, VIDÉO, MUSIQUE et autres fichiers personnels sur .NO_MORE_RANSOM, et modifie le nom d'origine en une combinaison aléatoire de lettres et de chiffres. Cependant, la plupart des fichiers des formats les plus importants .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP ne pas ouvrir. Comptabilité 1Cça ne marche pas. Voici à quoi cela ressemble :
Le support technique de Kaspersky Lab, Dr.Web et d'autres sociétés bien connues développant des logiciels antivirus, en réponse aux demandes des utilisateurs pour décrypter les données, rapporte qu'il est impossible de le faire dans un délai acceptable.
Mais ne vous précipitez pas au désespoir !
Le fait est qu'après avoir pénétré dans votre ordinateur, le programme malveillant utilise comme outil un logiciel de cryptage GPG tout à fait légal et l'algorithme de cryptage populaire - RSA-1024. Étant donné que cet utilitaire est utilisé dans de nombreux endroits et n'est pas un virus en soi, les programmes antivirus lui permettent de passer et ne bloquent pas son fonctionnement. Une clé publique et privée est générée pour crypter les fichiers. La clé privée est envoyée au serveur des attaquants, tandis que la clé publique reste sur l'ordinateur de l'utilisateur. Les deux clés sont nécessaires pour décrypter les fichiers ! Les attaquants écrasent soigneusement la clé privée de l'ordinateur concerné. Mais cela n'arrive pas toujours. Depuis plus de trois ans d'histoire de travail impeccable, des spécialistes Dr SHIFRO Nous avons étudié des milliers de variations dans les activités des logiciels malveillants, et peut-être même dans une situation apparemment désespérée, nous serons en mesure de proposer une solution qui vous permettra de récupérer vos données.
Dans cette vidéo, vous pouvez voir le fonctionnement réel du décrypteur sur l'ordinateur d'un de nos clients :
Pour analyser la possibilité de décryptage, envoyez 2 échantillons de fichiers cryptés : un texte (doc, docx, odt, txt ou rtf jusqu'à 100 Ko), le deuxième graphique (jpg, png, bmp, tif ou pdf jusqu'à 3 Mo en taille). Vous avez également besoin d'un fichier de notes des attaquants. Après examen des dossiers, nous vous donnerons une estimation du coût. Les fichiers peuvent être envoyés par email [email protégé] ou utilisez le formulaire de dépôt de dossier sur le site internet (bouton orange).
COMMENTAIRES (2)
Nous avons attrapé le virus CRYPTED000007. Après avoir recherché sur Internet une méthode de décryptage, nous avons trouvé ce site. Le spécialiste a décrit rapidement et en détail ce qui devait être fait. Pour garantir, 5 fichiers de test ont été décryptés. Ils ont annoncé le prix et après paiement, tout a été déchiffré en quelques heures. Bien que non seulement l'ordinateur soit crypté, mais également le lecteur réseau. Merci beaucoup pour votre aide !
Bonne journée! J'ai récemment eu une situation similaire avec le virus CRYPTED000007, qui n'a pas eu le temps de chiffrer tous les disques, car... Après un certain temps, j'ai ouvert le dossier contenant la photo et j'ai vu une enveloppe vide et un nom de fichier composé d'un ensemble différent de lettres et de chiffres, puis j'ai immédiatement téléchargé et lancé l'utilitaire gratuit de suppression des chevaux de Troie. Le virus est arrivé par la poste et il y avait une lettre convaincante que j'ai ouverte et lancée en pièce jointe. L'ordinateur dispose de 4 très gros disques durs (téraoctets). J'ai contacté diverses sociétés, qui sont nombreuses sur Internet et qui proposent leurs services, mais même avec un décryptage réussi, tous les fichiers seront dans un dossier séparé et tous mélangés. Personne ne garantit un décryptage à 100 %. J'ai contacté Kaspersky Lab et même là, ils ne m'ont pas aidé..html# alors j'ai décidé de contacter. J'ai envoyé trois photos de test et après un certain temps, j'ai reçu une réponse avec une transcription complète de celles-ci. Dans la correspondance postale, on m'a proposé soit à distance, soit à domicile. J'ai décidé de le faire à la maison. Nous avons décidé de la date et de l’heure de l’arrivée du spécialiste. Immédiatement dans la correspondance, le montant du décodeur a été convenu et après un décryptage réussi, nous avons signé un accord sur les travaux et j'ai effectué le paiement conformément à l'accord. Le décryptage des fichiers a pris beaucoup de temps, car certaines vidéos étaient volumineuses. Après un décryptage complet, je me suis assuré que tous mes fichiers avaient retrouvé leur forme d'origine et la bonne extension de fichier. La capacité des disques durs est devenue la même qu’avant l’infection, car lors de l’infection, les disques étaient presque complètement pleins. Ceux qui écrivent sur les escrocs, etc., je ne suis pas d'accord avec cela. Ceci est écrit soit par des concurrents par colère, parce qu'ils ne réussissent pas, soit par des personnes offensées par quelque chose. Dans mon cas, tout s'est bien passé, mes craintes appartiennent au passé. J'ai revu mes anciennes photos de famille que j'avais prises il y a longtemps et des vidéos de famille que j'avais moi-même montées. Je voudrais dire des mots de gratitude à la société dr.Shifro et personnellement à Igor Nikolaevich, qui m'a aidé à restaurer toutes mes données. Merci beaucoup et bonne chance ! Tout ce qui est écrit est mon opinion personnelle et vous décidez vous-même à qui s'adresser.
