Sekarang bukan rahasia lagi bahwa semua jenis kejahatan yang ada telah berpindah ke Internet. Ini termasuk spionase dunia maya, terorisme dunia maya, penipuan dunia maya, pencurian dunia maya dan, sesuai dengan tema blog ini, pemerasan dunia maya dan pemerasan dunia maya.

Mereka sudah lama ingin menyamakan kejahatan dunia maya di Rusia dengan pencurian, dan meningkatkan hukuman, namun pertanyaan ini dibesarkan atas dorongan struktur perbankan, yang diduga tidak diperbolehkan hidup oleh peretas. Mungkin begitulah adanya. Siapa yang membicarakan apa, dan bank membicarakan tentang peretas...

RUU yang akan datang juga menyebutkan pengunduhan program tanpa izin dan “mahakarya” audio-video dari industri “mahakarya” modern, yang sudah mengalir ke kita seperti bak air kotor. Sekali lagi, terjadi perburuan terhadap para penyihir, dan bukan penjahat cyber sejati, yang telah menyebar seperti wabah ke seluruh World Wide Web dan mempengaruhi setiap keluarga di setiap negara di dunia yang memiliki akses ke Internet.

Ya, yang saya bicarakan adalah Wabah Pemerasan: crypto-ransomware, enkripsi, pemblokir, dan segala jenis pemalsuan, mis. program yang berpura-pura menjadi enkripsi, pemblokir, program yang menawarkan “pembersihan” dengan biaya tertentu, namun hal ini tidak menghentikan mereka untuk menjadi pemeras. Pencipta mereka secara terbuka memposting “kreasi” mereka di Internet, tanpa rasa takut terhadap aparat penegak hukum, mafia kriminal, polisi setempat, Europol dan Interpol. Mereka beriklan, mereka diiklankan dan dipromosikan dalam hasil pencarian sistem otomatis Google dan Yandex.

Siapa yang harus dilawan oleh undang-undang kejahatan dunia maya, siapa yang harus dilawan oleh polisi terlebih dahulu, Europol, Interpol, dan Departemen “K” harus mencari tahu! Saya ingin percaya bahwa upaya ke arah ini dilakukan siang dan malam, tetapi faktanya jelas: pemerasan dan pemerasan kripto telah menjadi momok dan wabah di Internet, seperti mesin giling yang menghancurkan epidemi virus klasik.

Ngomong-ngomong, menurut informasi saya, itu diproduksi dari Ukraina, Moldova, dan Rumania jumlah terbesar Ransomware, jika Anda tidak memperhitungkan wilayah Timur dan Selatan Asia, di mana terdapat persentase dan tingkat pemerasan dan pemerasan yang sangat berbeda dan lebih tinggi. serangan peretas. Beberapa serangan pemerasan dari Ukraina, Moldova, dan Rumania ditujukan ke Rusia, perusahaan dan pengguna berbahasa Rusia, sementara serangan lainnya menargetkan Amerika Serikat, Eropa, dan pengguna berbahasa Inggris.

Selama beberapa tahun terakhir, pengguna komputer semakin mungkin menghadapi ransomware, ransomware palsu, pemblokir ransomware, dan lainnya yang menuntut uang tebusan untuk mengembalikan akses ke file yang telah mereka enkripsi dan buat tidak dapat dibaca, diblokir dan dibuat tidak dapat diakses, dipindahkan, disembunyikan, dihapus... Bagaimana hal ini bisa terjadi?

Sudah lama berlalu ketika malware didistribusikan oleh seorang penjahat atau pemrogram pemula.Saat ini, penjahat dunia maya paling sering bekerja sebagai sebuah tim, karena... kerja sama seperti itu mendatangkan lebih banyak keuntungan. Misalnya, dengan pengembangan model bisnis pemerasan (RaaS) berdasarkan pembayaran uang tebusan dalam bitcoin, satu kelompok dapat memberikan dukungan teknis, menulis rekomendasi, dan melalui obrolan atau email memberi tahu korban baru bagaimana dan di mana mereka dapat membeli, menukar, mentransfer. bitcoin untuk pembayaran tebusan berikutnya. Kelompok lain sedang mengembangkan, memperbarui, dan men-debug ransomware. Kelompok ketiga memberikan perlindungan dan akomodasi. Kelompok keempat bekerja dengan C&C dan mengelola bekerja dari pusat komando. Yang kelima berhubungan dengan masalah keuangan dan bekerja dengan mitra. Yang keenam mengkompromikan dan menginfeksi situs... Dengan berkembangnya RaaS, semakin kompleks dan tersebar luas ransomware, semakin banyak tim yang terlibat dan proses yang mereka lakukan.

