Roumanie. le plus grand nombre Ransomware, si l’on ne prend pas en compte les régions de l’Est et du Sud de l’Asie, où il existe un pourcentage et un niveau d’extorsion complètement différents et plus élevés. attaques de pirates. Certaines attaques d'extorsion en provenance d'Ukraine, de Moldavie et de Roumanie visent la Russie, les entreprises et les utilisateurs russophones, tandis que d'autres ciblent les États-Unis, l'Europe et les utilisateurs anglophones.

Au cours des deux dernières années, les utilisateurs d'ordinateurs sont devenus beaucoup plus susceptibles d'être confrontés à des ransomwares, de faux ransomwares, des bloqueurs de ransomwares et d'autres exigeant une rançon pour récupérer l'accès aux fichiers qu'ils ont chiffrés et rendus illisibles, bloqués et rendus inaccessibles, déplacés, cachés, supprimé... Comment est-ce devenu possible ?

L’époque où les logiciels malveillants étaient distribués par un seul criminel ou un programmeur novice est révolue depuis longtemps.De nos jours, les cybercriminels travaillent le plus souvent en équipe, car... un tel travail en commun apporte plus de profit. Par exemple, avec le développement d'un modèle économique d'extorsion (RaaS) basé sur le paiement d'une rançon en bitcoins, un groupe peut fournir une assistance technique, rédiger des recommandations et, par chat ou par courrier électronique, indiquer aux nouvelles victimes comment et où elles peuvent acheter, échanger, transférer. Bitcoins pour le paiement ultérieur d'une rançon. Un autre groupe développe, met à jour et débogue des ransomwares. Le troisième groupe fournit le couvert et l'hébergement. Le quatrième groupe travaille avec C&C et administre travail depuis le centre de commande. Le cinquième traite des questions financières et travaille avec des partenaires. Le sixième compromet et infecte les sites... Avec le développement du RaaS, plus les ransomwares sont complexes et répandus, plus les équipes impliquées et les processus qu'elles exécutent sont nombreux.

Face à une attaque de crypto-ransomware, les victimes sont confrontées à une question difficile : doivent-elles payer la rançon ? ou Dites adieu aux fichiers ? Pour garantir leur anonymat, les cybercriminels utilisent le réseau Tor et demandent une rançon en cryptomonnaie Bitcoin. En juin 2016, l'équivalent monétaire de 1 BTC dépassait déjà 60 000 roubles et ne diminuerait pas. Malheureusement, après avoir décidé de payer, les victimes financent involontairement de nouvelles activités d'extorsion de cybercriminels, dont l'appétit grandit à pas de géant, et à chaque nouveau paiement, elles sont convaincues de leur impunité.

Regardez " Top 100 des adresses Bitcoin les plus riches et distribution Bitcoin"La plupart des millionnaires riches en cryptomonnaies sont devenus tels par des méthodes illégales, voire criminelles.

Comment est-ce possible ? Aujourd'hui, il n'existe pas d'outil universel pour décrypter les données ; il existe uniquement des utilitaires distincts créés et adaptés à des chiffreurs spécifiques. Par conséquent, comme principale protection, des mesures sont recommandées pour prévenir l’infection par des ransomwares, dont la principale estProtection antivirus à jour. Sensibiliser les utilisateurs à ces mesures et aux menaces posées par les ransomwares et les ransomwares est également très important.Notre blog a été créé à cet effet.Ici, des informations sont collectées sur chaque ransomware, faux cryptographe ou bloqueur se faisant passer pour un ransomware.

Dans mon deuxième blog " Décrypteurs de fichiers"Depuis mai 2016, les informations sur les décrypteurs créés pour le décryptage gratuit des fichiers cryptés par Crypto-Ransomware ont été résumées. Toutes les descriptions et instructions sont publiées en russe pour la première fois. Vérifiez régulièrement.