Fin 2016, un nouveau virus ransomware a été détecté – NO_MORE_RANSOM. Il a reçu un nom si long en raison de l'extension qu'il attribue aux fichiers utilisateur.
J'ai beaucoup adopté d'autres virus, par exemple de da_vinci_cod. Depuis son apparition récente sur Internet, les laboratoires antivirus ne sont pas encore parvenus à déchiffrer son code. Et il est peu probable qu'ils puissent le faire dans un avenir proche - un algorithme de cryptage amélioré est utilisé. Voyons donc quoi faire si vos fichiers sont cryptés avec l'extension « no_more_ransom ».
Description et principe de fonctionnement
Début 2017, de nombreux forums étaient remplis de messages « Le virus no_more_ransom a crypté des fichiers », dans lesquels les utilisateurs demandaient de l'aide pour supprimer la menace. Non seulement des ordinateurs privés, mais aussi des organisations entières (en particulier celles utilisant des bases de données 1C) ont été attaqués. La situation pour toutes les victimes est à peu près la même : elles ont ouvert une pièce jointe d'un e-mail et après un certain temps, les fichiers ont reçu l'extension No_more_ransom. Le virus ransomware a contourné tous les programmes antivirus populaires sans aucun problème.
De manière générale, basé sur le principe de l'infection, No_more_ransom ne se distingue pas de ses prédécesseurs :
Comment guérir ou supprimer le virus No_more_ransom
Il est important de comprendre qu’après avoir démarré No_more_ransom vous-même, vous perdrez la possibilité de restaurer l’accès aux fichiers en utilisant le mot de passe des attaquants. Est-il possible de récupérer un fichier après No_more_ransom ? À ce jour, il n'existe pas d'algorithme fonctionnel à 100 % pour décrypter les données. Les seules exceptions sont les utilitaires de laboratoires renommés, mais la sélection du mot de passe prend beaucoup de temps (mois, années). Mais plus d'informations sur la récupération ci-dessous. Tout d'abord, voyons comment identifier le cheval de Troie sans rançon (traduction - « plus de rançon ») et le vaincre. 
En règle générale, les logiciels antivirus installés permettent aux ransomwares de pénétrer dans l'ordinateur - de nouvelles versions sont souvent publiées, pour lesquelles il n'y a tout simplement pas le temps de publier les bases de données. Les virus de ce type sont assez faciles à supprimer d'un ordinateur, car les escrocs n'ont pas besoin qu'ils restent dans le système une fois leur tâche (cryptage) terminée. Pour le supprimer, vous pouvez utiliser des utilitaires prêts à l'emploi distribués gratuitement :
Leur utilisation est très simple : lancez, sélectionnez les disques, cliquez sur « Démarrer l'analyse ». Il ne reste plus qu'à attendre. Ensuite, une fenêtre apparaîtra dans laquelle toutes les menaces seront affichées. Cliquez sur « Supprimer ».
