Расшифровка no_more_ransom. Вирус-шифровальщик NO_MORE_RANSOM – новая угроза личным данным Куда обратиться за гарантированной расшифровкой

Словил я на прошлой неделе такую вот противную вещь. Троян, который зашифровал все файлы расширений psd,xlsx,docx,png,jpg, rar,zip и многие другие. Расскажу поподробнее что и как было и что делать, чтобы снизить вероятность заражения таким вирусом.

Для удобства — сразу оглавление по статье.

Троян шифровщик. Как это было.

Как бывает обычно

Обычно трояны, которые шифруют ваши файлы работают по следующему принципу. Вы получаете от кого-либо или скачиваете файл. С виду обычный файл, возможно даже прописан нормальный производитель и имеется цифровая подпись. Запустив его, на первый взгляд ничего не происходит. Не открывается окна установщика, ничего…но в фоне этот троян downloader открывает так называемую backdoor. И начинается скачка трояна шифровальщика, через образованную дыру в защите вашего ПК.

Затем в ход вступает шифровальщик. Он специальным алгоритмом шифрует определённые типа данных. Чаще всего это документы Word, Excel, Базы 1С и так далее. Чаше всего на рабочем столе остаётся текстовый документ с описанием что наделал этот вирус и как восстановить файлы. Скорее всего вам предложат написать на электронную почту злоумышленнику и отправить энную сумму за восстановление данных. Восстановить данные самостоятельно наврятли получится. Для это нужен дешифратор. Но и тут не всё так просто. В интернете не так уж много инфы о восстановлении данных, да и трояны такого типа развиваются гораздо быстрее, чем создаётся лекарство к ним.

Как было у меня

У меня же всё произошло куда интереснее. Я сидел и работал за ноутом. Интернет был подключен, но я им не пользовался. Работал в сторонней программе. Писем мне никаких не приходило, да и файлов я никаких не устанавливал, не запускал. Ушёл я буквально минут на 20. Возвращаюсь и вижу там такую картину:

Ну конечно антивирусное сканирование не было запущено) Но в целом такое дело. У меня сменена заставка рабочего стола и открыт текстовый документ. Документ следующего содержания:

Ваш компьютер был атакован опаснейшим вирусом.

Вся ваша информация (документы, базы данных, архивы, бекапы и пр. файлы) были слиты с жестких дисков и зашифрованы с помощью самого криптостойкого алгоритма в мире RSA-4096.

Восстановить файлы возможно только при помощи….

(прочитаете полный текст, если интересно на скрине.)

Предлогалось написать на почту [email protected] для того чтобы получить дешифратор. Конечно же предполагалось что за определённую сумму.

Я честно говоря был просто повержен. Такой шок. Там была вся работа, все важные мне проекты и файлы. Макеты сайтов. На панике запустил сканирование антивирусом. Честно, не знаю зачем. Чисто на панике.

Пару слов о моей системе и её состоянии. Это Windows 8.1 со всеми последними апдейтами. Антивирус Eset Antivirus 8. Все клиенты удалённого доступа на момент проникновения трояна были отключены. Но тем не менее установлены AmmyAdmin и TeamViewer. RDP (удалённый рабочий стол) отключен. Фаервол — стандартный Брандмауэр Windows. Вот только Брандмауэр был отключен 🙁 (epic fail)

Полез в инет изучать проблему. И тут самое интересное.

Как восстановить зашифрованные файлы

Этот вопрос очень сильно волновал меня. Я начал перерывать инэт. Куча форумов. Везде описан троян, действующий по другому, более старому алгоритму. И то не всегда получается истребить последствия его действия. Расшифровать файлы не всегда удаётся. Есть вариант написать в поддержку DrWeb. Но если у вас нет лицензии их антивируса, то помогать они вам не станут.

Так же у Касперского есть утилиты для расшифровки зашифрованных файлов. Вот ссылочка на страницу скачки этих утилит support.kaspersky.ru/viruses/sms

После безнадёжной проверки данными утилитами написал в центр вирусной аналитики Касперского. Ответили, файлы на анализ взяли. Но одно стало точно ясно.

Как не поймать Троян шифровальщик.