Dans le but d'une assistance professionnelle, à l'été 2016, Kaspersky Lab, Intel Security, Europol et la police néerlandaise ont organisé un projet commun " Plus de rançon", visant à lutter contre les ransomwares. Les participants au projet ont créé un site WeboMoreRansom.org, contenant informations générales sur les ransomwares (en anglais), ainsi que des outils gratuits pour récupérer des données cryptées. Au début, il n'existait que 4 outils de ce type proposés par LC et McAfee.Au jour de la rédaction de cet article, ils étaient déjà 7et la fonctionnalité a été encore étendue.

Il est à noter que ce projet n'a été réalisé qu'en décembre complété un groupe de décrypteurs décrits depuis longtemps dans mes blogs « Ransomware Encryptors » et « File Decryptors ».

Plus de rançon !
Mise à jour du 15 décembre 2016 :
D'autres sociétés qui avaient déjà publié d'autres décrypteurs ont rejoint le projet. Il existe désormais déjà 20 utilitaires (certains même deux) :
WildFire Decryptor - de Kaspersky Lab et Intel Security
Chimera Decryptor - de Kaspersky Lab
Décrypteur Teslacrypt - de Kaspersky Lab et Intel Security
Shade Decryptor - de Kaspersky Lab et Intel Security
Décrypteur CoinVault - de Kaspersky Lab
Décrypteur Rannoh - de Kaspersky Lab
Décrypteur Rakhni - de Kaspersky Lab
Décrypteur de puzzle - de Check Point
Décrypteur de fichiers Trend Micro Ransomware - par Trend Micro
Décrypteur NMoreira - d'Emsisoft
Décrypteur Ozozalocker - d'Emsisoft
Décrypteur de globe - d'Emsisoft
Décrypteur Globe2 - d'Emsisoft
Décrypteur FenixLocker - d'Emsisoft
Décrypteur de Philadelphie - par Emsisoft
Stampado Décrypteur - d'Emsisoft
Décrypteur Xorist - d'Emsisoft
Décrypteur Nemucod - d'Emsisoft
Décrypteur Gomasom - d'Emsisoft
Décrypteur Linux.Encoder - de BitDefender
Désormais, « No More Ransom » est composé de représentants de 22 pays.

Bonne chance pour le déchiffrement !!!

Ne payez pas la rançon ! Se préparer! Protégez vos données ! Faites des sauvegardes ! Profitant de ce moment, je vous le rappelle : l'extorsion est un crime, pas un jeu ! Ne jouez pas à ces jeux.
© Amigo-A (Andrew Ivanov) : Tous les articles du blog

Virus No_more_ransom- Ce nouveau virus rançongiciel, une continuation de la célèbre série de virus qui comprend better_call_saul et da_vinci_code. Comme ses versions précédentes, ce virus ransomware se propage via des messages spam. Chacun de ces e-mails contient un fichier joint - une archive, qui à son tour contient un fichier exécutable. C'est lorsque vous essayez de l'ouvrir que le virus s'active. Le virus No_more_ransom crypte des fichiers de différents types (documents, images, bases de données, y compris les bases de données 1C) sur l'ordinateur de la victime. Une fois le processus de cryptage terminé, tous les fichiers familiers disparaissent et de nouveaux fichiers portant des noms étranges et l'extension .no_more_ransom apparaissent dans les dossiers où les documents ont été stockés. De plus, un message similaire à celui ci-dessous apparaît sur le bureau :

Le virus No_more_ransom combine les fonctionnalités de divers ransomwares découverts précédemment. Selon les auteurs du virus, contrairement aux versions antérieures qui utilisaient le mode de cryptage RSA-2048 avec une longueur de clé de 2048 bits, le virus no_more_ransom utilise un mode de cryptage encore plus puissant avec une longueur de clé plus longue (algorithme de cryptage RSA-3072).