Saat menghadapi serangan crypto-ransomware, para korban dihadapkan pada pertanyaan sulit: Haruskah mereka membayar uang tebusan? atau Ucapkan selamat tinggal pada file? Untuk memastikan anonimitas mereka, penjahat dunia maya menggunakan jaringan Tor dan meminta tebusan dalam mata uang kripto Bitcoin. Pada Juni 2016, nilai moneter yang setara dengan 1 BTC sudah melebihi 60 ribu rubel dan tidak akan berkurang. Sayangnya, setelah memutuskan untuk membayar, para korban tanpa sadar membiayai kegiatan pemerasan lebih lanjut dari para penjahat dunia maya, yang nafsu makannya meningkat pesat, dan dengan setiap pembayaran baru mereka yakin akan impunitas mereka.

Lihat " 100 Alamat Bitcoin Terkaya dan Distribusi Bitcoin“Sebagian besar jutawan kaya cryptocurrency di sana menjadi kaya melalui metode ilegal dan bahkan kriminal.

Bagaimana ini bisa terjadi? Saat ini tidak ada alat universal untuk mendekripsi data; yang ada hanya utilitas terpisah yang dibuat dan cocok untuk enkripsi tertentu. Oleh karena itu, sebagai perlindungan utama, disarankan untuk mengambil tindakan untuk mencegah infeksi ransomware, yang utama adalahPerlindungan antivirus terkini. Meningkatkan kesadaran pengguna akan langkah-langkah ini dan ancaman yang ditimbulkan oleh ransomware dan ransomware juga sangat penting.Blog kami dibuat untuk tujuan ini.Di sini informasi dikumpulkan tentang setiap ransomware, kriptografer palsu, atau pemblokir yang menyamar sebagai ransomware.

Di blog kedua saya " Dekripsi file"Sejak Mei 2016, informasi tentang dekripsi yang dibuat untuk dekripsi gratis file yang dienkripsi oleh Crypto-Ransomware telah dirangkum. Semua deskripsi dan instruksi diterbitkan dalam bahasa Rusia untuk pertama kalinya. Periksa secara berkala.

Untuk tujuan bantuan profesional, pada musim panas 2016, Kaspersky Lab, Intel Security, Europol, dan polisi Belanda menyelenggarakan proyek bersama " Tidak Ada Lagi Tebusan”, bertujuan untuk memerangi ransomware. Peserta proyek membuat situs weboMoreRansom.org, berisi informasi umum tentang ransomware (dalam bahasa Inggris), serta alat gratis untuk memulihkan data terenkripsi. Awalnya hanya ada 4 alat seperti itu dari LC dan McAfee.Pada hari penulisan artikel ini, sudah ada 7 orangdan fungsinya diperluas lebih lanjut.

Patut dicatat bahwa proyek ini baru dilaksanakan pada bulan Desember ditambah sekelompok dekripsi yang telah lama dijelaskan di blog saya “Ransomware Encryptors” dan “File Decryptors”.

Tidak Ada Lagi Tebusan!
Pembaruan 15 Desember 2016:
Perusahaan lain yang sebelumnya telah merilis decryptor lain bergabung dengan proyek ini. Sekarang sudah ada 20 utilitas (bahkan ada dua):
WildFire Decryptor - dari Kaspersky Lab dan Intel Security
Dekripsi Chimera - dari Kaspersky Lab
Teslacrypt Decryptor - dari Kaspersky Lab dan Intel Security
Shade Decryptor - dari Kaspersky Lab dan Intel Security
Dekripsi CoinVault - dari Kaspersky Lab
Dekripsi Rannoh - dari Kaspersky Lab
Dekripsi Rakhni - dari Kaspersky Lab
Dekripsi Jigsaw - dari Check Point
Dekripsi File Ransomware Trend Micro - oleh Trend Micro
Dekripsi NMoreira - dari Emsisoft
Dekripsi Ozozalocker - dari Emsisoft
Globe Decryptor - dari Emsisoft
Dekripsi Globe2 - dari Emsisoft
Dekripsi FenixLocker - dari Emsisoft
Dekripsi Philadelphia - oleh Emsisoft
Dekripsi Stampado - dari Emsisoft
Dekripsi Xorist - dari Emsisoft
Dekripsi Nemucod - dari Emsisoft
Dekripsi Gomasom - dari Emsisoft
Linux.Encoder Decryptor - dari BitDefender
Kini “No More Ransom” beranggotakan perwakilan dari 22 negara.

