, VIDÉO, MUSIQUE et autres fichiers personnels sur .NO_MORE_RANSOM, et modifie le nom d'origine en une combinaison aléatoire de lettres et de chiffres. Cependant, la plupart des fichiers des formats les plus importants .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP ne pas ouvrir. Comptabilité 1C ne marche pas. Voici à quoi cela ressemble :

Le support technique de Kaspersky Lab, Dr.Web et d'autres sociétés bien connues développant des logiciels antivirus, en réponse aux demandes des utilisateurs pour décrypter les données, rapporte qu'il est impossible de le faire dans un délai acceptable.

Mais ne vous précipitez pas au désespoir !

Le fait est qu'après avoir pénétré dans votre ordinateur, le programme malveillant utilise comme outil un logiciel de cryptage GPG tout à fait légal et l'algorithme de cryptage populaire - RSA-1024. Étant donné que cet utilitaire est utilisé dans de nombreux endroits et n'est pas un virus en soi, les programmes antivirus lui permettent de passer et ne bloquent pas son fonctionnement. Une clé publique et privée est générée pour crypter les fichiers. La clé privée est envoyée au serveur des attaquants, tandis que la clé publique reste sur l'ordinateur de l'utilisateur. Les deux clés sont nécessaires pour décrypter les fichiers ! Les attaquants écrasent soigneusement la clé privée de l'ordinateur concerné. Mais cela n'arrive pas toujours. Depuis plus de trois ans d'histoire de travail impeccable, des spécialistes Dr SHIFRO Nous avons étudié des milliers de variations dans les activités des logiciels malveillants, et peut-être même dans une situation apparemment désespérée, nous serons en mesure de proposer une solution qui vous permettra de récupérer vos données.

Dans cette vidéo, vous pouvez voir le fonctionnement réel du décrypteur sur l'ordinateur d'un de nos clients :

Pour analyser la possibilité de décryptage, envoyez 2 échantillons de fichiers cryptés : un texte (doc, docx, odt, txt ou rtf jusqu'à 100 Ko), le deuxième graphique (jpg, png, bmp, tif ou pdf jusqu'à 3 Mo en taille). Vous avez également besoin d'un fichier de notes des attaquants. Après examen des dossiers, nous vous donnerons une estimation du coût. Les fichiers peuvent être envoyés par email [email protégé] ou utilisez le formulaire de dépôt de dossier sur le site Internet (bouton orange).

COMMENTAIRES (2)

Nous avons attrapé le virus CRYPTED000007. Après avoir recherché sur Internet une méthode de décryptage, nous avons trouvé ce site. Le spécialiste a décrit rapidement et en détail ce qui devait être fait. Pour garantir, 5 fichiers de test ont été décryptés. Ils ont annoncé le prix et après paiement, tout a été déchiffré en quelques heures. Bien que non seulement l'ordinateur soit crypté, mais également le lecteur réseau. Merci beaucoup pour votre aide!

Bonne journée! J'ai récemment eu une situation similaire avec le virus CRYPTED000007, qui n'a pas eu le temps de chiffrer tous les disques, car... Après un certain temps, j'ai ouvert le dossier contenant la photo et j'ai vu une enveloppe vide et un nom de fichier composé d'un ensemble différent de lettres et de chiffres, puis j'ai immédiatement téléchargé et lancé l'utilitaire gratuit de suppression des chevaux de Troie. Le virus est arrivé par la poste et il y avait une lettre convaincante que j'ai ouverte et lancée en pièce jointe. L'ordinateur dispose de 4 très gros disques durs (téraoctets). J'ai contacté diverses sociétés, qui sont nombreuses sur Internet et qui proposent leurs services, mais même avec un décryptage réussi, tous les fichiers seront dans un dossier séparé et tous mélangés. Personne ne garantit un décryptage à 100 %. J'ai contacté Kaspersky Lab et même là, ils ne m'ont pas aidé..html# alors j'ai décidé de contacter. J'ai envoyé trois photos de test et après un certain temps, j'ai reçu une réponse avec une transcription complète de celles-ci. Dans la correspondance postale, on m'a proposé soit à distance, soit à domicile. J'ai décidé de le faire à la maison. Nous avons décidé de la date et de l’heure de l’arrivée du spécialiste. Immédiatement dans la correspondance, le montant du décodeur a été convenu et après un décryptage réussi, nous avons signé un accord sur les travaux et j'ai effectué le paiement conformément à l'accord. Le décryptage des fichiers a pris beaucoup de temps, car certaines vidéos étaient volumineuses. Après un décryptage complet, je me suis assuré que tous mes fichiers avaient retrouvé leur forme d'origine et la bonne extension de fichier. La capacité des disques durs est devenue la même qu’avant l’infection, car lors de l’infection, les disques étaient presque complètement pleins. Ceux qui écrivent sur les escrocs, etc., je ne suis pas d'accord avec cela. Ceci est écrit soit par des concurrents par colère, parce qu'ils ne réussissent pas, soit par des personnes offensées par quelque chose. Dans mon cas, tout s'est bien passé, mes craintes appartiennent au passé. J'ai revu mes anciennes photos de famille que j'avais prises il y a longtemps et des vidéos de famille que j'avais moi-même montées. Je tiens à exprimer ma gratitude à la société dr.Shifro et personnellement à Igor Nikolaevich, qui m'a aidé à restaurer toutes mes données. Merci beaucoup et bonne chance! Tout ce qui est écrit est mon opinion personnelle et vous décidez à qui contacter.