Если вы уже схлопотали вирус от хакера с почтой [email protected] , то смело можете закатывать прощальную вечеринку по своим файлам. Оживить их не удастся. Так что делайте резервную копию убитых файлов (может в будущем сделают лекарство и можно будет восстановить утраченные данные), переустанавливайте Windows и мотайте на ус как свести к минимуму вероятность проникновения к вам такого троянца. Порывшись по интернету, прочитав кучу умных советов и на собственном опыте выдаю вот такие пункты по обеспечению безопасности:

1. Обновляйте систему. Прежде чем ставить самые свежие обновления Windows, почитайте о чём они и для чего. Как эти обновления повлияли на систему. Не всегда обновления от Майкрософт бывают сверхполезными. Но не запускайте. Держите систему обновлённой.
2. Фаерволл. Не отключайте брандмауэр или лучше ставьте нормальный фаерволл. Хоть стандартный FW от MicroSoft и не фонтан, но он лучше чем ничего. А ещё лучше, если вы поставите нормальный фаерволл. Я уже поставил ESET Smart Security.
3. Удалённый доступ. Не держите открытыми программы удалённого доступа, такие как Team Viewer, Ammy Admin, Radmin и прочие. Кто знает, может быть и в них уже нашли брешь! Тем более никогда не советую разрешать доступ к удалённому рабочему столу всем. Как отключить Remote Decktop найти в интернете не составит труда.
4. Пароль. Поставьте пароль на вашего пользователя. Пускай не сложный, но пароль. И заставьте винду всегда спрашивать вашего разрешения при запуске программ. Это несколько не так удобнее, но гораздо безопаснее. Настройка эта делается в центре безопасности Windows.
5. Резервные копии. Это то, что не спасёт вас от проникновения трояна, но очень выручит при утере файлов. Сливайте копии важных файлов в облако, на флешки, съёмные жёсткие диски, DVD…куда угодно. Обеспечьте хранение важной информации не только локально на вашем компьютере.

Соблюдая эти простые правила Вы сможете уменьшить вероятность проникновения на ваш компьютер вредоносного вируса и гораздо облегчите себе жизнь при утрате ценных файлов.

Семейство троянцев-вымогателей, шифрующих файлы и добавляющих к ним расширения «.xtbl» и «.ytbl», появилось в конце 2014 – начале 2015 года и довольно быстро заняло устойчивую позицию в тройке наиболее распространенных в России шифровальщиков (наравне с и ). По классификации «Лаборатории Касперского» эта угроза получила вердикт Trojan-Ransom.Win32.Shade. «Авторское» название данного шифровальщика неизвестно; другие антивирусные компании детектируют его под именами Trojan.Encoder.858, Ransom:Win32/Troldesh.

Эволюции троянца практически не наблюдается: меняются лишь формат имени зашифрованного файла, адреса C&C и набор ключей RSA.

Нам известны два основных способа доставки данного зловреда на компьютер жертвы – спам-рассылки и эксплойт-киты (в частности, Nuclear EK).

В первом случае жертва получает письмо, в которое вложен исполняемый вредоносный файл. Заражение системы происходит после попытки открыть вложение. При распространении Trojan-Ransom.Win32.Shade использовались следующие имена файлов:

• doc_dlea podpisi.com
• doc_dlea podpisi.rar
• documenti_589965465_documenti.com
• documenti_589965465_documenti.rar
• documenti_589965465_doc.scr
• doc_dlea podpisi.rar
• не подтвержден 308853.scr
• documenti dlea podpisi 05.08.2015.scr.exe
• akt sverki za 17082015.scr

Отметим, что имя файла меняется при каждой волне рассылки, и возможные варианты не ограничиваются перечисленными выше.

Второй способ распространения (эксплойт-кит) более опасен, поскольку заражение происходит без участия пользователя, когда жертва посещает скомпрометированный веб-сайт. Это может быть как сайт злоумышленников, так и вполне легальный, но взломанный ресурс. Чаще всего пользователь не знает, что сайт представляет собой какую-то опасность. Вредоносный код на сайте эксплуатирует уязвимость в браузере или его плагинах, после чего в скрытном режиме в систему устанавливается целевой троянец. В этом случае, в отличие от спам-письма, от жертвы даже не требуется запускать исполняемый файл.

После того как Trojan-Ransom.Win32.Shade попал в систему, он соединяется с C&C, располагающимся в сети Tor, рапортует о заражении и запрашивает открытый ключ RSA-3072, который впоследствии использует при шифровании файлов (как именно, рассмотрим ниже). Если вдруг соединение не удалось установить, зловред выбирает один из 100 открытых ключей, содержащихся в его теле как раз для такого случая.

Затем троянец приступает к шифрованию файлов. При поиске объектов шифрования он пользуется статическим списком расширений, представленным на скриншоте.