Semoga berhasil dalam mengartikannya!!!

Jangan membayar uang tebusan! Bersiap! Lindungi data Anda! Buat cadangan! Mengambil momen ini, saya ingatkan Anda: Pemerasan adalah kejahatan, bukan permainan! Jangan mainkan permainan ini.
© Amigo-A (Andrew Ivanov): Semua artikel blog

Tidak ada_lebih_virus tebusan- Ini virus ransomware baru, kelanjutan dari rangkaian virus terkenal yang mencakup Better_call_saul dan da_vinci_code. Seperti versi sebelumnya, virus ransomware ini menyebar melalui pesan spam. Masing-masing dari ini email berisi file terlampir - arsip, yang pada gilirannya berisi file yang dapat dieksekusi. Saat Anda mencoba membukanya, virus diaktifkan. Virus No_more_ransom mengenkripsi file dari berbagai jenis (dokumen, gambar, database, termasuk database 1C) di komputer korban. Setelah proses enkripsi selesai, semua file yang familiar hilang, dan file baru dengan nama aneh dan ekstensi .no_more_ransom muncul di folder tempat dokumen disimpan. Selain itu, pesan serupa di bawah ini muncul di desktop:

Virus No_more_ransom menggabungkan fitur dari berbagai ransomware yang ditemukan sebelumnya. Menurut pembuat virus, tidak seperti versi sebelumnya yang menggunakan mode enkripsi RSA-2048 dengan panjang kunci 2048 bit, virus no_more_ransom menggunakan mode enkripsi yang lebih kuat dengan panjang kunci yang lebih panjang (algoritma enkripsi RSA-3072).

No_more-ransom virus - bentuk masukan

Ketika komputer terinfeksi virus ransomware no_more_ransom, program jahat ini akan menyalin tubuhnya ke virus tersebut folder sistem dan menambahkan entri ke registri Windows, memastikan bahwa itu dimulai secara otomatis setiap kali komputer dinyalakan. Setelah itu virus mulai mengenkripsi file. Ransomware memberikan ID unik untuk setiap komputer yang terinfeksi No_more_ransom, yang harus dikirim oleh korban ke pembuat virus untuk menerima kunci dekripsi mereka sendiri. Dalam hal ini, korban harus membayar sejumlah besar uang untuk mendekripsi file.no_more_ransom.

Saat ini, tidak ada cara yang 100% benar-benar berfungsi untuk memulihkan file terenkripsi secara gratis. Oleh karena itu kami menyarankan untuk menggunakan program gratis, seperti ShadowExplorer dan PhotoRec untuk mencoba memulihkan salinan file terenkripsi. Jika metode untuk mendekripsi file .no_more_ransom tersedia, kami akan segera memperbarui instruksi ini.

Bagaimana virus no_more_ransom ransom masuk ke komputer Anda

No_more_ransom virus menyebar melalui email. Surat itu berisi lampiran dokumen atau arsip yang terinfeksi. Surat-surat tersebut dikirim ke basis data yang sangat besar alamat email. Penulis virus ini menggunakan header dan isi surat yang menyesatkan, mencoba mengelabui pengguna agar membuka dokumen yang dilampirkan pada surat tersebut. Beberapa surat menginformasikan tentang perlunya membayar tagihan, yang lain menawarkan untuk melihat daftar harga terbaru, yang lain menawarkan untuk membuka foto lucu, dll. Bagaimanapun, akibat dari membuka file terlampir adalah komputer Anda terinfeksi virus tebusan.

Apa itu virus ransomware no_more_ransom

Virus no_more_ransom ransom merupakan kelanjutan dari keluarga ransomware, yang mencakup sejumlah besar program jahat serupa lainnya. Malware ini memengaruhi semua sistem operasi versi modern. sistem Windows, termasuk Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Virus ini menggunakan mode enkripsi yang lebih kuat dari RSA-2048 dengan panjang kunci 2048 bit, yang secara virtual menghilangkan kemungkinan memilih kunci untuk mendekripsi file dirimu sendiri.

