2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Удаление шифровальщика

Удаление шифровальщика .no_more_ransom (Novikov.Vavila@gmail.com) и дешифратор

.no_more_ransom (.crypted000007, novikov.vavila virus, lukyan.sazonov26@gmail.com, gervasiy.menyaev virus, Trojan.Encoder.20, Filecoder.ED) – название даного шифровальщика по классификациям разных антивирусных лабораторий. .no_more_ransom или .crypted000007 – именно в такое расширения вирус-шифровальщик из семейства CTB-Locker “перепаковывает” все Ваши документы, фото, базы-данных, таблицы и другие файлы. Они будут иметь вид 0MRRecIEfKBdze3MvvKaLOkn-mlwjAOl6u2+6WCLLbzm5XusIJTeKu1d7P6HihYl.4FA9D92ABB00CC1EAB54.no_more_ransom, .crypted000007 или что-то подобное. Алгоритм шифрования, который используют злоумышленники, действительно практически исключает возможность самостоятельной расшифровки файлов. Но есть возможность частичного или даже полного восстановления из скрытых копий или другими методами. Но об этом чуть ниже. После полного или частичного шифрования Ваших файлов (вирус шифрует 34 типа файлов) на рабочем столе и в некоторых папках появляется файл Readme.txt или README1.txt с “инструкциями” по восстановлению информации.

Один из вариантов обоев рабочего стола компьютера инфицированного шифровальщиком .no_more_ransom (Novikov.Vavila@gmail.com)

Все что с Вас хотят – это денежные средства в размере 500-1000$ (зависит от страны), само-собой биткоинами, в таком случае получателя идентифицировать не получится.

Сообщение вируса no_more_ransom:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:

на электронный адрес Novikov.Vavila@gmail.com . (yvonne.vancese1982@gmail.com)
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:

to e-mail address Novikov.Vavila@gmail.com . (yvonne.vancese1982@gmail.com) (gervasiy.menyaev@gmail.com)
Then you will receive all necessary instructions.

Вирус распространяется чаще всего через вложения к эл. почте и сообщениях в социальных сетях. Причем вирус может прислать Вам и друг, компютер которого инфицирован троянским конем. Письма могут быть замаскированы под уведомление Вашего банка, налоговой инспекции, сообщение от бухгалтера и.т.д

Пример спам-рассылки с вирусом no_more_ransom в архиве

Мы настоятельно не рекомендуем платить выкуп злоумышленникам, так как знаем о десятках случаев когда после оплаты пользователь НЕ ПОЛУЧАЛ ключ программное обеспечение для расшифровки своих файлов.

Интерфейс обратной связи с злоумышленниками через браузер Tor

Верить мошенникам – себе дороже. Следуйте инструкциям ниже для того чтобы попытаться восстановить хотя-бы часть вашей информации.

Удалить шифровальщик .no_more_ransom с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

  1. Загрузить программу для удаления вируса .no_more_ransom. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления шифровальщика .no_more_ransom.
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

    Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла. Использовать инструмент “Теневой проводник” ShadowExplorer

» data-medium-file=»https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1″ data-large-file=»https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1″ src=»https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?resize=392%2C515″ alt=»previous-versions» width=»392″ height=»515″ data-recalc-dims=»1″ />

  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).
  • Резервное копирование

    Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

    Проверить возможное наличие остаточных компонентов вымогателя .no_more_ransom

    Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

    Описание и принцип работы

    Главная задача No_more_ransom и других вирусов-шифровальщиков – блокировка файлов пользователя с целью последующего выкупа. Совместил в себе черты предыдущих версий вирусов, получив более стойкий алгоритм шифровки. Как заявили авторы, используется режим шифрования RSA-3072, которые в разы лучше RSA-2048.

    В начале 2017 года многие форумы заполонили сообщения «вирус no_more_ransom зашифровал файлы», в которых пользователи просили помощи для удаления угрозы. Атаке подверглись не только частные компьютеры, но и целые организации (особенно те, в которых используются базы 1С). Ситуация у всех пострадавших примерно одинаковая: открыли вложение из электронного письма, через некоторое время файлы получили расширение No_more_ransom. Вирус-шифровальщик при этом без проблем обходил все популярные антивирусные программы.

    Вообще, по принципу заражения No_more_ransom ничем не отличим от своих предшественников:

    1. На электронную почту поступает письмо нейтрального содержания с вложением. Как правило, оно маскируется под рабочую переписку или сообщение от каких-либо организаций.
    2. Вложение, представляющее текстовый документ или архив, несет в себе вредоносный код, который начинается распространяться после открытия на компьютере. То есть, заражение пользователь начинает самолично.
    3. Вирус-шифровальщик очень быстро заражает каждый файл на ПК, добавляя расширение и сложный пароль. Чтобы обеспечить собственную безопасность, вирус копирует себя в корневые каталоги и реестр.
    4. На рабочем столе и в некоторых системных папках появляется текстовый документ, содержание которого примерно одинаково. В нем злоумышленник за определенную плату обещает выслать пароль. Для его поучения составлены инструкции.
    5. Вот и все. После этого, пользователи, впадая в панику, начинают искать информацию, как расшифровать файлы, что делать с вирусом No_more_ransom. Дабы спасти ценные данные, многие даже идут навстречу мошенникам, пересылая деньги. Вот только зачастую злоумышленники не спешат выполнить обещание.