Très probablement, l'un de ces utilitaires supprimera le virus ransomware. Si cela ne se produit pas, une suppression manuelle est nécessaire :
Si vous remarquez rapidement un virus et parvenez à le supprimer, il est alors possible que certaines données ne soient pas cryptées. Il est préférable de sauvegarder les fichiers qui n'ont pas été attaqués sur un disque séparé.
Utilitaires de décryptage pour décrypter les fichiers « No_more_ransom »
Il est tout simplement impossible de trouver le code vous-même, à moins d'être un hacker avancé. Le décryptage nécessite des utilitaires spéciaux. Je dirai tout de suite que tout le monde ne pourra pas décrypter un fichier crypté comme « No_more_ransom ». Le virus est nouveau, donc deviner un mot de passe est une tâche très difficile.
Donc, tout d'abord, nous essayons de restaurer les données à partir de clichés instantanés. Par défaut, le système d'exploitation, à partir de Windows 7, enregistre régulièrement des copies de vos documents. Dans certains cas, le virus est incapable de supprimer des copies. Par conséquent, nous téléchargeons le programme gratuit ShadowExplorer. Vous n'avez rien à installer, il vous suffit de le décompresser.
Si le virus ne supprime pas les copies, il est alors possible de récupérer environ 80 à 90 % des informations cryptées.
Des laboratoires antivirus réputés proposent également des programmes de décryptage pour récupérer des fichiers après le virus No_more_ransom. Cependant, vous ne devez pas vous attendre à ce que ces utilitaires soient capables de récupérer vos données. Les chiffreurs sont constamment améliorés et les spécialistes n'ont tout simplement pas le temps de publier des mises à jour pour chaque version. Envoyez des échantillons au support technique du laboratoire antivirus pour aider les développeurs.
Pour combattre No_more_ransom, il existe Kaspersky Decryptor. L'utilitaire est présenté en deux versions avec les préfixes et Rakhni (il existe des articles séparés à leur sujet sur notre site Web). Pour combattre le virus et décrypter les fichiers, il vous suffit d'exécuter le programme en sélectionnant les emplacements d'analyse.
De plus, vous devez spécifier l'un des documents bloqués pour que l'utilitaire commence à deviner le mot de passe.
Vous pouvez également télécharger gratuitement le meilleur décrypteur No_more_ransom de Dr.. Internet. L'utilitaire s'appelle matsnu1decrypt. Cela fonctionne selon un scénario similaire avec les programmes de Kaspersky. Tout ce que vous avez à faire est d’exécuter l’analyse et d’attendre qu’elle se termine.
Virus No_more_ransom est un nouveau virus ransomware, une continuation de la célèbre série de virus, qui comprend better_call_saul et da_vinci_code. Comme ses versions précédentes, ce virus ransomware se propage via des messages spam. Chacun de ces e-mails contient un fichier joint - une archive, qui contient à son tour un fichier exécutable. C'est lorsque vous essayez de l'ouvrir que le virus s'active. Le virus No_more_ransom crypte des fichiers de différents types (documents, images, bases de données, y compris les bases de données 1C) sur l'ordinateur de la victime. Une fois le processus de cryptage terminé, tous les fichiers familiers disparaissent et de nouveaux fichiers portant des noms étranges et l'extension .no_more_ransom apparaissent dans les dossiers où les documents ont été stockés. De plus, un message similaire à celui ci-dessous apparaît sur le bureau :
Le virus No_more_ransom combine les fonctionnalités de divers ransomwares découverts précédemment. Selon les auteurs du virus, contrairement aux versions antérieures qui utilisaient le mode de cryptage RSA-2048 avec une longueur de clé de 2048 bits, le virus no_more_ransom utilise un mode de cryptage encore plus puissant avec une longueur de clé plus longue (algorithme de cryptage RSA-3072).
Virus No_more-ransom - formulaire de commentaires
Lorsqu'un ordinateur est infecté par le virus de rançon no_more_ransom, ce programme malveillant copie son corps dans le dossier système et ajoute une entrée au registre Windows, garantissant qu'il démarre automatiquement à chaque démarrage de l'ordinateur. Après quoi le virus commence à chiffrer les fichiers. Le ransomware attribue un identifiant unique à chaque ordinateur infecté par No_more_ransom, que la victime doit envoyer aux auteurs du virus afin de recevoir sa propre clé de décryptage. Dans ce cas, la victime doit payer une somme importante pour décrypter les fichiers.no_more_ransom.