Когда шифрование завершено, на рабочий стол устанавливается устрашающая картинка:

Требования выкупа зловред оставляет в файлах README1.txt, …, README10.txt. Их содержимое всегда имеет один и тот же вид:

Однако, в отличие от большинства других шифровальщиков, на этом Trojan-Ransom.Win32.Shade не останавливается. Он не завершает свой процесс, а запускает бесконечный цикл, в котором запрашивает от C&C список адресов вредоносного ПО, а затем скачивает и устанавливает это ПО в систему – такой функционал характерен для ботов-загрузчиков. Нами были выявлены факты скачивания представителей семейств:

• Trojan.Win32.CMSBrute (о нём подробнее мы расскажем ниже).
• Trojan.Win32.Muref
• Trojan.Win32.Kovter
• Trojan-Downloader.Win32.Zemot

Код цикла скачивания и ожидания:

В связи с этим очень важно провести полную антивирусную проверку компьютера в случае обнаружения шифровальщика Shade (либо результатов его работы – файлов с расширениями.xtbl, .ytbl). Если не провести лечение, высока вероятность того, что система останется заражена несколькими различными вредоносными программами, скачиваемыми данным шифровальщиком.

Общие черты троянцев семейства Shade

• В каждый сэмпл зашит адрес одного сервера C&C, всего в разных образцах были найдены адреса 10 C&C серверов, 8 из которых активны в настоящее время. Все серверы расположены в сети Tor.
• Перед установкой своих обоев сохраняет старые обои в реестре.
• Обычно упакован UPX и дополнительным упаковщиком, в распакованном виде имеет размер 1817 КБ.
• На зараженном компьютере создает 10 одинаковых файлов README1.txt, … README10.txt с требованиями выкупа на русском и английском языках.
• Для шифрования содержимого каждого файла и имени каждого файла генерируется уникальный 256-битный ключ AES, шифрование осуществляется в режиме CBC с нулевым начальным вектором.
• Содержит 100 публичных ключей RSA-3072 с открытой экспонентой 65537 (всего в разных сэмплах было обнаружено 300 различных публичных ключей).
• Имеет функционал скачивания и запуска вредоносного ПО.

Криптографическая схема

Генерация id зараженного компьютера

1. Троянец получает имя компьютера (comp_name ) с помощью API-функции GetComputerName и число процессоров (num_cpu ) с помощью API-функции GetSystemInfo;
2. на основе серийного номера системного тома вычисляет 32-битную константу и конвертирует в hex-строку (vol_const );
3. получает данные о версии ОС (os_version ), разделенные символом “;” (например, “5;1;2600;1;Service Pack 3”);
4. формирует строку comp_name num_cpu vol_const os_version;
5. вычисляет MD5 от этой строки;
6. конвертирует MD5-хэш в hex-строку и берет из нее первые 20 символов. Полученный результат используется в качестве id компьютера.

Получение ключевых данных

После генерации id осуществляется попытка подключиться с C&C серверу, находящемуся в сети Tor, отправить ему id компьютера и в ответ получить публичный RSA-ключ. В случае неуспеха выбирается один из 100 зашитых в троянце публичных RSA-ключей.

Шифрование файлов

Для шифрования файлов применяется алгоритм AES-256 в режиме CBC. Для каждого кодируемого файла генерируется два случайных 256-битных ключа AES: один используется для шифрования содержимого файла, второй – для шифрования имени файла. Данные ключи помещаются в служебную структуру key_data, которая сама шифруется выбранным ключом RSA (занимает 384 байта после зашифрования) и помещается в конец кодируемого файла:

В синтаксисе языка C данную структуру можно записать следующим образом:

Троянец пытается переименовать закодированный файл, выбирая в качестве нового имени результат вычисления Base64(AES_encrypt(оригинальное имя файла)).xtbl (например, ArSxrr+acw970LFQw.xtbl ), а в случае неуспеха просто дописывает к оригинальному имени файла расширение.ytbl. В более поздних версиях перед расширением.xtbl стал приписываться id зараженного компьютера, например: ArSxrr+acw970LFQw.043C17E72A1E91C6AE29.xtbl .

В теле троянца содержится адрес одного сервера C&C. Сами серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически прилинкованного к троянцу клиента Tor.

Запрос нового публичного ключа RSA:
GET http://.onion/reg.php?i=ID &b=build &v=version &ss=stage
ID – идентификатор зараженного компьютера;
build – идентификатор конкретного сэмпла зловреда;
version – версия зловреда, были встречены версии 1 и 2;
stage обозначает этап шифрования – запрос нового публичного ключа RSA или сообщение о завершении шифрования файлов.