Ce n’est désormais un secret pour personne que tous les types de crimes existants ont été transférés sur Internet. Il s’agit notamment du cyberespionnage, du cyberterrorisme, de la cyberfraude, du cybervol et, selon le thème de ce blog, de la cyberextorsion et du cyberchantage.

En Russie, on a longtemps voulu assimiler la cybercriminalité à des vols, en augmentant les sanctions, mais cette question a été soulevée à l'instigation des structures bancaires, qui ne seraient pas autorisées à vivre aux mains des pirates. C'est peut-être comme ça. Qui parle de quoi, et les banques parlent de hackers...

Le prochain projet de loi mentionne également le téléchargement de programmes sans licence et de « chefs-d’œuvre » audio-vidéo de l’industrie moderne des « chefs-d’œuvre », qui se déversent déjà sur nous comme un baquet d’eau sale. Une fois de plus, c'est une chasse aux sorcières, et non aux vrais cybercriminels, qui se sont répandus comme une peste sur le World Wide Web et ont touché toutes les familles de tous les pays du monde ayant accès à Internet.

Oui, je parle du fléau de l'extorsion : crypto-ransomwares, chiffreurs, bloqueurs et toutes sortes de contrefaçons, c'est-à-dire des programmes qui prétendent être des crypteurs, des bloqueurs, des programmes qui proposent du « nettoyage » moyennant des frais, mais cela ne les empêche pas d'être des extorsionnistes. Leurs créateurs publient ouvertement leurs « créations » sur Internet, sans crainte des forces de l'ordre, de la mafia criminelle, de la police locale, d'Europol et d'Interpol. Ils font de la publicité, ils sont annoncés et promus dans les résultats de recherche des systèmes automatisés Google et Yandex.

C’est contre qui les lois sur la cybercriminalité doivent se battre, c’est contre qui la police doit arrêter en premier, Europol, Interpol et la Direction « K » doivent le découvrir ! J’aimerais croire que des travaux dans ce sens se font jour et nuit, mais le fait est clair : l’extorsion et l’extorsion cryptographique sont devenues le fléau et le fléau d’Internet, tel un rouleau compresseur écrasant les épidémies virales classiques.

À propos, selon mes informations, la plus grande quantité de Ransomware est produite en Ukraine, en Moldavie et en Roumanie, si l'on ne prend pas en compte les régions de l'Est et du Sud de l'Asie, où il existe un pourcentage et un niveau complètement différents et plus élevés. extorsion et attaques de pirates informatiques. Certaines attaques d'extorsion en provenance d'Ukraine, de Moldavie et de Roumanie visent la Russie, les entreprises et les utilisateurs russophones, tandis que d'autres ciblent les États-Unis, l'Europe et les utilisateurs anglophones.

Au cours des deux dernières années, les utilisateurs d'ordinateurs sont devenus beaucoup plus susceptibles d'être confrontés à des ransomwares, de faux ransomwares, des bloqueurs de ransomwares et d'autres exigeant une rançon pour récupérer l'accès aux fichiers qu'ils ont chiffrés et rendus illisibles, bloqués et rendus inaccessibles, déplacés, cachés, supprimé... Comment est-ce devenu possible ?

L’époque où la distribution de logiciels malveillants relevait de la responsabilité d’un criminel ou d’un programmeur novice est révolue depuis longtemps.De nos jours, les cybercriminels travaillent le plus souvent en équipe, car... un tel travail en commun apporte plus de profit. Par exemple, avec le développement d'un modèle commercial d'extorsion (RaaS) basé sur le paiement d'une rançon en bitcoins, un groupe peut fournir une assistance technique, rédiger des recommandations et, par chat ou par courrier électronique, indiquer aux nouvelles victimes comment et où elles peuvent acheter, échanger, transférer. Bitcoins pour le paiement ultérieur d'une rançon. Un autre groupe développe, met à jour et débogue des ransomwares. Le troisième groupe fournit le couvert et l'hébergement. Le quatrième groupe travaille avec C&C et administre travail depuis le centre de commande. Le cinquième traite des questions financières et travaille avec des partenaires. Le sixième compromet et infecte les sites... Avec le développement du RaaS, plus les ransomwares sont complexes et répandus, plus les équipes impliquées et les processus qu'elles exécutent sont nombreux.