Virus No_more-ransom - formulaire retour

Lorsqu'un ordinateur est infecté par le virus ransomware no_more_ransom, ce programme malveillant copie son corps sur dossier système et ajoute une entrée au registre Windows, garantissant qu'il démarre automatiquement à chaque démarrage de l'ordinateur. Après quoi le virus commence à chiffrer les fichiers. Le ransomware attribue un identifiant unique à chaque ordinateur infecté par No_more_ransom, que la victime doit envoyer aux auteurs du virus afin de recevoir sa propre clé de décryptage. Dans ce cas, la victime doit payer une somme importante pour décrypter les fichiers.no_more_ransom.

À l’heure actuelle, il n’existe pas de moyen véritablement efficace à 100 % de récupérer gratuitement des fichiers cryptés. Nous suggérons donc d'utiliser programmes gratuits, tels que ShadowExplorer et PhotoRec pour tenter de récupérer des copies de fichiers cryptés. Si une méthode de décryptage des fichiers .no_more_ransom devient disponible, nous mettrons rapidement à jour cette instruction.

Comment le virus de rançon no_more_ransom pénètre sur votre ordinateur

Le virus No_more_ransom se propage par courrier électronique. La lettre contient en pièce jointe un document ou une archive infectée. Ces lettres sont envoyées à énorme base de données adresses e-mail. Les auteurs de ce virus utilisent des en-têtes et des contenus de lettres trompeurs, essayant d'inciter l'utilisateur à ouvrir un document joint à la lettre. Certaines lettres informent de la nécessité de payer une facture, d'autres proposent de consulter la dernière liste de prix, d'autres proposent d'ouvrir une photo amusante, etc. Dans tous les cas, l’ouverture du fichier joint aura pour résultat d’infecter votre ordinateur avec un virus de rançon.

Qu'est-ce qu'un virus ransomware no_more_ransom

Le virus ransom no_more_ransom est une continuation de la famille des ransomwares, qui comprend un grand nombre d'autres programmes malveillants similaires. Ce malware affecte toutes les versions modernes des systèmes d'exploitation. Systèmes Windows, notamment Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ce virus utilise un mode de cryptage plus puissant que RSA-2048 avec une longueur de clé de 2048 bits, ce qui élimine pratiquement la possibilité de sélectionner une clé pour décrypter les fichiers. toi-même.

Lors de l'infection d'un ordinateur, le virus de la rançon no_more_ransom peut utiliser plusieurs répertoires différents pour stocker ses fichiers. Par exemple C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Système32. Un fichier csrss.exe est créé dans le dossier, qui est une copie fichier exécutable virus. Le ransomware crée ensuite une entrée dans Registre Windows: dans la section HKCU\Software\Microsoft\Windows\CurrentVersion\Run, une clé nommée Client Server Runtime Subsystem. Cela permet au virus de continuer à chiffrer. si l'utilisateur éteint l'ordinateur pour une raison quelconque.

Immédiatement après son lancement, le virus analyse tous les lecteurs disponibles, y compris les lecteurs réseau et stockage en nuage, pour déterminer quels fichiers seront chiffrés. Le virus de rançon no_more_ransom utilise une extension de nom de fichier pour identifier un groupe de fichiers qui seront cryptés. Cette version du virus crypte une quantité énorme différents types fichiers, y compris les plus courants tels que :

3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Immédiatement après le cryptage du fichier, il reçoit un nouveau nom et une nouvelle extension.no_more_ransom. Après quoi le virus se crée sur tous les disques et sur le bureau documents texte avec les noms README.txt, README1.txt, README2.txt..., qui contiennent des instructions pour décrypter les fichiers cryptés.

Le ransomware no_more_ransom utilise activement des tactiques d'intimidation en affichant un avertissement sur le bureau. Essayer ainsi de forcer la victime à envoyer sans hésitation l’identifiant de l’ordinateur à l’adresse email de l’auteur du virus afin de tenter de récupérer ses fichiers.