Сообщение об ошибке:
GET http://.onion/err.php?i=ID &b=build &v=version &err=error
error – base64-закодированное сообщение о произошедшей при шифровании ошибке.

Сводка о текущей стадии работы шифровальщика:
GET http://.onion/prog.php?i=ID &b=build &v=version &ss=stage &c=count &f=finish
count – текущее количество зашифрованных файлов;
finish – флаг окончания шифрования.

Информация о системе:
POST http://.onion/sys.php?i=ID &b=build &v=version &ss=stage &c=count &k=key_number &si=info
key_number – номер выбранного ключа RSA (в случае, если ключ не был получен от сервера, а был выбран из содержащихся в теле зловерда);
info – информация, полученная с зараженного компьютера:

• Имя компьютера
• Имя пользователя
• IP-адрес
• Домен компьютера
• Список логических дисков
• Версия ОС Windows
• Список установленного ПО

1. Запрос списка URL-адресов, с которых требуется скачать и запустить дополнительное вредоносное ПО:
   GET http://.onion/cmd.php?i=ID &b=build &v=version

Распространение шифровальщика

Партнерская программа

Код, который пользователям предлагается отправить по электронной почте злоумышленникам, может иметь вид ID|0 в случае, если публичный ключ был получен с C&C сервера, или ID|key_number|build|version в случае, если был выбран один из зашитых в сэмпл публичных ключей RSA с номером key_number . ID обозначает идентификатор зараженного компьютера, а два числа build и version обозначают ID конкретного сэмпла и версию шифровальщика соответственно.

При анализе образцов зловреда нами были обнаружены различные комбинации значений build, адресов почты для связи пользователей со злоумышленниками и адресов C&C. Разным значениям build соответствуют разные почтовые адреса, при этом один и тот же C&C может обслуживать несколько разных сэмплов:

Мы зафиксировали распространение разных сэмплов двух версий шифровальщика. При этом каждому конкретному образцу одной и той же версии зловреда соответствовала уникальная комбинация build-email (ID конкретного сэмпла и адреса для связи со злоумышленниками).

Хотя объявлений о партнерстве найдено не было, на основе этих данных мы можем предположить, что распространение троянца и прием выкупа осуществляются через партнерскую сеть. Вероятно, ID сэмплов (значение build) и разные почтовые адреса соответствуют различным партнерам-распространителям данного вредоносного ПО.

География

Наиболее распространены случаи заражения данным троянцем на территории России, Украины и Германии. По данным KSN, география распространения Trojan-Ransom.Win32.Shade выглядит следующим образом.

Загружаемое вредоносное ПО: троянец-брутфорсер паролей к веб-сайтам

Среди вредоносных программ, которые скачивает Trojan-Ransom.Win32.Shade, встречается троянец-брутфорсер паролей к web-сайтам. По своей внутренней организации брутфорсер очень напоминает самого шифровальщика – наиболее вероятно, он является проектом тех же авторов. Скачиваемый зловред получил вердикт Trojan.Win32.CMSBrute.

Общие черты семейства CMSBrute

• Написан на C++ с применением STL и собственных классов.
• Статически слинкован с клиентом Tor.
• Использует библиотеки boost (threads), curl, OpenSSL.
• В каждый сэмпл зашит адрес одного сервера C&C, всего в разных сэмплах были найдены адреса трех C&C серверов. Все C&C находятся в сети Tor, они отличаются от адресов, встреченных в образцах Trojan-Ransom.Win32.Shade.
• Все строки (вместе с именами импортируемых функций) зашифрованы алгоритмом AES, расшифровываются при старте программы, после чего происходит динамическое заполнение таблицы импорта.
• Обычно упакован UPX, в распакованном виде имеет размер 2080-2083 КБ.
• Копирует себя в одну из директорий диска C с именем csrss.exe.
• Скачивает дополнительные dll-плагины. Плагины содержат код для определения установленной системы управления контентом (CMS) на атакуемом веб-сайте, поиска админ-панели и подбора паролей. Были обнаружены плагины, поддерживающие сайты на основе Joomla , WordPress и DataLife Engine .

Коммуникация с командным сервером

В каждом образце Trojan.Win32.CMSBrute содержится адрес одного сервера C&C. Серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически прилинкованного к троянцу клиента Tor.