À l'heure actuelle, il n'existe pas de moyen véritablement efficace à 100 % de récupérer gratuitement des fichiers cryptés. Par conséquent, nous vous suggérons d'utiliser des programmes gratuits tels que ShadowExplorer et PhotoRec pour tenter de récupérer des copies de fichiers cryptés. Si une méthode de décryptage des fichiers .no_more_ransom devient disponible, nous mettrons rapidement à jour cette instruction.
Comment le virus de rançon no_more_ransom pénètre sur votre ordinateur
Le virus No_more_ransom se propage par courrier électronique. La lettre contient en pièce jointe un document ou une archive infectée. Ces lettres sont envoyées à une énorme base de données d’adresses e-mail. Les auteurs de ce virus utilisent des en-têtes et des contenus de lettres trompeurs, essayant d'inciter l'utilisateur à ouvrir un document joint à la lettre. Certaines lettres informent de la nécessité de payer une facture, d'autres proposent de consulter la dernière liste de prix, d'autres proposent d'ouvrir une photo amusante, etc. Dans tous les cas, l’ouverture du fichier joint aura pour résultat d’infecter votre ordinateur avec un virus de rançon.
Qu'est-ce qu'un virus ransomware no_more_ransom
Le virus ransom no_more_ransom est une continuation de la famille des ransomwares, qui comprend un grand nombre d'autres programmes malveillants similaires. Ce programme malveillant affecte toutes les versions modernes des systèmes d'exploitation Windows, notamment Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ce virus utilise un mode de cryptage plus puissant que RSA-2048 avec une longueur de clé de 2048 bits, qui élimine pratiquement la possibilité de forcer brutalement la clé pour l'auto-déchiffrement des fichiers.
Lors de l'infection d'un ordinateur, le virus de la rançon no_more_ransom peut utiliser plusieurs répertoires différents pour stocker ses fichiers. Par exemple C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Système32. Un fichier csrss.exe est créé dans le dossier, qui est une copie du fichier exécutable du virus. Le ransomware crée ensuite une entrée dans le registre Windows : dans la section HKCU\Software\Microsoft\Windows\CurrentVersion\Run, une clé nommée Client Server Runtime Subsystem. Cela permet au virus de continuer à chiffrer. si l'utilisateur éteint l'ordinateur pour une raison quelconque.
Immédiatement après son lancement, le virus analyse tous les lecteurs disponibles, y compris le stockage réseau et cloud, pour déterminer les fichiers qui seront cryptés. Le virus de rançon no_more_ransom utilise une extension de nom de fichier pour identifier un groupe de fichiers qui seront cryptés. Cette version du virus crypte un grand nombre de types de fichiers différents, y compris les plus courants tels que :
3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Immédiatement après le cryptage du fichier, il reçoit un nouveau nom et une nouvelle extension.no_more_ransom. Après quoi le virus crée des documents texte sur tous les disques et sur le bureau avec les noms README.txt, README1.txt, README2.txt..., qui contiennent des instructions pour décrypter les fichiers cryptés.
Le ransomware no_more_ransom utilise activement des tactiques d'intimidation en affichant un avertissement sur le bureau. Essayer ainsi de forcer la victime à envoyer sans hésitation l’identifiant de l’ordinateur à l’adresse email de l’auteur du virus afin de tenter de récupérer ses fichiers.
Mon ordinateur est-il infecté par le virus de rançon no_more_ransom ?
Il est assez facile de déterminer si votre ordinateur est infecté par le virus de la rançon no_more_ransom. Si, à la place de vos fichiers personnels, des fichiers portant des noms étranges et l'extension no_more_ransom apparaissent, alors votre ordinateur est infecté. De plus, un signe d'infection est la présence d'un fichier nommé README dans vos répertoires. Ce fichier contiendra des instructions pour décrypter les fichiers no_more_ransom. Un exemple du contenu d'un tel fichier est donné ci-dessous.
Vos fichiers ont été cryptés.
Pour les décrypter, vous devez envoyer le code :
(identifiant de l'ordinateur)
à l'adresse e-mail [email protégé].
Ensuite, vous recevrez toutes les instructions nécessaires.
Les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrémédiable d’informations.
Si vous souhaitez quand même essayer, faites d'abord des copies de sauvegarde de vos fichiers, sinon au cas où
en les changeant, le décryptage deviendra impossible en toutes circonstances.