Face à une attaque de crypto-ransomware, les victimes sont confrontées à une question difficile : doivent-elles payer la rançon ? ou Dites adieu aux fichiers ? Pour garantir leur anonymat, les cybercriminels utilisent le réseau Tor et demandent une rançon en cryptomonnaie Bitcoin. En juin 2016, l'équivalent monétaire de 1 BTC dépassait déjà 60 000 roubles et ne diminuerait pas. Malheureusement, après avoir décidé de payer, les victimes financent involontairement de nouvelles activités d'extorsion de cybercriminels, dont l'appétit grandit à pas de géant, et à chaque nouveau paiement, elles sont convaincues de leur impunité.

Regarder " Top 100 des adresses Bitcoin les plus riches et distribution Bitcoin"La plupart des millionnaires riches en cryptomonnaies sont devenus tels par des méthodes illégales, voire criminelles.

Comment être? Aujourd'hui, il n'existe pas d'outil universel pour décrypter les données ; il existe uniquement des utilitaires distincts créés et adaptés à des chiffreurs spécifiques. Par conséquent, comme principale protection, des mesures sont recommandées pour prévenir l’infection par des ransomwares, dont la principale estProtection antivirus à jour. Sensibiliser les utilisateurs à ces mesures et aux menaces posées par les ransomwares et les ransomwares est également très important.Notre blog a été créé à cet effet.Ici, des informations sont collectées sur chaque ransomware, faux cryptographe ou bloqueur se faisant passer pour un ransomware.

Dans mon deuxième blog " Décrypteurs de fichiers"Depuis mai 2016, les informations sur les décrypteurs créés pour le décryptage gratuit des fichiers cryptés par Crypto-Ransomware ont été résumées. Toutes les descriptions et instructions sont publiées en russe pour la première fois. Vérifiez régulièrement.

Dans le but d'une assistance professionnelle, à l'été 2016, Kaspersky Lab, Intel Security, Europol et la police néerlandaise ont organisé un projet commun " Plus de rançon", visant à lutter contre les ransomwares. Les participants au projet ont créé un site WeboMoreRansom.org, contenant des informations générales sur les ransomwares (en anglais), ainsi que des outils gratuits pour récupérer des données cryptées. Au début, il n'existait que 4 outils de ce type proposés par LC et McAfee.Au jour de la rédaction de cet article, ils étaient déjà 7et la fonctionnalité a été encore étendue.

Il est à noter que ce projet n'a été réalisé qu'en décembre complété un groupe de décrypteurs décrits depuis longtemps dans mes blogs « Ransomware Encryptors » et « File Decryptors ».

Plus de rançon !
Mise à jour du 15 décembre 2016 :
D'autres sociétés qui avaient précédemment publié d'autres décrypteurs ont rejoint le projet. Il existe désormais déjà 20 utilitaires (certains même deux) :
WildFire Decryptor - de Kaspersky Lab et Intel Security
Chimera Decryptor - de Kaspersky Lab
Décrypteur Teslacrypt - de Kaspersky Lab et Intel Security
Shade Decryptor - de Kaspersky Lab et Intel Security
Décrypteur CoinVault - de Kaspersky Lab
Décrypteur Rannoh - de Kaspersky Lab
Décrypteur Rakhni - de Kaspersky Lab
Décrypteur de puzzle - de Check Point
Décrypteur de fichiers Trend Micro Ransomware - par Trend Micro
Décrypteur NMoreira - d'Emsisoft
Décrypteur Ozozalocker - d'Emsisoft
Décrypteur de globe - d'Emsisoft
Décrypteur Globe2 - d'Emsisoft
Décrypteur FenixLocker - d'Emsisoft
Décrypteur de Philadelphie - par Emsisoft
Stampado Décrypteur - d'Emsisoft
Décrypteur Xorist - d'Emsisoft
Décrypteur Nemucod - d'Emsisoft
Décrypteur Gomasom - d'Emsisoft
Décrypteur Linux.Encoder - de BitDefender
Désormais, « No More Ransom » est composé de représentants de 22 pays.

Bonne chance pour le décryptage !!!