Сэмпл отправляет следующие запросы на C&C сервер:

Регистрация нового бота:
GET http://.onion/reg.php?n=ID &b=build &v=version &sf=stage
ID – идентификатор зараженного компьютера; вычисляется по алгоритму, незначительно отличающемуся от такового в шифровальщике Shade;
build – идентификатор конкретного сэмпла зловреда; был встречен только build 1;
version – версия зловреда; была встречена только версия 1;
stage – этап работы троянца.

Запрос на получение URL-адресов для скачивания или обновления плагинов-dll
GET http://.onion/upd.php?n=ID &b=build &v=version &p=plugins

Запрос задания на определение CMS на сайте и проверки логинов и паролей:
GET http://.onion/task.php?n=ID &b=build &v=version &p=plugins
plugins – версии установленных плагинов-dll.
Ответ от сервера приходит в формате json и содержит адреса атакуемых сайтов и словарь для подбора паролей.

Отправка отчета о брутфорсе:
POST http://.onion/rep.php?n=ID &b=build &v=version &rep=report
report – json-строка, содержащая отчет о найденных СMS на веб-сайте и подобранных логинах и паролях от админ-панели.

В случае Trojan-Ransom.Win32.Shade актуальны все ставшие уже традиционными советы по противодействию шифровальщикам. Подробные инструкции можно найти по адресам:
https://support.kaspersky.ru/12015#block2
https://support.kaspersky.ru/viruses/common/10952

Если компьютер уже пострадал от данного троянца, чрезвычайно важно провести полное сканирование и лечение антивирусным продуктом, т.к. Trojan-Ransom.Win32.Shade скачивает и устанавливает в скомпрометированную систему вредоносное ПО нескольких различных семейств, указанных в начале статьи.

Приложение

При подготовке статьи исследованы следующие образцы:

, ВИДЕО , МУЗЫКИ и других личных файлов на .NO_MORE_RANSOM , а оригинальное название меняет на случайное сочетание букв и цифр. При этом большинство файлов самых важных форматов .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP не открываются. Бухгалтерия 1С не работает. Вот как это выглядит:

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно.

Но не спешите отчаиваться!

Дело в том, что, проникнув на Ваш компьютер, зловредная программа использует в качестве инструмента совершенно легальное ПО для шифрования GPG и популярный алгоритм шифрования - RSA-1024. Так как эта утилита много где используется и не является вирусом сама по себе, антивирусы пропускают и не блокируют ее работу. Формируется открытый и закрытый ключ для шифрования файлов. Закрытый ключ отправляется на сервер злоумышленников, открытый остается на компьютере пользователя. Для дешифрации файлов необходимы оба ключа! Закрытый ключ злоумышленники тщательно затирают на пораженном компьютере. Но так происходит не всегда. За более чем трёхлетнюю историю безупречной работы специалисты Dr.SHIFRO изучили тысячи вариаций деятельности зловредов, и, возможно, даже в, казалось бы, безнадёжной ситуации мы сможем предложить решение, которое позволит вернуть Ваши данные.

На этом видео Вы можете посмотреть реальную работу дешифратора на компьютере одного из наших клиентов:

Для анализа возможности расшифровки пришлите 2 образца зашифрованных файлов: один текстовый (doc, docx, odt, txt или rtf размером до 100 Кб), второй графический (jpg, png, bmp, tif или pdf размером до 3 Мб). Еще необходим файл-записка от злоумышленников. После исследования файлов мы сориентируем Вас по стоимости. Файлы можно прислать на почту [email protected] или воспользоваться формой отправки файлов на сайте (оранжевая кнопка).

КОММЕНТАРИИ (2)

Подхватили вирус NCOV. После поиска в интернете метода расшифровки нашли данный сайт. Специалист быстро и подробно описал что нужно сделать. Для гарантии расшифровали 5 пробных файлов. Озвучили стоимость и после оплаты все расшифровали в течении нескольких часов. Хотя зашифрован был не только компьютер но и сетевой диск. Спасибо огромное за помощь!