Si vous ne recevez pas de réponse à l'adresse ci-dessus dans un délai de 48 heures (et seulement dans ce cas !),
utilisez le formulaire de commentaires. Cela peut être fait de deux manières :
1) Téléchargez et installez Tor Browser à partir du lien : https://www.torproject.org/download/download-easy.html.en
Dans la barre d'adresse du navigateur Tor, saisissez l'adresse :
et appuyez sur Entrée. La page avec le formulaire de commentaires se chargera.
2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses :Tous les fichiers importants de votre ordinateur ont été cryptés.
Pour décrypter les fichiers, vous devez envoyer le code suivant :
(identifiant de l'ordinateur)
à l'adresse e-mail [email protégé].
Vous recevrez ensuite toutes les instructions nécessaires.
Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données.
Si vous souhaitez quand même essayer de les décrypter vous-même, veuillez d'abord faire une sauvegarde car
le décryptage deviendra impossible en cas de modification à l'intérieur des fichiers.
Si vous n'avez pas reçu de réponse à l'email susmentionné pendant plus de 48 heures (et seulement dans ce cas !),
utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières :
1) Téléchargez le navigateur Tor à partir d'ici :
https://www.torproject.org/download/download-easy.html.en
Installez-le et saisissez l'adresse suivante dans la barre d'adresse :
http://cryptsen7fo43rr6.onion/
Appuyez sur Entrée, puis la page avec le formulaire de commentaires sera chargée.
2) Accédez à l'une des adresses suivantes dans n'importe quel navigateur :
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
Comment décrypter les fichiers cryptés par le virus de rançon no_more_ransom ?
Il n’existe actuellement aucun décrypteur disponible pour les fichiers .no_more_ransom. Le virus ransomware indique à plusieurs reprises à la victime qu’un algorithme de cryptage puissant est utilisé. Cela signifie que sans clé privée, il est presque impossible de décrypter les fichiers. L'utilisation de la méthode de sélection de clé n'est pas non plus une option, en raison de la grande longueur de la clé. Par conséquent, malheureusement, payer uniquement aux auteurs du virus la totalité du montant demandé (9 000 roubles ou plus) est le seul moyen d'essayer d'obtenir la clé de décryptage.
Il n'y a absolument aucune garantie qu'après le paiement, les auteurs du virus vous contacteront et vous fourniront la clé nécessaire pour décrypter vos fichiers. De plus, vous devez comprendre qu'en payant de l'argent aux développeurs de virus, vous les encouragez vous-même à créer de nouveaux virus.
Comment supprimer le virus de la rançon no_more_ransom ?
Avant de commencer, vous devez savoir qu'en commençant à supprimer le virus et en essayant de restaurer les fichiers vous-même, vous bloquez la possibilité de décrypter les fichiers en payant aux auteurs du virus le montant qu'ils ont demandé.
Kaspersky Virus Removal Tool (KVRT) et Malwarebytes Anti-malware (MBAM) peuvent détecter différents types de virus ransomware actifs et les supprimeront facilement de votre ordinateur, MAIS ils ne peuvent pas récupérer les fichiers cryptés.
Appuyez simultanément sur les touches Windows et R de votre clavier. Une petite fenêtre s'ouvrira avec le titre Run dans laquelle saisissez :
Appuyez sur Entrée.
L'éditeur de registre se lancera. Ouvrez le menu Edition et cliquez sur Rechercher. Entrer:
Sous-système d'exécution client-serveur
Appuyez sur Entrée.
Supprimez ce paramètre en cliquant dessus avec le bouton droit et en sélectionnant Supprimer comme indiqué dans la figure ci-dessous. Soyez très prudent !
Fermez l’Éditeur du Registre.
Redémarrez votre ordinateur. Ouvrez le répertoire C:\Documents and Settings\All Users\Application Data\Windows\ et supprimez le fichier csrss.exe.
Téléchargez le programme HijackThis en cliquant sur le lien suivant.
Quelques derniers mots
En suivant ces instructions, votre ordinateur sera débarrassé du virus de la rançon no_more_ransom. Si vous avez des questions ou avez besoin d'aide, veuillez nous contacter.