Mon ordinateur est-il infecté par le virus de rançon no_more_ransom ?

Il est assez facile de déterminer si votre ordinateur est infecté par le virus de la rançon no_more_ransom. Si, à la place de vos fichiers personnels, des fichiers portant des noms étranges et l'extension no_more_ransom apparaissent, alors votre ordinateur est infecté. De plus, un signe d'infection est la présence d'un fichier nommé README dans vos répertoires. Ce fichier contiendra des instructions pour décrypter les fichiers no_more_ransom. Un exemple du contenu d'un tel fichier est donné ci-dessous.

Vos fichiers ont été cryptés.
Pour les décrypter, vous devez envoyer le code :
(identifiant de l'ordinateur)
sur adresse email [email protégé].
Ensuite, vous recevrez toutes les instructions nécessaires.
Les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrémédiable d’informations.
Si vous voulez quand même essayer, faites-le d'abord sauvegardes fichiers, sinon au cas où
en les changeant, le décryptage deviendra impossible en toutes circonstances.
Si vous ne recevez pas de réponse à l'adresse ci-dessus dans un délai de 48 heures (et seulement dans ce cas !),
utilisez le formulaire de commentaires. Cela peut être fait de deux manières :
1) Téléchargez et installez Navigateur Tor via le lien : https://www.torproject.org/download/download-easy.html.en
Dans la barre d'adresse du navigateur Tor, saisissez l'adresse :

et appuyez sur Entrée. La page avec le formulaire de commentaires se chargera.
2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses :

Tous les fichiers importants de votre ordinateur ont été cryptés.
Pour décrypter les fichiers que vous devez envoyer ce qui suit code:
(identifiant de l'ordinateur)
à l'adresse e-mail [email protégé].
Vous recevrez ensuite toutes les instructions nécessaires.
Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données.
Si vous souhaitez quand même essayer de les décrypter vous-même, veuillez d'abord faire une sauvegarde car
le décryptage deviendra impossible en cas de modification à l'intérieur des fichiers.
Si vous n'avez pas reçu de réponse à l'email susmentionné pendant plus de 48 heures (et seulement dans ce cas !),
utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières :
1) Téléchargez le navigateur Tor à partir d'ici :
https://www.torproject.org/download/download-easy.html.en
Installez-le et tapez l'adresse suivante dans le barre d'adresse :
http://cryptsen7fo43rr6.onion/
Appuyez sur Entrée, puis la page avec le formulaire de commentaires sera chargée.
2) Accédez à l'une des adresses suivantes dans n'importe quel navigateur :
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Comment décrypter les fichiers cryptés par le virus de rançon no_more_ransom ?

Il n’existe actuellement aucun décrypteur disponible pour les fichiers .no_more_ransom. Le virus ransomware indique à plusieurs reprises à la victime qu’un algorithme de cryptage puissant est utilisé. Cela signifie que sans clé privée, il est presque impossible de décrypter les fichiers. L'utilisation de la méthode de sélection de clé n'est pas non plus une option, en raison de la grande longueur de la clé. Par conséquent, malheureusement, payer uniquement aux auteurs du virus la totalité du montant demandé (9 000 roubles ou plus) est le seul moyen d'essayer d'obtenir la clé de décryptage.

Il n'y a absolument aucune garantie qu'après le paiement, les auteurs du virus vous contacteront et vous fourniront la clé nécessaire pour décrypter vos fichiers. De plus, vous devez comprendre qu'en payant de l'argent aux développeurs de virus, vous les encouragez vous-même à créer de nouveaux virus.

Comment supprimer le virus de la rançon no_more_ransom ?

Avant de commencer, vous devez savoir qu'en commençant à supprimer le virus et en essayant de restaurer les fichiers vous-même, vous bloquez la possibilité de décrypter les fichiers en payant aux auteurs du virus le montant qu'ils ont demandé.