Saat menginfeksi komputer, virus no_more_ransom ransom dapat menggunakan beberapa direktori berbeda untuk menyimpan filenya. Misalnya C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Sistem32. File csrss.exe dibuat di folder, yang merupakan salinan file yang dapat dieksekusi virus. Ransomware kemudian membuat entri Registri Windows: di bagian HKCU\Software\Microsoft\Windows\CurrentVersion\Run, sebuah kunci bernama Client Server Runtime Subsystem. Hal ini memungkinkan virus untuk terus mengenkripsi. jika pengguna mematikan komputer karena alasan tertentu.

Segera setelah diluncurkan, virus memindai semua drive yang tersedia, termasuk jaringan dan penyimpanan awan, untuk menentukan file mana yang akan dienkripsi. Virus no_more_ransom ransom menggunakan ekstensi nama file sebagai cara untuk mengidentifikasi sekelompok file yang akan dienkripsi. Versi virus ini mengenkripsi sejumlah besar jenis yang berbeda file, termasuk yang umum seperti:

3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, dompet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Segera setelah file dienkripsi, ia menerima nama dan ekstensi baru.no_more_ransom. Setelah itu virus dibuat di semua disk dan desktop dokumen teks dengan nama README.txt, README1.txt, README2.txt..., yang berisi instruksi untuk mendekripsi file terenkripsi.

Ransomware no_more_ransom secara aktif menggunakan taktik intimidasi dengan menampilkan peringatan di desktop. Mencoba cara ini untuk memaksa korban tanpa ragu mengirimkan ID komputer ke alamat email pembuat virus untuk mencoba mendapatkan kembali file-nya.

Apakah komputer saya terinfeksi virus no_more_ransom ransom?

Sangat mudah untuk menentukan apakah komputer Anda terinfeksi virus no_more_ransom ransom. Jika, alih-alih file pribadi Anda, file dengan nama aneh dan ekstensi no_more_ransom muncul, maka komputer Anda terinfeksi. Selain itu, tanda infeksi adalah adanya file bernama README di direktori Anda. File ini akan berisi instruksi untuk mendekripsi file no_more_ransom. Contoh isi file tersebut diberikan di bawah ini.

File Anda telah dienkripsi.
Untuk mendekripsinya, Anda perlu mengirimkan kode:
(ID komputer)
pada alamat email [dilindungi email].
Selanjutnya Anda akan menerima semua instruksi yang diperlukan.
Upaya untuk mendekripsi sendiri tidak akan menghasilkan apa-apa selain hilangnya informasi yang tidak dapat diperbaiki lagi.
Jika Anda masih ingin mencoba, lakukan dulu cadangan file, sebaliknya untuk jaga-jaga
mengubahnya, dekripsi menjadi tidak mungkin dilakukan dalam keadaan apa pun.
Jika Anda tidak menerima tanggapan ke alamat di atas dalam waktu 48 jam (dan hanya dalam kasus ini!),
gunakan formulir umpan balik. Hal ini dapat dilakukan dengan dua cara:
1) Unduh dan instal Peramban Tor melalui tautan: https://www.torproject.org/download/download-easy.html.en
Di bilah alamat Tor Browser, masukkan alamat:

dan tekan Enter. Halaman dengan formulir umpan balik akan dimuat.
2) Di browser apa pun, buka salah satu alamat:

Semua file penting di komputer Anda dienkripsi.
Untuk mendekripsi file yang harus Anda kirim berikut ini kode:
(ID komputer)
ke alamat email [dilindungi email].
Kemudian Anda akan menerima semua instruksi yang diperlukan.
Semua upaya dekripsi sendiri hanya akan mengakibatkan hilangnya data Anda yang tidak dapat dibatalkan.
Jika Anda masih ingin mencoba mendekripsinya sendiri, harap buat cadangan terlebih dahulu karena
dekripsi menjadi tidak mungkin dilakukan jika ada perubahan di dalam file.
Jika Anda tidak menerima jawaban dari email tersebut selama lebih dari 48 jam (dan hanya dalam kasus ini!),
gunakan formulir umpan balik. Anda dapat melakukannya dengan dua cara:
1) Unduh Tor Browser dari sini:
https://www.torproject.org/download/download-easy.html.en
Instal dan ketik alamat berikut ke dalam bilah alamat:
http://cryptsen7fo43rr6.onion/
Tekan Enter dan kemudian halaman dengan formulir umpan balik akan dimuat.
2) Kunjungi salah satu alamat berikut di browser apa pun:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Bagaimana cara mendekripsi file yang dienkripsi oleh virus no_more_ransom ransom?