Désormais, ce n’est un secret pour personne que tous les types de crimes existants ont été transférés sur Internet. Il s’agit notamment du cyberespionnage, du cyberterrorisme, de la cyberfraude, du cybervol et, selon le thème de ce blog, de la cyberextorsion et du cyberchantage.
En Russie, on a longtemps voulu assimiler la cybercriminalité à des vols, en augmentant les sanctions, mais cette question a été soulevée à l'instigation des structures bancaires, qui ne seraient pas autorisées à vivre aux mains des pirates. C'est peut-être comme ça. Qui parle de quoi, et les banques parlent de hackers...
Le projet de loi à venir mentionne également le téléchargement de programmes sans licence et de « chefs-d’œuvre » audio-vidéo de l’industrie moderne des « chefs-d’œuvre », qui se déversent déjà sur nous comme un baquet d’eau sale. Une fois de plus, c'est une chasse aux sorcières, et non aux véritables cybercriminels, qui se sont répandues comme une peste sur le World Wide Web et ont touché toutes les familles de tous les pays du monde ayant accès à Internet.
Oui, je parle du fléau de l'extorsion : crypto-ransomwares, chiffreurs, bloqueurs et toutes sortes de contrefaçons, c'est-à-dire des programmes qui prétendent être des crypteurs, des bloqueurs, des programmes qui proposent du « nettoyage » moyennant des frais, mais cela ne les empêche pas d'être des extorsionnistes. Leurs créateurs publient ouvertement leurs « créations » sur Internet, sans crainte des forces de l'ordre, de la mafia criminelle, de la police locale, d'Europol et d'Interpol. Ils font de la publicité, ils sont annoncés et promus dans les résultats de recherche des systèmes automatisés Google et Yandex.
C'est contre qui les lois sur la cybercriminalité doivent se battre, c'est contre qui la police doit arrêter en premier, Europol, Interpol et le Département « K » doivent le découvrir ! J’aimerais croire que des travaux dans ce sens se font jour et nuit, mais le fait est clair : l’extorsion et l’extorsion cryptographique sont devenues le fléau et le fléau d’Internet, tel un rouleau compresseur écrasant les épidémies virales classiques.
À propos, selon mes informations, la plus grande quantité de Ransomware est produite en Ukraine, en Moldavie et en Roumanie, si l'on ne prend pas en compte les régions de l'Est et du Sud de l'Asie, où il existe un pourcentage et un niveau complètement différents et plus élevés. extorsion et attaques de pirates informatiques. Certaines attaques d'extorsion en provenance d'Ukraine, de Moldavie et de Roumanie visent la Russie, les entreprises et les utilisateurs russophones, tandis que d'autres ciblent les États-Unis, l'Europe et les utilisateurs anglophones.
Au cours des deux dernières années, les utilisateurs d'ordinateurs sont devenus beaucoup plus susceptibles d'être confrontés à des ransomwares, de faux ransomwares, des bloqueurs de ransomwares et d'autres exigeant une rançon pour récupérer l'accès aux fichiers qu'ils ont chiffrés et rendus illisibles, bloqués et rendus inaccessibles, déplacés, cachés, supprimé... Comment est-ce devenu possible ?
L’époque où les logiciels malveillants étaient distribués par un seul criminel ou un programmeur novice est révolue depuis longtemps.De nos jours, les cybercriminels travaillent le plus souvent en équipe, car... un tel travail en commun apporte plus de profit. Par exemple, avec le développement d'un modèle économique d'extorsion (RaaS) basé sur le paiement d'une rançon en bitcoins, un groupe peut fournir une assistance technique, rédiger des recommandations et, par chat ou par courrier électronique, indiquer aux nouvelles victimes comment et où elles peuvent acheter, échanger, transférer. Bitcoins pour le paiement ultérieur d'une rançon. Un autre groupe développe, met à jour et débogue des ransomwares. Le troisième groupe fournit le couvert et l'hébergement. Le quatrième groupe travaille avec C&C et administre travail depuis le centre de commande. Le cinquième traite des questions financières et travaille avec des partenaires. Le sixième compromet et infecte les sites... Avec le développement du RaaS, plus les ransomwares sont complexes et répandus, plus les équipes impliquées et les processus qu'elles exécutent sont nombreux.