Kaspersky Virus Removal Tool (KVRT) et Malwarebytes Anti-malware (MBAM) peuvent détecter différents types virus ransomware actifs et les supprimera facilement de votre ordinateur, MAIS ils ne peuvent pas restaurer les fichiers cryptés.

Cliquez sur votre clavier Touches Windows et R (K russe) en même temps. Une petite fenêtre s'ouvrira avec le titre Run dans laquelle saisissez :

Appuyez sur Entrée.

L'éditeur de registre se lancera. Ouvrez le menu Edition et cliquez sur Rechercher. Entrer:

Sous-système d'exécution client-serveur

Appuyez sur Entrée.

Supprimez ce paramètre en cliquant dessus avec le bouton droit et en sélectionnant Supprimer comme indiqué dans la figure ci-dessous. Soyez très prudent !

Fermez l’Éditeur du Registre.

Redémarrez votre ordinateur. Ouvrez le répertoire C:\Documents and Settings\All Users\Application Data\Windows\ et supprimez le fichier csrss.exe.

Téléchargez le programme HijackThis en cliquant sur le lien suivant.

Quelques derniers mots

En suivant ces instructions, votre ordinateur sera débarrassé du virus de la rançon no_more_ransom. Si vous avez des questions ou avez besoin d'aide, veuillez nous contacter.

, VIDÉO, MUSIQUE et autres fichiers personnels sur .NO_MORE_RANSOM, et modifie le nom d'origine en une combinaison aléatoire de lettres et de chiffres. Cependant, la plupart des fichiers des formats les plus importants .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP ne pas ouvrir. Comptabilité 1Cça ne marche pas. Voici à quoi cela ressemble :

Le support technique de Kaspersky Lab, Dr.Web et d'autres sociétés bien connues développant des logiciels antivirus, en réponse aux demandes des utilisateurs pour décrypter les données, rapporte qu'il est impossible de le faire dans un délai acceptable.

Mais ne vous précipitez pas au désespoir !

Le fait est qu'après avoir pénétré dans votre ordinateur, le programme malveillant utilise comme outil un logiciel de cryptage GPG tout à fait légal et l'algorithme de cryptage populaire - RSA-1024. Étant donné que cet utilitaire est utilisé dans de nombreux endroits et n'est pas un virus en soi, les programmes antivirus lui permettent de passer et ne bloquent pas son fonctionnement. Une clé publique et privée est générée pour crypter les fichiers. Clé privée est envoyé au serveur des attaquants et reste ouvert sur l'ordinateur de l'utilisateur. Les deux clés sont nécessaires pour décrypter les fichiers ! Les attaquants écrasent soigneusement la clé privée de l'ordinateur concerné. Mais cela n'arrive pas toujours. Depuis plus de trois ans d'histoire de travail impeccable, des spécialistes Dr SHIFRO Nous avons étudié des milliers de variations dans les activités des logiciels malveillants, et peut-être même dans une situation apparemment désespérée, nous serons en mesure de proposer une solution qui vous permettra de récupérer vos données.

Dans cette vidéo, vous pouvez voir le fonctionnement réel du décrypteur sur l'ordinateur d'un de nos clients :

Pour analyser la possibilité de décryptage, envoyez 2 échantillons de fichiers cryptés : un texte (doc, docx, odt, txt ou rtf jusqu'à 100 Ko), le deuxième graphique (jpg, png, bmp, tif ou pdf jusqu'à 3 Mo en taille). Vous avez également besoin d'un fichier de notes des attaquants. Après examen des dossiers, nous vous donnerons une estimation du coût. Les fichiers peuvent être envoyés par email [email protégé] ou utilisez le formulaire de dépôt de dossier sur le site internet (bouton orange).