Доброго времени суток! У меня была совсем недавно аналогичная ситуация с вирусом NCOV, который не успел все диски зашифровать, т.к. через какое то время открыл папку с фото и увидел пустой конверт и название файла из разного набора букв и цифр и сразу же скачал и запустил бесплатную утилиту по удалению Троянов. Вирус пришел по почте и было убедительное письмо, которое я открыл и запустил вложение. Жестких дисков на компьютере установлено 4 очень больших размеров (терабайтов). Обращался в различные компании, которых в интернете полно и которые предлагают свои услуги, но даже при удачной расшифровке все файлы будут лежать в отдельной папке и все перемешаны. Гарантии на 100% расшифровку никто не даёт. Были обращения в Лабораторию Касперского и даже там мне не помогли..html# и решил обратиться. Отправил три пробные фотографии и через время получил ответ с полной их расшифровкой. В почтовой переписке мне было предложено или удаленно или с выездом на дом. Я решил, что бы на дому. Определились по дате и времени приезда специалиста. Сразу в переписке была оговорена сумма за дешифратор и после удачной расшифровки мы подписали договор о выполнении работ и я произвел оплату,согласно договора. Расшифровка файлов заняла очень много времени,так как некоторые видеоролики было большого размера. После полной расшифровки я убедился, что все мои файлы приняли первоначальный вид и правильное расширения файла. Объем жестких дисков стал как и было до их заражения, так как во время заражения диски были забиты почти полностью. Те, кто пишут про мошенников и т.д., я с этим не согласен. Это пишут или конкуренты от злобы, что у них ничего не получается или на что то обиженные люди. В моем случае всё получилось отлично, мои опасения в прошлом. Я снова увидел свои давние семейные фотографии, которые я снимал с давних времен и семейные видеоролики, которые сам монтировал. Хочу сказать слова благодарности компании dr.Shifro и лично Игорю Николаевичу, который мне помог восстановить все мои данные. Спасибо Вам огромное и удачи! Всё что написано,это мое личное мнение, а Вы сами решайте к кому обращаться.

В конце 2016 года мир был атакован весьма нетривиальным вирусом-трояном, шифрующим пользовательские документы и мультимедиа-контент, получившим название NO_MORE_RANSOM. Как расшифровать файлы после воздействия этой угрозы, далее и будет рассмотрено. Однако сразу стоит предупредить всех пользователей, подвергшихся атаке, что единой методики нет. Это связано и с использованием одного из самых продвинутых и со степенью проникновения вируса в компьютерную систему или даже в локальную сеть (хотя изначально на сетевое воздействие он и не рассчитан).

Что за вирус NO_MORE_RANSOM и как он работает?

Вообще, сам вирус принято относить к классу троянов типа I Love You, которые проникают в компьютерную систему и шифруют файлы пользователя (обычно это мультимедиа). Правда, если прародитель отличался только шифрованием, то этот вирус очень многое позаимствовал у некогда нашумевшей угрозы под названием DA_VINCI_COD, совместив в себе еще и функции вымогателя.

После заражения большинству файлов аудио, видео, графики или офисных документов присваивается длиннющее имя с расширением NO_MORE_RANSOM, содержащее сложный пароль.

При попытке их открытия на экране появляется сообщение о том, что файлы зашифрованы, а для произведения дешифрования нужно заплатить некоторую сумму.

Как угроза проникает в систему?

Оставим пока в покое вопрос о том, как после воздействия NO_MORE_RANSOM расшифровать файлы любого из вышеуказанных типов, а обратимся к технологии проникновения вируса в компьютерную систему. К сожалению, как бы ни звучало, для этого используется старый проверенный способ: на адрес электронной почты приходит письмо с вложением, открывая которое, пользователь и получает срабатывание вредоносного кода.

Оригинальностью, как видим, эта методика не отличается. Однако сообщение может быть замаскировано под ничего не значащий текст. Или, наоборот, например, если речь идет о крупных компаниях, - под изменение условий какого-то контракта. Понятно, что рядовой клерк открывает вложение, а далее и получает плачевный результат. Одной из самых ярких вспышек стало шифрование баз данных популярного пакета 1С. А это уже дело серьезное.

NO_MORE_RANSOM: как расшифровать документы?

Но все же стоит обратиться к главному вопросу. Наверняка всех интересует, как расшифровать файлы. Вирус NO_MORE_RANSOM имеет свою последовательность действий. Если пользователь пытается произвести дешифрование сразу же после заражения, сделать это еще кое-как можно. Если же угроза обосновалась в системе прочно, увы, без помощи специалистов здесь не обойтись. Но и они зачастую оказываются бессильны.

Если угроза была обнаружена своевременно, путь только один - обратиться в службы поддержки антивирусных компаний (пока еще не все документы были зашифрованы), отправить пару недоступных для открытия файлов и на основе анализа оригиналов, сохраненных на съемных носителях, попытаться восстановить уже зараженные документы, предварительно скопировав на ту же флешку все, что еще доступно для открытия (хотя полной гарантии того, что вирус не проник в такие документы, тоже нет). После этого для верности носитель нужно обязательно проверить хотя бы антивирусным сканером (мало ли что).