Face à une attaque de crypto-ransomware, les victimes sont confrontées à une question difficile : doivent-elles payer la rançon ? ou Dites adieu aux fichiers ? Pour garantir leur anonymat, les cybercriminels utilisent le réseau Tor et demandent une rançon en cryptomonnaie Bitcoin. En juin 2016, l'équivalent monétaire de 1 BTC dépassait déjà 60 000 roubles et ne diminuerait pas. Malheureusement, après avoir décidé de payer, les victimes financent involontairement de nouvelles activités d'extorsion de cybercriminels, dont l'appétit grandit à pas de géant, et à chaque nouveau paiement, elles sont convaincues de leur impunité.
Regardez " Top 100 des adresses Bitcoin les plus riches et distribution Bitcoin"La plupart des millionnaires riches en cryptomonnaies sont devenus tels par des méthodes illégales, voire criminelles.
Comment est-ce possible ? Aujourd'hui, il n'existe pas d'outil universel pour décrypter les données ; il existe uniquement des utilitaires distincts créés et adaptés à des chiffreurs spécifiques. Par conséquent, comme principale protection, des mesures sont recommandées pour prévenir l’infection par des ransomwares, dont la principale estProtection antivirus à jour. Sensibiliser les utilisateurs à ces mesures et aux menaces posées par les ransomwares et les ransomwares est également très important.Notre blog a été créé à cet effet.Ici, des informations sont collectées sur chaque ransomware, faux cryptographe ou bloqueur se faisant passer pour un ransomware.
Dans mon deuxième blog " Décrypteurs de fichiers"Depuis mai 2016, les informations sur les décrypteurs créés pour le décryptage gratuit des fichiers cryptés par Crypto-Ransomware ont été résumées. Toutes les descriptions et instructions sont publiées en russe pour la première fois. Vérifiez régulièrement.
Dans le but d'une assistance professionnelle, à l'été 2016, Kaspersky Lab, Intel Security, Europol et la police néerlandaise ont organisé un projet commun " Plus de rançon", visant à lutter contre les ransomwares. Les participants au projet ont créé un site WeboMoreRansom.org, contenant des informations générales sur les ransomwares (en anglais), ainsi que des outils gratuits pour récupérer des données cryptées. Au début, il n'existait que 4 outils de ce type proposés par LC et McAfee.Au jour de la rédaction de cet article, ils étaient déjà 7et la fonctionnalité a été encore étendue.
Il est à noter que ce projet n'a été réalisé qu'en décembre complété un groupe de décrypteurs décrits depuis longtemps dans mes blogs « Ransomware Encryptors » et « File Decryptors ».
Plus de rançon !
Mise à jour du 15 décembre 2016 :
D'autres sociétés qui avaient déjà publié d'autres décrypteurs ont rejoint le projet. Il existe désormais déjà 20 utilitaires (certains même deux) :
WildFire Decryptor - de Kaspersky Lab et Intel Security
Chimera Decryptor - de Kaspersky Lab
Décrypteur Teslacrypt - de Kaspersky Lab et Intel Security
Shade Decryptor - de Kaspersky Lab et Intel Security
Décrypteur CoinVault - de Kaspersky Lab
Décrypteur Rannoh - de Kaspersky Lab
Décrypteur Rakhni - de Kaspersky Lab
Décrypteur de puzzle - de Check Point
Décrypteur de fichiers Trend Micro Ransomware - par Trend Micro
Décrypteur NMoreira - d'Emsisoft
Décrypteur Ozozalocker - d'Emsisoft
Décrypteur de globe - d'Emsisoft
Décrypteur Globe2 - d'Emsisoft
Décrypteur FenixLocker - d'Emsisoft
Décrypteur de Philadelphie - par Emsisoft
Stampado Décrypteur - d'Emsisoft
Décrypteur Xorist - d'Emsisoft
Décrypteur Nemucod - d'Emsisoft
Décrypteur Gomasom - d'Emsisoft
Décrypteur Linux.Encoder - de BitDefender
Désormais, « No More Ransom » est composé de représentants de 22 pays.
Bonne chance pour le déchiffrement !!!
Ne payez pas la rançon ! Se préparer! Protégez vos données ! Faites des sauvegardes ! Profitant de ce moment, je vous le rappelle : l'extorsion est un crime, pas un jeu ! Ne jouez pas à ces jeux.
© Amigo-A (Andrew Ivanov) : Tous les articles du blog