COMMENTAIRES (2)

Nous avons attrapé le virus CRYPTED000007. Après avoir recherché sur Internet une méthode de décryptage, nous avons trouvé ce site. Le spécialiste a décrit rapidement et en détail ce qui devait être fait. Pour garantir, 5 fichiers de test ont été décryptés. Ils ont annoncé le prix et après paiement, tout a été déchiffré en quelques heures. Même si non seulement l'ordinateur était crypté, mais aussi lecteur réseau. Merci beaucoup pour votre aide !

Bonne journée! J'ai récemment eu une situation similaire avec le virus CRYPTED000007, qui n'a pas eu le temps de chiffrer tous les disques, car... Après un certain temps, j'ai ouvert le dossier contenant la photo et j'ai vu une enveloppe vide et un nom de fichier composé d'un ensemble différent de lettres et de chiffres, puis j'ai immédiatement téléchargé et lancé l'utilitaire gratuit de suppression des chevaux de Troie. Le virus est arrivé par la poste et il y avait une lettre convaincante que j'ai ouverte et lancée en pièce jointe. L'ordinateur dispose de 4 très gros disques durs (téraoctets). J'ai contacté diverses sociétés, qui sont nombreuses sur Internet et qui proposent leurs services, mais même avec un décryptage réussi, tous les fichiers seront dans un dossier séparé et tous mélangés. Personne ne garantit un décryptage à 100 %. J'ai contacté Kaspersky Lab et même là, ils ne m'ont pas aidé..html# alors j'ai décidé de contacter. J'ai envoyé trois photos de test et après un certain temps, j'ai reçu une réponse avec une transcription complète de celles-ci. Dans la correspondance postale, on m'a proposé soit à distance, soit à domicile. J'ai décidé de le faire à la maison. Nous avons décidé de la date et de l’heure de l’arrivée du spécialiste. Immédiatement dans la correspondance, le montant du décodeur a été convenu et après un décryptage réussi, nous avons signé un accord sur les travaux et j'ai effectué le paiement conformément à l'accord. Le décryptage des fichiers a pris beaucoup de temps, car certaines vidéos étaient volumineuses. Après un décryptage complet, je me suis assuré que tous mes fichiers avaient retrouvé leur forme d'origine et la bonne extension de fichier. Volume disques durs est devenu le même qu'avant leur infection, car lors de l'infection, les disques étaient presque complètement obstrués. Ceux qui écrivent sur les escrocs, etc., je ne suis pas d'accord avec cela. Ceci est écrit soit par des concurrents par colère, parce qu'ils ne réussissent pas, soit par des personnes offensées par quelque chose. Dans mon cas, tout s'est bien passé, mes craintes appartiennent au passé. J'ai revu mes anciennes photos de famille que j'avais prises il y a longtemps et des vidéos de famille que j'avais moi-même montées. Je voudrais dire des mots de gratitude à la société dr.Shifro et personnellement à Igor Nikolaevich, qui m'a aidé à restaurer toutes mes données. Merci beaucoup et bonne chance ! Tout ce qui est écrit est mon opinion personnelle et vous décidez vous-même à qui s'adresser.

Fin 2016, le monde a été attaqué par un virus cheval de Troie très banal qui crypte les documents des utilisateurs et le contenu multimédia, appelé NO_MORE_RANSOM. Comment décrypter les fichiers après exposition à cette menace sera discuté plus en détail. Cependant, il convient d’avertir immédiatement tous les utilisateurs attaqués qu’il n’existe pas de technique uniforme. Cela est dû à l'utilisation de l'un des systèmes les plus avancés et au degré de pénétration du virus dans le système informatique ou même dans réseau local(même si au départ il n’a pas été conçu pour avoir un impact sur le réseau).

Qu'est-ce que le virus NO_MORE_RANSOM et comment fonctionne-t-il ?

En général, le virus lui-même est généralement classé comme cheval de Troie comme I Love You, qui pénètre dans un système informatique et crypte les fichiers des utilisateurs (généralement multimédia). Certes, si l'ancêtre ne différait que par le cryptage, alors ce virus empruntait beaucoup à la menace autrefois sensationnelle appelée DA_VINCI_COD, combinant les fonctions d'un ransomware.