    Когда ты задрессированный админом секретарь

    Пару лет назад поймала наша секретарь шифровальщика с почты. Ну поймала и поймала, ну смотрела как файлики исчезают, а на их месте появляются другие. весело. Только вот работать не с чем, нужных документов в этом бардаке не найти.
    Что ж, бэкап моё всё. Компа зачистил, восстановил доки. Секретаря и всех остальных за одно закошмарил этим случаем, пообещал торжественно остановить службу резервного копирования(лукавил конечно, я без бэкапа никуда) и пригрозил, что доки они восстанавливать по памяти будут.
    Прошло два года спокойствия, периодически напоминал всем про тот случай, чтобы были внимательны и не открывали подозрительные файлы из вложений, а все подозрительные письма пересылали мне для контроля. Усилил всё инструкциями с картинками, где на примерах показывал как выглядят подозрительные письма.
    Всё вроде хорошо, вирусов запущенных нет, на почту периодически валятся подозрительные письма, к слову и с вирями тоже. Молодцы! Значит работа была проведена не зря, сознательность в коллективе повысилась.
    И тут звонит мне секретарь, говорит, я тебе переслала письмо, что-то не могу распечатать документ, блокируется он чем-то. Открываю почтового клиента, а там.

    Т.к. опыт прошлых лет не прошел даром, экзешник не отработал и был остановлен UACок на стадии запуска. Почему не антивирусом?. Да потому, что его там нет. Тому есть причины.
    Для тех кто не нашел логики в мною подчёркнутом и выделенном в двух словах, что на скриншоте. Жанна Денисова с почты Сергея Повлюкова, а ответ хотела бы получить на почту Натальи Терешковой, зарегистрированную на Яндексе. В тексте письма нет ни слова об организации, которую представляет Жанна. Ну и вишенкой на торте, классика, упакованный в архив исполняемый файл(программа). Все перечисленное конечно не говорит о том, что это вирус, но однозначно, такое письмо должно вызвать у вас подозрения.
    В заключении, призываю всёх быть внимательными и не повторяйте ошибок нашего секретаря. И помните, самый хороший антивирус это мозг).

    Напоследок несколько советов, как не стать жертвой вымогателей:

    • Не скачивайте программы с неизвестных и подозрительных сайтов — даже если название программы вам знакомо, внутри может быть совсем не то или не только то, что вы ожидаете.
    • Не переходите по ссылкам и не открывайте вложения к письмам и сообщениям от незнакомых адресатов. Если неожиданное для вас подозрительное послание пришло от друга или коллеги, можно на всякий случай перезвонить и уточнить, безопасен ли файл.
    • Регулярно обновляйте операционную систему и используемые программы. Это устранит уязвимости, которые используют шифровальщики.
    • Установите надежный антивирус и не отключайте его, даже если какая-то программа очень об этом просит.
    • Делайте резервные копии важных данных, храните их в облаке, на флешке или внешнем диске.

    Rapid NextGen

    (шифровальщик-вымогатель, RaaS)

    Обнаружения:
    DrWeb -> Trojan.Encoder.24249, Trojan.Encoder.24382, Trojan.Encoder.27800
    BitDefender -> Generic.Ransom.Rapid.*, Generic.Ransom.Rapid2.*
    ALYac -> Trojan.Ransom.Rapid
    Malwarebytes -> Ransom.Rapid
    Symantec -> Trojan.Gen.MBT

    К зашифрованным файлам добавляется расширение .rapid

    Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

    Записки с требованием выкупа называются:
    . README . txt — ранний вариант
    ! How Recovery Files.txt — вариант, ставший известным

    Содержание записки о выкупе:
    Hello!
    All your files have been encrypted by us
    If you want restore files write on e-mail — jpcrypt@rape.lol

    или другой вариант:

    Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также «Основные способы распространения криптовымогателей» на вводной странице блога.

    . Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

    ➤ Rapid Ransomware завершает процессы sql.exe, sqlite.exe, oracle.com, если они выполняются в системе.

    ➤ Добавляется в Автозагрузку системы, чтобы шифровать новые файлы после перезагрузки ПК.

    ➤ Удаляет теневые копии файлов командами:
    vssadmin.exe Delete Shadow /All /Quiet
    cmd.exe /C bcdedit /set recoveryenabled No
    cmd.exe /C bcdedit /set bootstatuspolicy ignoreallfailures

    ➤ Rapid генерирует уникальный AES-256-битный ключ для каждого файла и экспортирует его. Затем экспортированный файл AES-файла шифруется локальным открытым RSA-ключом. Затем Rapid шифрует файлы с помощью ключа AES-файла и записывает зашифрованный контент в исходный файл.
    Затем добавляет нижний колонтитул в конец файла, который включает в себя:
    — исходный размер файла;
    — зашифрованный AES-ключ;
    — зашифрованную локальную пару RSA-ключей.