Ne payez pas la rançon ! Sois prêt! Protégez vos données ! Faites des sauvegardes ! Profitant de ce moment, je vous le rappelle : l'extorsion est un crime, pas un jeu ! Ne jouez pas à ces jeux.
© Amigo-A (Andrew Ivanov) : Tous les articles du blog

Virus No_more_ransom est un nouveau virus ransomware, une continuation de la célèbre série de virus, qui comprend better_call_saul et da_vinci_code. Comme ses versions précédentes, ce virus ransomware se propage via des messages spam. Chacun de ces e-mails contient un fichier joint - une archive, qui contient à son tour un fichier exécutable. C'est lorsque vous essayez de l'ouvrir que le virus s'active. Le virus No_more_ransom crypte des fichiers de différents types (documents, images, bases de données, y compris les bases de données 1C) sur l'ordinateur de la victime. Une fois le processus de cryptage terminé, tous les fichiers familiers disparaissent et de nouveaux fichiers portant des noms étranges et l'extension .no_more_ransom apparaissent dans les dossiers où les documents étaient stockés. De plus, un message similaire à celui ci-dessous apparaît sur le bureau :

Le virus No_more_ransom combine les fonctionnalités de divers ransomwares découverts précédemment. Selon les auteurs du virus, contrairement aux versions antérieures qui utilisaient le mode de cryptage RSA-2048 avec une longueur de clé de 2048 bits, le virus no_more_ransom utilise un mode de cryptage encore plus puissant avec une longueur de clé plus longue (algorithme de cryptage RSA-3072).

Virus No_more-ransom - formulaire de commentaires

Lorsqu'un ordinateur est infecté par le virus ransomware no_more_ransom, ce programme malveillant copie son corps dans le dossier système et ajoute une entrée au registre Windows, garantissant qu'il démarre automatiquement à chaque démarrage de l'ordinateur. Après quoi le virus commence à chiffrer les fichiers. Le ransomware attribue un identifiant unique à chaque ordinateur infecté par No_more_ransom, que la victime doit envoyer aux auteurs du virus afin de recevoir sa propre clé de décryptage. Dans ce cas, la victime doit payer une somme importante pour décrypter les fichiers.no_more_ransom.

À l’heure actuelle, il n’existe pas de moyen véritablement efficace à 100 % de récupérer gratuitement des fichiers cryptés. Par conséquent, nous vous suggérons d'utiliser des programmes gratuits tels que ShadowExplorer et PhotoRec pour tenter de récupérer des copies de fichiers cryptés. Si une méthode de décryptage des fichiers .no_more_ransom devient disponible, nous mettrons rapidement à jour cette instruction.

Comment le virus de rançon no_more_ransom pénètre sur votre ordinateur

Le virus No_more_ransom se propage par courrier électronique. La lettre contient en pièce jointe un document ou une archive infectée. Ces lettres sont envoyées à une énorme base de données d’adresses e-mail. Les auteurs de ce virus utilisent des en-têtes et des contenus de lettres trompeurs, essayant d'inciter l'utilisateur à ouvrir un document joint à la lettre. Certaines lettres informent de la nécessité de payer une facture, d'autres proposent de consulter la dernière liste de prix, d'autres proposent d'ouvrir une photo amusante, etc. Dans tous les cas, l’ouverture du fichier joint aura pour résultat d’infecter votre ordinateur avec un virus de rançon.

Qu'est-ce qu'un virus ransomware no_more_ransom

Le virus ransom no_more_ransom est une continuation de la famille des ransomwares, qui comprend un grand nombre d'autres programmes malveillants similaires. Ce programme malveillant affecte toutes les versions modernes des systèmes d'exploitation Windows, notamment Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ce virus utilise un mode de cryptage plus puissant que RSA-2048 avec une longueur de clé de 2048 bits, qui élimine pratiquement la possibilité de forcer brutalement la clé pour l'auto-déchiffrement des fichiers.

Lors de l'infection d'un ordinateur, le virus de la rançon no_more_ransom peut utiliser plusieurs répertoires différents pour stocker ses fichiers. Par exemple C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Système32. Un fichier csrss.exe est créé dans le dossier, qui est une copie du fichier exécutable du virus. Le ransomware crée ensuite une entrée dans le registre Windows : dans la section HKCU\Software\Microsoft\Windows\CurrentVersion\Run, une clé nommée Client Server Runtime Subsystem. Cela permet au virus de continuer à chiffrer. si l'utilisateur éteint l'ordinateur pour une raison quelconque.

Immédiatement après son lancement, le virus analyse tous les lecteurs disponibles, y compris le stockage réseau et cloud, pour déterminer les fichiers qui seront cryptés. Le virus de rançon no_more_ransom utilise une extension de nom de fichier pour identifier un groupe de fichiers qui seront cryptés. Cette version du virus crypte un grand nombre de types de fichiers différents, y compris les plus courants tels que :

3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Immédiatement après le cryptage du fichier, il reçoit un nouveau nom et une nouvelle extension.no_more_ransom. Après quoi le virus crée des documents texte sur tous les disques et sur le bureau avec les noms README.txt, README1.txt, README2.txt..., qui contiennent des instructions pour décrypter les fichiers cryptés.

Le ransomware no_more_ransom utilise activement des tactiques d'intimidation en affichant un avertissement sur le bureau. Essayer ainsi de forcer la victime à envoyer sans hésitation l’identifiant de l’ordinateur à l’adresse email de l’auteur du virus afin de tenter de récupérer ses fichiers.