Une fois infectés, la plupart des fichiers audio, vidéo, graphiques ou documents de bureau un nom long avec l'extension NO_MORE_RANSOM est attribué, contenant un mot de passe complexe.

Lorsque vous essayez de les ouvrir, un message apparaît à l'écran indiquant que les fichiers sont cryptés et que pour les décrypter, vous devez payer un certain montant.

Comment la menace pénètre-t-elle dans le système ?

Laissons de côté pour l’instant la question de savoir comment décrypter les fichiers de l’un des types ci-dessus après exposition à NO_MORE_RANSOM, et passons à la technologie permettant à un virus de pénétrer dans un système informatique. Malheureusement, peu importe à quoi cela ressemble, l'ancienne méthode éprouvée est utilisée pour cela : un e-mail avec une pièce jointe est envoyé à l'adresse e-mail, et lors de son ouverture, l'utilisateur reçoit un code malveillant.

Comme on le voit, cette technique n’est pas originale. Cependant, le message peut être déguisé en texte dénué de sens. Ou, au contraire, par exemple, s'il s'agit de grandes entreprises, de modifier les termes d'un contrat. Il est clair qu'un simple employé ouvre un investissement et obtient ensuite un résultat désastreux. L'une des épidémies les plus marquantes a été le cryptage des bases de données du populaire package 1C. Et c'est déjà une affaire sérieuse.

NO_MORE_RANSOM : comment décrypter des documents ?

Mais cela vaut quand même la peine d’aborder le problème principal. Tout le monde s’intéresse sûrement à la façon de décrypter des fichiers. Le virus NO_MORE_RANSOM a sa propre séquence d'actions. Si l’utilisateur tente de décrypter immédiatement après l’infection, il existe encore un moyen de le faire. Si la menace s’est solidement installée dans le système, hélas, cela ne peut se faire sans l’aide de spécialistes. Mais ils se révèlent souvent impuissants.

Si la menace a été détectée à temps, il n'y a qu'un seul moyen : contacter les services d'assistance des sociétés antivirus (tous les documents n'ont pas encore été cryptés), envoyer quelques fichiers inaccessibles et, sur la base d'une analyse des originaux enregistré sur support amovible, essayez de restaurer les documents déjà infectés en copiant d'abord sur le même lecteur flash tout ce qui est encore disponible pour l'ouverture (bien qu'il n'y ait pas non plus de garantie complète que le virus n'ait pas pénétré dans ces documents). Après cela, bien sûr, le support doit être vérifié avec au moins un scanner antivirus (on ne sait jamais).

Algorithme

Il convient également de mentionner que le virus utilise l'algorithme de cryptage RSA-3072, qui, contrairement à la technologie RSA-2048 précédemment utilisée, est si complexe que le choix du bon mot de passe, même si l'ensemble du contingent des laboratoires antivirus est impliqué dans cela peut prendre des mois ou des années. Ainsi, la question de savoir comment décrypter NO_MORE_RANSOM prendra beaucoup de temps. Mais que se passe-t-il si vous devez restaurer des informations immédiatement ? Tout d'abord, supprimez le virus lui-même.

Est-il possible de supprimer un virus et comment le faire ?

En fait, ce n’est pas difficile à faire. A en juger par l'impudence des créateurs du virus, la menace est système informatique pas camouflé. Au contraire, il lui est même bénéfique de « se retirer » après avoir accompli les actions réalisées.

Néanmoins, dans un premier temps, à l’instar du virus, il faudrait encore le neutraliser. La première étape consiste à utiliser des utilitaires de sécurité portables comme KVRT, Malwarebytes, Dr. Web CureIt! et ainsi de suite. Attention : les programmes utilisés pour les tests doivent être portables (sans installation sur disque dur fonctionnant de manière optimale à partir d'un support amovible). Si une menace est découverte, elle doit être supprimée immédiatement.