Алгоритм

Отдельно стоит сказать и о том, что вирус для шифрования использует алгоритм RSA-3072, который, в отличие от ранее применявшейся технологии RSA-2048, является настолько сложным, что подбор нужного пароля, даже при условии, что этим будет заниматься весь контингент антивирусных лабораторий, может занять месяцы и годы. Таким образом, вопрос того, как расшифровать NO_MORE_RANSOM, потребует достаточно больших временных затрат. Но что делать, если восстановить информацию нужно немедленно? Прежде всего - удалить сам вирус.

Можно ли удалить вирус и как это сделать?

Собственно, сделать это нетрудно. Судя по наглости создателей вируса, угроза в компьютерной системе не маскируется. Наоборот - ей даже выгодно «самоудалиться» после окончания произведенных действий.

Тем не менее поначалу, идя на поводу у вируса, его все-таки следует нейтрализовать. Первым делом необходимо использовать портативные защитные утилиты вроде KVRT, Malwarebytes, Dr. Web CureIt! и им подобные. Обратите внимание: применяемые для проверки программы должны быть портативного типа в обязательном порядке (без установки на жесткий диск с запуском в оптимальном варианте со съемного носителя). Если угроза будет обнаружена, ее следует немедленно удалить.

Если таковые действия не предусмотрены, необходимо сначала зайти в «Диспетчер задач» и завершить в нем все процессы, связанные с вирусом, отсортировав службы по названию (как правило, это процесс Runtime Broker).

После снятия задачи нужно вызвать редактор системного реестра (regedit в меню «Выполнить») и задать поиск по названию «Client Server Runtime System» (без кавычек), после чего используя меню перемещения по результатам «Найти далее…», удалить все найденные элементы. Далее нужно произвести перезагрузку компьютера и поверить в «Диспетчере задач», нет ли там искомого процесса.

В принципе, вопрос того, как расшифровать вирус NO_MORE_RANSOM еще на стадии заражения, может быть решен и таким методом. Вероятность его нейтрализации, конечно, невелика, но шанс есть.

Как расшифровать файлы, зашифрованные NO_MORE_RANSOM: резервные копии

Но есть еще одна методика, о которой мало кто знает или даже догадывается. Дело в том, что сама операционная система постоянно создает собственные теневые резервные копии (например, на случай восстановления), или пользователь намеренно создает такие образы. Как показывает практика, именно на такие копии вирус не воздействует (в его структуре это просто не предусмотрено, хотя и не исключено).

Таким образом, проблема того, как расшифровать NO_MORE_RANSOM, сводится к тому, чтобы использовать именно их. Однако применять для этого штатные средства Windows не рекомендуется (а многие пользователи к скрытым копиям не получат доступа вообще). Поэтому применять нужно утилиту ShadowExplorer (она является портативной).

Для восстановления нужно просто запустить исполняемый отсортировать информацию по датам или разделам, выбрать нужную копию (файла, папки или всей системы) и через меню ПКМ использовать строку экспорта. Далее просто выбирается директория, в которой будет сохранена текущая копия, а затем используется стандартный процесс восстановления.

Сторонние утилиты

Конечно, к проблеме того, как расшифровать NO_MORE_RANSOM, многие лаборатории предлагают свои собственные решения. Так, например, «Лаборатория Касперского» рекомендует использовать собственный программный продукт Kaspersky Decryptor, представленный в двух модификациях - Rakhini и Rector.

Не менее интересно выглядят и аналогичные разработки вроде дешифратора NO_MORE_RANSOM от Dr. Web. Но тут стоит сразу же учесть, что применение таких программ оправдано только в случае быстрого обнаружения угрозы, пока еще не были заражены все файлы. Если же вирус обосновался в системе прочно (когда зашифрованные файлы просто невозможно сравнить с их незашифрованными оригиналами), и такие приложения могут оказаться бесполезными.

Как итог

Собственно, вывод напрашивается только один: бороться с этим вирусом необходимо исключительно на стадии заражения, когда происходит шифрование только первых файлов. А вообще, лучше всего не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников (это касается исключительно клиентов, установленных непосредственно на компьютере - Outlook, Oulook Express и др.). К тому же если сотрудник компании имеет в своем распоряжении список адресов клиентов и партнеров, открытие «левых» сообщений становится совершенно нецелесообразным, поскольку большинство при приеме на работу подписывает соглашения о неразглашении коммерческой тайны и кибербезопасности.