Mon ordinateur est-il infecté par le virus de rançon no_more_ransom ?

Il est assez facile de déterminer si votre ordinateur est infecté par le virus de la rançon no_more_ransom. Si, à la place de vos fichiers personnels, des fichiers portant des noms étranges et l'extension no_more_ransom apparaissent, alors votre ordinateur est infecté. De plus, un signe d'infection est la présence d'un fichier nommé README dans vos répertoires. Ce fichier contiendra des instructions pour décrypter les fichiers no_more_ransom. Un exemple du contenu d'un tel fichier est donné ci-dessous.

Vos fichiers ont été cryptés.
Pour les décrypter, vous devez envoyer le code :
(identifiant de l'ordinateur)
à l'adresse e-mail [email protégé].
Ensuite, vous recevrez toutes les instructions nécessaires.
Les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrémédiable d’informations.
Si vous souhaitez quand même essayer, faites d'abord des copies de sauvegarde de vos fichiers, sinon au cas où
en les changeant, le décryptage deviendra impossible en toutes circonstances.
Si vous ne recevez pas de réponse à l'adresse ci-dessus dans un délai de 48 heures (et seulement dans ce cas !),
utilisez le formulaire de commentaires. Ceci peut être fait de deux façons:
1) Téléchargez et installez Tor Browser à partir du lien : https://www.torproject.org/download/download-easy.html.en
Dans la barre d'adresse du navigateur Tor, saisissez l'adresse :

et appuyez sur Entrée. La page avec le formulaire de commentaires se chargera.
2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses :

Tous les fichiers importants de votre ordinateur ont été cryptés.
Pour décrypter les fichiers, vous devez envoyer le code suivant :
(identifiant de l'ordinateur)
à l'adresse e-mail [email protégé].
Vous recevrez ensuite toutes les instructions nécessaires.
Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données.
Si vous souhaitez quand même essayer de les décrypter vous-même, veuillez d'abord faire une sauvegarde car
le décryptage deviendra impossible en cas de modification à l'intérieur des fichiers.
Si vous n'avez pas reçu de réponse à l'email susmentionné pendant plus de 48 heures (et seulement dans ce cas !),
utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières :
1) Téléchargez le navigateur Tor à partir d'ici :
https://www.torproject.org/download/download-easy.html.en
Installez-le et saisissez l'adresse suivante dans la barre d'adresse :
http://cryptsen7fo43rr6.onion/
Appuyez sur Entrée, puis la page avec le formulaire de commentaires sera chargée.
2) Accédez à l'une des adresses suivantes dans n'importe quel navigateur :
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Comment décrypter les fichiers cryptés par le virus de rançon no_more_ransom ?

Il n’existe actuellement aucun décrypteur disponible pour les fichiers .no_more_ransom. Le virus ransomware indique à plusieurs reprises à la victime qu’un algorithme de cryptage puissant est utilisé. Cela signifie que sans clé privée, il est presque impossible de décrypter les fichiers. L'utilisation de la méthode de sélection de clé n'est pas non plus une option, en raison de la grande longueur de la clé. Par conséquent, malheureusement, payer uniquement aux auteurs du virus la totalité du montant demandé (9 000 roubles ou plus) est le seul moyen d'essayer d'obtenir la clé de décryptage.

Il n'y a absolument aucune garantie qu'après le paiement, les auteurs du virus vous contacteront et vous fourniront la clé nécessaire pour décrypter vos fichiers. De plus, vous devez comprendre qu'en payant de l'argent aux développeurs de virus, vous les encouragez vous-même à créer de nouveaux virus.

Comment supprimer le virus de la rançon no_more_ransom ?

Avant de commencer, vous devez savoir qu'en commençant à supprimer le virus et en essayant de restaurer les fichiers vous-même, vous bloquez la possibilité de décrypter les fichiers en payant aux auteurs du virus le montant qu'ils ont demandé.

Kaspersky Virus Removal Tool (KVRT) et Malwarebytes Anti-malware (MBAM) peuvent détecter différents types de virus ransomware actifs et les supprimeront facilement de votre ordinateur, MAIS ils ne peuvent pas récupérer les fichiers cryptés.

Appuyez simultanément sur les touches Windows et R de votre clavier. Une petite fenêtre s'ouvrira avec le titre Run dans laquelle saisissez :

Appuyez sur Entrée.

L'éditeur de registre se lancera. Ouvrez le menu Edition et cliquez sur Rechercher. Entrer:

Sous-système d'exécution client-serveur

Appuyez sur Entrée.

Supprimez ce paramètre en cliquant dessus avec le bouton droit et en sélectionnant Supprimer comme indiqué dans la figure ci-dessous. Soyez très prudent!

Fermez l’Éditeur du Registre.

Redémarrez votre ordinateur. Ouvrez le répertoire C:\Documents and Settings\All Users\Application Data\Windows\ et supprimez le fichier csrss.exe.