Saat ini tidak ada dekripsi yang tersedia untuk file .no_more_ransom. Virus ransomware berulang kali memberi tahu korbannya bahwa algoritma enkripsi yang kuat sedang digunakan. Artinya, tanpa kunci pribadi, hampir tidak mungkin mendekripsi file. Menggunakan metode pemilihan kunci juga bukan suatu pilihan, karena panjangnya kunci. Oleh karena itu, sayangnya, hanya membayar seluruh jumlah yang diminta kepada pembuat virus (9.000 rubel atau lebih) adalah satu-satunya cara untuk mencoba mendapatkan kunci dekripsi.

Sama sekali tidak ada jaminan bahwa setelah pembayaran, pembuat virus akan menghubungi Anda dan memberikan kunci yang diperlukan untuk mendekripsi file Anda. Selain itu, Anda perlu memahami bahwa dengan membayar uang kepada pengembang virus, Anda sendiri yang mendorong mereka untuk membuat virus baru.

Bagaimana cara menghapus virus no_more_ransom ransom?

Sebelum memulai, Anda perlu tahu bahwa dengan mulai menghapus virus dan mencoba memulihkan file sendiri, Anda memblokir kemampuan untuk mendekripsi file dengan membayar pembuat virus sejumlah yang mereka minta.

Alat Penghapus Virus Kaspersky (KVRT) dan Malwarebytes Anti-malware (MBAM) dapat mendeteksi jenis yang berbeda virus ransomware aktif dan akan dengan mudah menghapusnya dari komputer Anda, TAPI mereka tidak dapat memulihkan file terenkripsi.

Klik pada papan ketik Anda Kunci Windows dan R (K Rusia) secara bersamaan. Sebuah jendela kecil akan terbuka dengan judul Jalankan di mana masukkan:

Tekan Enter.

Editor Registri akan diluncurkan. Buka menu Edit dan klik Temukan. Memasuki:

Subsistem Runtime Server Klien

Tekan Enter.

Hapus parameter ini dengan mengklik kanan padanya dan memilih Hapus seperti yang ditunjukkan pada gambar di bawah. Berhati-hatilah!

Tutup Penyunting Registri.

Nyalakan kembali komputer Anda. Buka direktori C:\Documents and Settings\All Users\Application Data\Windows\ dan hapus file csrss.exe.

Unduh program HijackThis dengan mengklik tautan berikut.

Beberapa kata terakhir

Dengan mengikuti petunjuk ini, komputer Anda akan bersih dari virus no_more_ransom ransom. Jika Anda memiliki pertanyaan atau butuh bantuan, silakan hubungi kami.

, VIDEO, MUSIK dan file pribadi lainnya di .NO_MORE_RANSOM, dan mengubah nama asli menjadi kombinasi huruf dan angka acak. Namun, sebagian besar file memiliki format yang paling penting .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP jangan buka. Akuntansi 1C tidak berfungsi. Ini adalah tampilannya:

Dukungan teknis dari Kaspersky Lab, Dr.Web dan perusahaan terkenal lainnya yang mengembangkan perangkat lunak anti-virus, sebagai tanggapan atas permintaan pengguna untuk mendekripsi data, melaporkan bahwa tidak mungkin melakukan hal ini dalam waktu yang dapat diterima.

Tapi jangan terburu-buru putus asa!

Faktanya adalah, setelah menembus komputer Anda, program jahat menggunakan perangkat lunak enkripsi GPG yang sepenuhnya legal dan algoritma enkripsi populer - RSA-1024 sebagai alatnya. Karena utilitas ini digunakan di banyak tempat dan bukan merupakan virus, program antivirus mengizinkannya melewatinya dan tidak memblokir operasinya. Kunci publik dan pribadi dihasilkan untuk mengenkripsi file. Kunci pribadi dikirim ke server penyerang dan tetap terbuka di komputer pengguna. Kedua kunci diperlukan untuk mendekripsi file! Penyerang dengan hati-hati menimpa kunci pribadi di komputer yang terpengaruh. Namun hal ini tidak selalu terjadi. Selama lebih dari tiga tahun sejarah kerja sempurna, para spesialis Dr.SHIFRO Kami telah mempelajari ribuan variasi aktivitas malware, dan bahkan mungkin dalam situasi yang tampaknya tidak ada harapan lagi, kami akan dapat menawarkan solusi yang memungkinkan Anda mendapatkan kembali data Anda.