Si de telles actions ne sont pas fournies, vous devez d'abord accéder au « Gestionnaire des tâches » et mettre fin à tous les processus associés au virus, en triant les services par nom (il s'agit généralement du processus Runtime Broker).

Après avoir supprimé la tâche, vous devez appeler l'éditeur de registre système (regedit dans le menu « Exécuter ») et rechercher le nom « Client Server Runtime System » (sans les guillemets), puis utiliser le menu pour vous déplacer dans les résultats « Rechercher suivant… » pour supprimer tous les éléments trouvés. Ensuite, vous devez redémarrer l'ordinateur et vérifier dans le « Gestionnaire des tâches » pour voir si le processus que vous recherchez est là.

En principe, la question de savoir comment décrypter le virus NO_MORE_RANSOM au stade de l'infection peut être résolue à l'aide de cette méthode. La probabilité de sa neutralisation est bien sûr faible, mais il existe une chance.

Comment décrypter les fichiers cryptés avec NO_MORE_RANSOM : sauvegardes

Mais il existe une autre technique que peu de gens connaissent ou même devinent. Le fait est qu'elle système opérateur crée constamment ses propres sauvegardes fantômes (par exemple, en cas de récupération), ou l'utilisateur crée intentionnellement de telles images. Comme le montre la pratique, ce sont précisément ces copies que le virus n'affecte pas (cela n'est tout simplement pas prévu dans sa structure, même si cela n'est pas exclu).

Le problème de savoir comment déchiffrer NO_MORE_RANSOM revient donc à les utiliser. Cependant, utilisez la norme Outils Windows non recommandé (et de nombreux utilisateurs n'auront pas du tout accès aux copies cachées). Par conséquent, vous devez utiliser l'utilitaire ShadowExplorer (il est portable).

Pour restaurer, il vous suffit d'exécuter l'exécutable, de trier les informations par dates ou sections, de sélectionner la copie souhaitée (d'un fichier, d'un dossier ou de l'ensemble du système) et d'utiliser la ligne d'exportation via le menu RMB. Ensuite, sélectionnez simplement le répertoire dans lequel la copie actuelle sera enregistrée, puis utilisez le processus de récupération standard.

Utilitaires tiers

Bien entendu, au problème du déchiffrement de NO_MORE_RANSOM, de nombreux laboratoires proposent leurs propres solutions. Par exemple, Kaspersky Lab recommande d'utiliser son propre produit logiciel Kaspersky Decryptor, présenté en deux modifications - Rakhini et Rector.

Des développements similaires comme le décodeur NO_MORE_RANSOM du Dr. ne semblent pas moins intéressants. Internet. Mais ici, il convient immédiatement de prendre en compte que l'utilisation de tels programmes n'est justifiée que dans le cas détection rapide menaces jusqu'à ce que tous les fichiers aient été infectés. Si le virus est fermement implanté dans le système (lorsque les fichiers cryptés ne peuvent tout simplement pas être comparés à leurs originaux non cryptés), de telles applications peuvent également être inutiles.

Par conséquent

En fait, une seule conclusion s'impose : il faut lutter contre ce virus exclusivement au stade de l'infection, lorsque seuls les premiers fichiers sont cryptés. De manière générale, il est préférable de ne pas ouvrir les pièces jointes des e-mails reçus de sources douteuses (cela s'applique exclusivement aux clients installés directement sur l'ordinateur - Outlook, Oulook Express, etc.). De plus, si un employé de l'entreprise dispose d'une liste d'adresses de clients et de partenaires, l'ouverture de messages « inappropriés » devient totalement peu pratique, puisque la plupart des gens signent des accords de non-divulgation sur les secrets commerciaux et la cybersécurité lorsqu'ils postulent à un emploi.