Téléchargez le programme HijackThis en cliquant sur le lien suivant.

Quelques derniers mots

En suivant ces instructions, votre ordinateur sera débarrassé du virus de la rançon no_more_ransom. Si vous avez des questions ou avez besoin d'aide, veuillez nous contacter.

Fin 2016, le monde a été attaqué par un virus cheval de Troie très banal qui crypte les documents des utilisateurs et le contenu multimédia, appelé NO_MORE_RANSOM. Comment décrypter les fichiers après exposition à cette menace sera discuté plus en détail. Cependant, il convient d’avertir immédiatement tous les utilisateurs attaqués qu’il n’existe pas de technique uniforme. Cela est dû à l'utilisation de l'un des plus avancés et au degré de pénétration du virus dans un système informatique ou même dans un réseau local (bien qu'il n'ait pas été initialement conçu pour un impact sur le réseau).

Qu'est-ce que le virus NO_MORE_RANSOM et comment fonctionne-t-il ?

En général, le virus lui-même est généralement classé comme une classe de chevaux de Troie tels que I Love You, qui pénètrent dans un système informatique et cryptent les fichiers des utilisateurs (généralement multimédia). Certes, si l'ancêtre ne différait que par le cryptage, alors ce virus empruntait beaucoup à la menace autrefois sensationnelle appelée DA_VINCI_COD, combinant les fonctions d'un ransomware.

Après infection, la plupart des fichiers audio, vidéo, graphiques ou documents bureautiques se voient attribuer un nom long avec l'extension NO_MORE_RANSOM contenant un mot de passe complexe.

Lorsque vous essayez de les ouvrir, un message apparaît à l'écran indiquant que les fichiers sont cryptés et que pour les décrypter, vous devez payer un certain montant.

Comment la menace pénètre-t-elle dans le système ?

Laissons de côté pour l’instant la question de savoir comment décrypter les fichiers de l’un des types ci-dessus après exposition à NO_MORE_RANSOM, et passons à la technologie permettant à un virus de pénétrer dans un système informatique. Malheureusement, peu importe à quoi cela ressemble, l'ancienne méthode éprouvée est utilisée pour cela : un e-mail avec une pièce jointe est envoyé à l'adresse e-mail, et lors de son ouverture, l'utilisateur reçoit un code malveillant.

Comme on le voit, cette technique n’est pas originale. Cependant, le message peut être déguisé en texte dénué de sens. Ou, au contraire, par exemple, s'il s'agit de grandes entreprises, de modifier les termes d'un contrat. Il est clair qu'un simple employé ouvre un investissement et obtient ensuite un résultat désastreux. L'une des épidémies les plus marquantes a été le cryptage des bases de données du populaire package 1C. Et c'est déjà une affaire sérieuse.

NO_MORE_RANSOM : comment décrypter des documents ?

Mais cela vaut quand même la peine d’aborder le problème principal. Tout le monde s’intéresse sûrement à la façon de décrypter des fichiers. Le virus NO_MORE_RANSOM a sa propre séquence d'actions. Si l’utilisateur tente de décrypter immédiatement après l’infection, il existe encore un moyen de le faire. Si la menace s’est solidement installée dans le système, hélas, cela ne peut se faire sans l’aide de spécialistes. Mais ils se révèlent souvent impuissants.

Si la menace a été détectée à temps, il n'y a qu'un seul moyen : contacter les services d'assistance des sociétés antivirus (tous les documents n'ont pas encore été cryptés), envoyer quelques fichiers inaccessibles et, sur la base d'une analyse des originaux enregistrés sur un support amovible, essayez de restaurer les documents déjà infectés, d'abord en copiant sur le même lecteur flash tout ce qui est encore disponible pour l'ouverture (bien qu'il n'y ait pas non plus de garantie complète que le virus n'ait pas pénétré dans ces documents). Après cela, bien sûr, le support doit être vérifié avec au moins un scanner antivirus (on ne sait jamais).

Algorithme

Il convient également de mentionner que le virus utilise l'algorithme de cryptage RSA-3072, qui, contrairement à la technologie RSA-2048 précédemment utilisée, est si complexe que le choix du bon mot de passe, même si l'ensemble du contingent des laboratoires antivirus est impliqué dans cela peut prendre des mois ou des années. Ainsi, la question de savoir comment décrypter NO_MORE_RANSOM prendra beaucoup de temps. Mais que se passe-t-il si vous devez restaurer des informations immédiatement ? Tout d'abord, supprimez le virus lui-même.

Est-il possible de supprimer un virus et comment le faire ?

En fait, ce n’est pas difficile à faire. À en juger par l'impudence des créateurs du virus, la menace qui pèse sur le système informatique n'est pas masquée. Au contraire, il lui est même bénéfique de « se retirer » après avoir accompli les actions réalisées.