Dalam video ini Anda dapat menyaksikan pengoperasian decryptor yang sebenarnya di komputer salah satu klien kami:

Untuk menganalisis kemungkinan dekripsi, kirim 2 sampel file terenkripsi: satu teks (doc, docx, odt, txt atau rtf hingga ukuran 100 KB), grafik kedua (jpg, png, bmp, tif atau pdf hingga 3 berukuran MB). Anda juga memerlukan file catatan dari penyerang. Setelah memeriksa berkas, kami akan memberikan perkiraan biayanya. File dapat dikirim melalui email [dilindungi email] atau gunakan formulir pengiriman file di website (tombol oranye).

KOMENTAR (2)

Kami terjangkit virus CRYPTED000007. Setelah mencari metode dekripsi di Internet, kami menemukan situs ini. Spesialis dengan cepat dan menyeluruh menjelaskan apa yang perlu dilakukan. Sebagai jaminan, 5 file pengujian telah didekripsi. Mereka mengumumkan biayanya dan setelah pembayaran semuanya diuraikan dalam beberapa jam. Meskipun tidak hanya komputernya yang dienkripsi, tetapi juga penggerak jaringan. Terima kasih banyak atas bantuan Anda!

Selamat tinggal! Saya baru-baru ini mengalami situasi serupa dengan virus CRYPTED000007, yang tidak punya waktu untuk mengenkripsi semua disk, karena... Setelah beberapa waktu, saya membuka folder dengan foto tersebut dan melihat amplop kosong dan nama file dari kumpulan huruf dan angka yang berbeda, dan segera mengunduh dan meluncurkan utilitas penghapusan Trojan gratis. Virus tiba melalui pos dan ada surat yang meyakinkan bahwa saya membuka dan meluncurkan lampirannya. Komputer ini memiliki 4 hard drive yang sangat besar (terabyte). Saya menghubungi berbagai perusahaan, yang banyak terdapat di Internet dan menawarkan layanan mereka, tetapi bahkan dengan dekripsi yang berhasil, semua file akan berada di folder terpisah dan semuanya tercampur. Tidak ada yang memberikan jaminan dekripsi 100%. Saya menghubungi Kaspersky Lab dan bahkan di sana mereka tidak membantu saya..html# jadi saya memutuskan untuk menghubungi. Saya mengirim tiga foto tes dan setelah beberapa saat menerima tanggapan dengan transkrip lengkapnya. Dalam korespondensi surat saya ditawari dari jarak jauh atau di rumah. Saya memutuskan untuk melakukannya di rumah. Kami memutuskan tanggal dan waktu kedatangan spesialis. Segera dalam korespondensi, jumlah untuk decoder disepakati dan setelah dekripsi berhasil, kami menandatangani perjanjian pekerjaan dan saya melakukan pembayaran sesuai perjanjian. Mendekripsi file memerlukan banyak waktu, karena beberapa video berukuran besar. Setelah dekripsi lengkap, saya memastikan semua file saya kembali ke bentuk aslinya dan ekstensi file yang benar. Volume hard drive menjadi sama seperti sebelum terinfeksi, karena selama infeksi, disk hampir tersumbat seluruhnya. Mereka yang menulis tentang scammers, dll, saya tidak setuju dengan ini. Ini ditulis oleh pesaing karena marah, karena mereka tidak berhasil, atau oleh orang yang tersinggung oleh sesuatu. Dalam kasus saya, semuanya menjadi baik-baik saja, ketakutan saya ada di masa lalu. Saya kembali melihat foto-foto keluarga lama saya yang saya ambil sejak dulu dan video keluarga yang saya edit sendiri. Saya ingin mengucapkan terima kasih kepada perusahaan dr.Shifro dan secara pribadi kepada Igor Nikolaevich, yang membantu saya memulihkan semua data saya. Terima kasih banyak dan semoga berhasil! Segala sesuatu yang tertulis adalah pendapat pribadi saya, dan Anda sendiri yang memutuskan siapa yang harus dihubungi.

Pada akhir tahun 2016, dunia diserang oleh virus Trojan yang sangat tidak sepele yang mengenkripsi dokumen pengguna dan konten multimedia, yang disebut NO_MORE_RANSOM. Cara mendekripsi file setelah terkena ancaman ini akan dibahas lebih lanjut. Namun, perlu segera diperingatkan kepada semua pengguna yang telah diserang bahwa tidak ada teknik yang seragam. Hal ini disebabkan penggunaan salah satu yang paling canggih dan tingkat penetrasi virus ke dalam sistem komputer atau bahkan ke dalam jaringan lokal(walaupun awalnya tidak dirancang untuk dampak jaringan).