В конце 2016 года был замечен новый вирус-шифровальщик – NO_MORE_RANSOM. Такое длинное название он получил из-за расширения, которое присваивает файлам пользователя.

Очень многое перенял у других вирусов, например у da_vinci_cod. Так как появился в Сети недавно, антивирусные лаборатории еще не смогли расшифровать его код. Да и сделать в ближайшее время это вряд ли смогут – используется улучшенный алгоритм шифровки. Итак, разберемся, что делать, если ваши файлы зашифрованы с расширением «no_more_ransom».

Описание и принцип работы

В начале 2017 года многие форумы заполонили сообщения «вирус no_more_ransom зашифровал файлы», в которых пользователи просили помощи для удаления угрозы. Атаке подверглись не только частные компьютеры, но и целые организации (особенно те, в которых используются базы 1С). Ситуация у всех пострадавших примерно одинаковая: открыли вложение из электронного письма, через некоторое время файлы получили расширение No_more_ransom. Вирус-шифровальщик при этом без проблем обходил все популярные антивирусные программы.

Вообще, по принципу заражения No_more_ransom ничем не отличим от своих предшественников:

Как вылечить или удалить вирус No_more_ransom

Важно понимать, что после того, как вы начнете самостоятельно No_more_ransom, потеряете возможность восстановить доступ к файлам при помощи пароля злоумышленников. Можно ли восстановить файл после No_more_ransom? На сегодняшний день нет на 100% рабочего алгоритма расшифровки данных. Исключением становятся только утилиты от известных лабораторий, но подбор пароля занимает очень много времени (месяцы, годы). Но о восстановлении чуть ниже. Для начала разберемся, как определить троян no more ransom (перевод – «нет больше выкупа») и побороть его.

Как правило, установленное антивирусное ПО пропускает шифровальщики на компьютер – часто выходят новые версии, для которых попросту не успевают выпускать базы. Вирусы этого типа довольно просто удаляются с компьютера, ведь мошенникам и не нужно, чтобы они оставались в системе, выполнив свою задачу (шифрование). Для удаления можно воспользоваться уже готовыми утилитами, которые распространяются бесплатно:

Пользоваться ими очень просто: запускаем, выбираем диски, жмем «Начать проверку». Остается лишь ждать. После появится окошко, в котором будут отображены все угрозы. Жмем «Удалить».

Скорее всего, одна из этих утилит удалит вирус-шифровальщик. Если этого не произошло, то необходимо удаление вручную:

Если быстро заметите вирус, успев его удалить, то есть шанс, что часть данных не будет зашифрована. Лучше сохранить файлы, которые не подверглись атаке, на отдельный накопитель.

Утилиты-дешифровщики для расшифровки файлов «No_more_ransom»

Подобрать код самостоятельно просто невозможно, если только вы не продвинутый хакер. Для расшифровки потребуются специальные утилиты. Сразу скажу, что далеко не всем удастся расшифровка зашифрованного файла типа «No_more_ransom». Вирус новый, поэтому подбор пароля - очень сложная задача.

Итак, первым делом пробуем восстановить данные из теневых копий. По умолчанию операционная система, начиная с Windows 7, регулярно сохраняет копии ваших документов. В некоторых случаях вирусу не под силу удалить копии. Поэтому скачиваем бесплатную программу ShadowExplorer. Устанавливать ничего не придется – нужно просто распаковать.

Если вирус не удалил копии, то есть вероятность восстановить порядка 80-90% зашифрованной информации.

Программы-дешифраторы для восстановления файлов после вируса No_more_ransom предлагают и известные антивирусные лаборатории. Правда, не стоит рассчитывать, что эти утилиты сумеют восстановить ваши данные. Шифровальщики постоянно совершенствуются, а специалисты попросту не успевают выпускать обновления для каждой версии. Отправляйте образцы в техническую поддержку антивирусных лабораторий, чтобы помочь разработчикам.

Для борьбы с No_more_ransom есть Kaspersky Decryptor. Утилита представлена в двух версиях с приставками и Rakhni (о них на нашем сайте есть отдельные статьи). Для борьбы с вирусом и расшифровки файлов необходимо просто запустить программу, выбрав места проверки.

Помимо этого, требуется указать один из заблокированных документов, чтобы утилита занялась подбором пароля.

Можно бесплатно скачать и лучший дешифратор No_more_ransom от Dr. Web. Утилита называется matsnu1decrypt. Работает по схожему сценарию с программами от Kaspersky. Достаточно запустить проверку и дождаться окончания.