Néanmoins, dans un premier temps, à l’instar du virus, il faudrait encore le neutraliser. La première étape consiste à utiliser des utilitaires de sécurité portables comme KVRT, Malwarebytes, Dr. Web CureIt! etc. Attention : les programmes utilisés pour les tests doivent être de type portable (sans installation sur un disque dur et, de manière optimale, lancés depuis un support amovible). Si une menace est découverte, elle doit être supprimée immédiatement.

Si de telles actions ne sont pas fournies, vous devez d'abord accéder au « Gestionnaire des tâches » et mettre fin à tous les processus associés au virus, en triant les services par nom (il s'agit généralement du processus Runtime Broker).

Après avoir supprimé la tâche, vous devez appeler l'éditeur de registre système (regedit dans le menu « Exécuter ») et rechercher le nom « Client Server Runtime System » (sans les guillemets), puis utiliser le menu pour vous déplacer dans les résultats « Rechercher suivant..." pour supprimer tous les éléments trouvés. Ensuite, vous devez redémarrer l'ordinateur et vérifier dans le « Gestionnaire des tâches » pour voir si le processus que vous recherchez est là.

En principe, la question de savoir comment décrypter le virus NO_MORE_RANSOM au stade de l'infection peut être résolue à l'aide de cette méthode. La probabilité de sa neutralisation est bien sûr faible, mais il existe une chance.

Comment décrypter les fichiers cryptés avec NO_MORE_RANSOM : sauvegardes

Mais il existe une autre technique que peu de gens connaissent ou même devinent. Le fait est que le système d'exploitation lui-même crée constamment ses propres sauvegardes fantômes (par exemple, en cas de récupération), ou que l'utilisateur crée intentionnellement de telles images. Comme le montre la pratique, ce sont précisément ces copies que le virus n'affecte pas (cela n'est tout simplement pas prévu dans sa structure, même si cela n'est pas exclu).

Le problème de savoir comment déchiffrer NO_MORE_RANSOM revient donc à les utiliser. Cependant, il n'est pas recommandé d'utiliser les outils Windows standard pour cela (et de nombreux utilisateurs n'auront pas du tout accès aux copies cachées). Par conséquent, vous devez utiliser l'utilitaire ShadowExplorer (il est portable).

Pour restaurer, il vous suffit d'exécuter l'exécutable, de trier les informations par dates ou sections, de sélectionner la copie souhaitée (d'un fichier, d'un dossier ou de l'ensemble du système) et d'utiliser la ligne d'exportation via le menu RMB. Ensuite, sélectionnez simplement le répertoire dans lequel la copie actuelle sera enregistrée, puis utilisez le processus de récupération standard.

Utilitaires tiers

Bien entendu, au problème du déchiffrement de NO_MORE_RANSOM, de nombreux laboratoires proposent leurs propres solutions. Par exemple, Kaspersky Lab recommande d'utiliser son propre logiciel Kaspersky Decryptor, présenté en deux modifications - Rakhini et Rector.

Des développements similaires comme le décodeur NO_MORE_RANSOM du Dr. ne semblent pas moins intéressants. La toile. Mais ici, il convient de prendre en compte immédiatement que l’utilisation de tels programmes n’est justifiée que si une menace est rapidement détectée, avant que tous les fichiers ne soient infectés. Si le virus est fermement implanté dans le système (lorsque les fichiers cryptés ne peuvent tout simplement pas être comparés à leurs originaux non cryptés), de telles applications peuvent également être inutiles.

Par conséquent

En fait, une seule conclusion s'impose : il faut lutter contre ce virus exclusivement au stade de l'infection, lorsque seuls les premiers fichiers sont cryptés. De manière générale, il est préférable de ne pas ouvrir les pièces jointes des e-mails reçus de sources douteuses (cela s'applique exclusivement aux clients installés directement sur l'ordinateur - Outlook, Oulook Express, etc.). De plus, si un employé de l'entreprise dispose d'une liste d'adresses de clients et de partenaires, l'ouverture de messages « inappropriés » devient totalement peu pratique, puisque la plupart des gens signent des accords de non-divulgation sur les secrets commerciaux et la cybersécurité lorsqu'ils postulent à un emploi.

Fin 2016, un nouveau virus ransomware a été détecté – NO_MORE_RANSOM. Il a reçu un nom si long en raison de l'extension qu'il attribue aux fichiers utilisateur.

J'ai beaucoup adopté d'autres virus, par exemple de da_vinci_cod. Depuis son apparition récente sur Internet, les laboratoires antivirus ne sont pas encore parvenus à déchiffrer son code. Et il est peu probable qu'ils puissent le faire dans un avenir proche - un algorithme de cryptage amélioré est utilisé. Voyons donc quoi faire si vos fichiers sont cryptés avec l'extension « no_more_ransom ».