Apa itu virus NO_MORE_RANSOM dan bagaimana cara kerjanya?

Secara umum, virus itu sendiri biasanya tergolong Trojan seperti I Love You, yang menembus sistem komputer dan mengenkripsi file pengguna (biasanya multimedia). Benar, jika nenek moyangnya hanya berbeda dalam enkripsi, maka virus ini banyak meminjam dari ancaman sensasional yang disebut DA_VINCI_COD, yang menggabungkan fungsi ransomware.

Setelah terinfeksi, sebagian besar audio, video, grafik, atau dokumen kantor nama panjang dengan ekstensi NO_MORE_RANSOM diberikan, berisi kata sandi yang rumit.

Saat Anda mencoba membukanya, sebuah pesan muncul di layar yang menyatakan bahwa file tersebut dienkripsi, dan untuk mendekripsinya Anda harus membayar sejumlah tertentu.

Bagaimana ancaman memasuki sistem?

Mari kita tinggalkan dulu pertanyaan tentang cara mendekripsi file jenis apa pun di atas setelah terpapar NO_MORE_RANSOM, dan mari kita beralih ke teknologi bagaimana virus menembus sistem komputer. Sayangnya, tidak peduli bagaimana kedengarannya, metode lama yang telah terbukti digunakan untuk ini: email dengan lampiran dikirim ke alamat email, dan saat membukanya, pengguna menerima kode berbahaya.

Seperti yang bisa kita lihat, teknik ini tidak asli. Namun, pesan tersebut mungkin disamarkan sebagai teks yang tidak bermakna. Atau sebaliknya, misalnya jika kita berbicara tentang perusahaan besar, mengubah syarat-syarat suatu kontrak. Jelas bahwa pegawai biasa membuka investasi, dan kemudian mendapat hasil yang membawa malapetaka. Salah satu terobosan paling cemerlang adalah enkripsi database paket 1C yang populer. Dan ini sudah menjadi masalah yang serius.

NO_MORE_RANSOM: bagaimana cara mendekripsi dokumen?

Namun masalah utama masih layak untuk diatasi. Pasti semua orang tertarik dengan cara mendekripsi file. Virus NO_MORE_RANSOM memiliki urutan tindakannya sendiri. Jika pengguna mencoba mendekripsi segera setelah terinfeksi, masih ada cara untuk melakukannya. Jika ancaman telah tertanam kuat dalam sistem, sayangnya, hal itu tidak dapat dilakukan tanpa bantuan spesialis. Namun seringkali mereka tidak berdaya.

Jika ancaman terdeteksi tepat waktu, hanya ada satu cara - hubungi layanan dukungan perusahaan anti-virus (belum semua dokumen dienkripsi), kirim beberapa file yang tidak dapat diakses dan, berdasarkan analisis dokumen asli disimpan media yang dapat dipindahkan, coba pulihkan dokumen yang sudah terinfeksi dengan terlebih dahulu menyalin ke flash drive yang sama semua yang masih tersedia untuk dibuka (walaupun tidak ada jaminan lengkap bahwa virus belum menembus dokumen tersebut). Setelah itu, untuk memastikannya, media harus diperiksa setidaknya dengan pemindai anti-virus (Anda tidak pernah tahu).

Algoritma

Perlu juga disebutkan bahwa virus ini menggunakan algoritma enkripsi RSA-3072, yang, tidak seperti teknologi RSA-2048 yang digunakan sebelumnya, sangat rumit sehingga memilih kata sandi yang tepat, bahkan jika seluruh kontingen laboratorium anti-virus terlibat di dalamnya. ini, mungkin memakan waktu berbulan-bulan atau bertahun-tahun. Dengan demikian, pertanyaan bagaimana cara mendekripsi NO_MORE_RANSOM akan memakan waktu yang cukup lama. Namun bagaimana jika Anda perlu segera memulihkan informasi? Pertama-tama, hapus virus itu sendiri.

Apakah mungkin untuk menghapus virus dan bagaimana cara melakukannya?

Sebenarnya hal ini tidak sulit untuk dilakukan. Dilihat dari kelancangan pembuat virus, ancamannya memang besar sistem komputer tidak disamarkan. Sebaliknya, bahkan bermanfaat baginya untuk “menyingkirkan dirinya sendiri” setelah menyelesaikan tindakan yang dilakukan.