Description et principe de fonctionnement

Début 2017, de nombreux forums ont été inondés de messages « Le virus no_more_ransom a crypté des fichiers », dans lesquels les utilisateurs demandaient de l'aide pour supprimer la menace. Non seulement des ordinateurs privés, mais aussi des organisations entières (en particulier celles utilisant des bases de données 1C) ont été attaqués. La situation pour toutes les victimes est à peu près la même : elles ont ouvert une pièce jointe d'un e-mail et, après un certain temps, les fichiers ont reçu l'extension No_more_ransom. Le virus ransomware a contourné tous les programmes antivirus populaires sans aucun problème.

De manière générale, basé sur le principe de l'infection, No_more_ransom ne se distingue pas de ses prédécesseurs :

Comment guérir ou supprimer le virus No_more_ransom

Il est important de comprendre qu’après avoir démarré No_more_ransom vous-même, vous perdrez la possibilité de restaurer l’accès aux fichiers en utilisant le mot de passe des attaquants. Est-il possible de récupérer un fichier après No_more_ransom ? À ce jour, il n'existe pas d'algorithme fonctionnel à 100 % pour décrypter les données. Les seules exceptions sont les utilitaires de laboratoires renommés, mais la sélection du mot de passe prend beaucoup de temps (mois, années). Mais plus d'informations sur la récupération ci-dessous. Tout d'abord, voyons comment identifier le cheval de Troie sans rançon (traduction - « plus de rançon ») et le vaincre.

En règle générale, les logiciels antivirus installés permettent aux ransomwares de pénétrer dans l'ordinateur - de nouvelles versions sont souvent publiées, pour lesquelles il n'y a tout simplement pas le temps de publier les bases de données. Les virus de ce type sont assez faciles à supprimer d'un ordinateur, car les fraudeurs n'ont pas besoin qu'ils restent dans le système après avoir terminé leur tâche (cryptage). Pour le supprimer, vous pouvez utiliser des utilitaires prêts à l'emploi distribués gratuitement :

Leur utilisation est très simple : lancez, sélectionnez les disques, cliquez sur « Démarrer l'analyse ». Il ne reste plus qu'à attendre. Ensuite, une fenêtre apparaîtra dans laquelle toutes les menaces seront affichées. Cliquez sur « Supprimer ».

Très probablement, l'un de ces utilitaires supprimera le virus ransomware. Si cela ne se produit pas, une suppression manuelle est nécessaire :

Si vous remarquez rapidement un virus et parvenez à le supprimer, il est possible que certaines données ne soient pas cryptées. Il est préférable de sauvegarder les fichiers qui n'ont pas été attaqués sur un disque séparé.

Utilitaires de décryptage pour décrypter les fichiers « No_more_ransom »

Il est tout simplement impossible de trouver le code vous-même, à moins d'être un hacker avancé. Le décryptage nécessite des utilitaires spéciaux. Je dirai tout de suite que tout le monde ne pourra pas décrypter un fichier crypté comme « No_more_ransom ». Le virus est nouveau, donc deviner un mot de passe est une tâche très difficile.

Donc, tout d'abord, nous essayons de restaurer les données à partir de clichés instantanés. Par défaut, le système d'exploitation, à partir de Windows 7, enregistre régulièrement des copies de vos documents. Dans certains cas, le virus est incapable de supprimer des copies. Par conséquent, nous téléchargeons le programme gratuit ShadowExplorer. Vous n'avez rien à installer, il vous suffit de le décompresser.

Si le virus ne supprime pas les copies, il est alors possible de récupérer environ 80 à 90 % des informations cryptées.

Des laboratoires antivirus réputés proposent également des programmes de décryptage pour récupérer des fichiers après le virus No_more_ransom. Cependant, vous ne devez pas vous attendre à ce que ces utilitaires soient capables de récupérer vos données. Les chiffreurs sont constamment améliorés et les spécialistes n'ont tout simplement pas le temps de publier des mises à jour pour chaque version. Envoyez des échantillons au support technique du laboratoire antivirus pour aider les développeurs.

Pour combattre No_more_ransom, il existe Kaspersky Decryptor. L'utilitaire est présenté en deux versions avec les préfixes et Rakhni (il existe des articles séparés à leur sujet sur notre site Web). Pour combattre le virus et décrypter les fichiers, il vous suffit d'exécuter le programme en sélectionnant les emplacements d'analyse.

De plus, vous devez spécifier l'un des documents bloqués pour que l'utilitaire commence à deviner le mot de passe.

Vous pouvez également télécharger gratuitement le meilleur décrypteur No_more_ransom de Dr.. La toile. L'utilitaire s'appelle matsnu1decrypt. Cela fonctionne selon un scénario similaire avec les programmes de Kaspersky. Tout ce que vous avez à faire est d’exécuter l’analyse et d’attendre qu’elle se termine.