Namun demikian, pada awalnya, mengikuti jejak virus, virus ini tetap harus dinetralisir. Langkah pertama adalah menggunakan utilitas keamanan portabel seperti KVRT, Malwarebytes, Dr. Penyembuhan Web! dan sejenisnya. Harap diperhatikan: program yang digunakan untuk pengujian harus portabel (tanpa instalasi perangkat keras dijalankan secara optimal dari media yang dapat dipindahkan). Jika ditemukan ancaman, ancaman tersebut harus segera dihilangkan.

Jika tindakan tersebut tidak tersedia, Anda harus terlebih dahulu masuk ke “Task Manager” dan mengakhiri semua proses yang terkait dengan virus di dalamnya, mengurutkan layanan berdasarkan nama (biasanya ini adalah proses Runtime Broker).

Setelah menghapus tugas, Anda perlu memanggil editor registri sistem (regedit di menu "Jalankan") dan cari nama "Client Server Runtime System" (tanpa tanda kutip), lalu gunakan menu untuk menelusuri hasil "Temukan selanjutnya…” untuk menghapus semua elemen yang ditemukan. Selanjutnya, Anda perlu me-restart komputer dan memeriksa “Task Manager” untuk melihat apakah proses yang Anda cari ada di sana.

Pada prinsipnya, pertanyaan tentang bagaimana mendekripsi virus NO_MORE_RANSOM pada tahap infeksi dapat diselesaikan dengan menggunakan metode ini. Kemungkinan netralisasinya tentu saja kecil, tetapi ada peluang.

Cara mendekripsi file yang dienkripsi dengan NO_MORE_RANSOM: backup

Tetapi ada teknik lain yang hanya diketahui atau bahkan ditebak oleh sedikit orang. Intinya adalah dia sistem operasi terus-menerus membuat cadangan bayangannya sendiri (misalnya, dalam kasus pemulihan), atau pengguna dengan sengaja membuat gambar tersebut. Seperti yang ditunjukkan oleh praktik, salinan inilah yang tidak terpengaruh oleh virus (hal ini tidak diatur dalam strukturnya, meskipun tidak dikecualikan).

Jadi masalah bagaimana menguraikan NO_MORE_RANSOM adalah menggunakannya. Namun, gunakan standar Alat Windows tidak disarankan (dan banyak pengguna tidak memiliki akses ke salinan tersembunyi sama sekali). Oleh karena itu, Anda perlu menggunakan utilitas ShadowExplorer (portabel).

Untuk memulihkan, Anda hanya perlu menjalankan file yang dapat dieksekusi, mengurutkan informasi berdasarkan tanggal atau bagian, memilih salinan yang diinginkan (file, folder, atau seluruh sistem) dan menggunakan jalur ekspor melalui menu RMB. Selanjutnya, Anda cukup memilih direktori tempat salinan saat ini akan disimpan, dan kemudian menggunakan proses pemulihan standar.

Utilitas pihak ketiga

Tentu saja, untuk masalah cara menguraikan NO_MORE_RANSOM, banyak laboratorium menawarkan solusinya sendiri. Misalnya, Kaspersky Lab merekomendasikan penggunaan miliknya sendiri produk perangkat lunak Kaspersky Decryptor, disajikan dalam dua modifikasi - Rakhini dan Rector.

Perkembangan serupa seperti decoder NO_MORE_RANSOM dari Dr. juga terlihat tidak kalah menarik. jaring. Namun di sini perlu segera mempertimbangkan bahwa penggunaan program semacam itu hanya dibenarkan dalam kasus ini deteksi cepat ancaman sampai semua file telah terinfeksi. Jika virus sudah tertanam kuat di sistem (ketika file terenkripsi tidak bisa dibandingkan dengan file asli yang tidak terenkripsi), aplikasi semacam itu mungkin juga tidak berguna.

Sebagai akibat

Sebenarnya, hanya ada satu kesimpulan yang muncul: virus ini perlu dilawan secara eksklusif pada tahap infeksi, ketika hanya file pertama yang dienkripsi. Secara umum, yang terbaik adalah tidak membuka lampiran dalam pesan email yang diterima dari sumber yang meragukan (ini hanya berlaku untuk klien yang diinstal langsung di komputer - Outlook, Oulook Express, dll.). Selain itu, jika karyawan perusahaan memiliki daftar alamat klien dan mitra, membuka pesan yang “tidak pantas” menjadi sangat tidak praktis, karena kebanyakan orang menandatangani perjanjian kerahasiaan mengenai rahasia dagang dan keamanan siber saat melamar pekerjaan.