    ➤ Повторю, Rapid Ransomware после проведенного шифрования не самоудаляется, как это делают другие шифровальщики, а продолжает шифрование все новые файлы на компьютере, подключаемых устройствах и дисках. Будьте осторожны!

    Список файловых расширений, подвергающихся шифрованию:
    .aff, .bin, .blf, .cab, .chk, .dat, .dic, .dll, .doc, .docx, .exe, .hxl, .hxn, .ini, .ja, .js, .lnk, .library-ms, .list, .log, .msi, .msu, .png, .ppt, .pptx, .rdf, .regtrans-ms, .rsm, .sdi, .swidtag, .Targets, .wim, .xls, .xlsx, .xml,
    Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без собственного расширения, специальные файлы в браузере Mozilla Firefox (precomplete, removed-files) и файлы .manifest и пр.

    Файлы, связанные с этим Ransomware:
    . README . txt
    ! How Recovery Files.txt
    recovery.txt
    info.exe
    mstsc.exe
    .exe
    FTS.EXE — декриптер от вымогателей

    Расположения:
    %APPDATA%info.exe
    Desktop ->
    User_folders ->

    Записи реестра, связанные с этим Ransomware:
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun «Encrypter»=»%AppData%info.exe»
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun «userinfo»=»%AppData%recovery.txt»
    См. ниже результаты анализов.

    Сетевые подключения и связи:
    Email: jpcrypt@rape.lol
    rapid@rape.lol
    fileskey@qq.com
    fileskey@cock.li
    support@fbamasters.com
    unlockforyou@india.com
    и другие
    См. ниже результаты анализов.

    Результаты анализов:
    Гибридный анализ >>
    VirusTotal анализ >> + VT>>
    VirusTotal анализ на Relec-Ransomware >>
    Intezer анализ >>

    Степень распространённости: средняя .
    Подробные сведения собираются регулярно.

    Обновление от 19 января 2018:
    Расширение: .rapid
    Файл: info.exe
    Email: fileskey@qq.com и fileskey@cock.li
    ➤ Содержание записки / Contents of note:
    Hello!
    All your files have been encrypted by us
    If you want restore files write on e-mail — fileskey@qq.com or fileskey@cock.li

    Обновление от 19 января 2018:
    Статья на BC >>
    Расширение: .rapid
    Файл: info.exe
    Записки: How Recovery Files.txt и recovery.txt
    Email: frenkmoddy@tuta.io
    Результаты анализов: VT + HA
    ➤ Содержание записки:
    Hello!
    All your files have been encrypted by us
    If you want restore files write on e-mail — frenkmoddy@tuta.io

    Обновление от 21 января 2018:
    Предположительное родство с Rapid Ransomware / Presumptive kinship with Rapid Ransomware. Вымогатели, видимо, принадлежат у другой группе.
    Расширение / Extension: .paymeme
    Сумма выкупа / Sum of ransom: 0.4 BTC
    Email: paymeme@cock.li и paymeme@india.com
    Записка / Ransom-note: HOW TO RECOVER ENCRYPTED FILES.TXT
    ➤ Содержание записки / Contents of note:
    Hello!
    All your files have been encrypted by us
    If you want restore files write on e-mail — paymeme@cock.li or paymeme@india.com
    Your ID:
    ***
    Send me your ID and 1-3 small encrypted files(The total size of files must be less than 1Mb (non archived)) for free decryption.
    After that, I’ll tell you the price for decryption all files.

    Обновление от 12 февраля 2018 :
    Расширение / Extension: .rapid and others
    Вложение / Attachment: Notification-[number].zip
    Записка / Ransom-note: recovery.txt
    Email: decryptsupport@airmail.cc , supportlocker@firemail.cc
    Записи реестра (Автозагрузка): HKCUSoftwareMicrosoftWindowsCurrentVersionRun «Encrypter_074 » = «%UserProfile%AppDataRoaminginfo.exe»
    Файл: %UserProfile%AppDataRoaminginfo.exe
    Статья на сайте BC >>

    Обновление от 14 февраля 2018:
    Расширение / Extension: .rapid
    Записки / Ransom-note : How Recovery Files.txt и recovery.txt
    Email: lola2017@tuta.io
    Запись в реестре: Encrypter_074
    ➤ Содержание записки / Contents of note:
    Hello, dear friend!
    All your files have been ENCRYPTED
    Do you really want to restore your files?
    Write to our email — lola2017@tuta.io
    and tell us your unique ID — ID-KN13NFTO
    Другие файлы шифровальщика:
    AppDataRoaminginfo.exe
    AppDataRoamingrecovery.txt
    C:WindowsFontsctfmon.vbs
    Топик на форуме >>


    Обновление от 16 февраля 2018:
    Расширение / Extension: .rapid
    Записка / Ransom-note: How Recovery Files.txt
    Email: help@cairihi.com
    BM-2cVeAHvZZjUf8M1v7AZKWeopqcYnTVFVZG@bitmessage.ch
    ➤ Содержание записки / Contents of note:
    Hello, dear friend!
    All your files have been ENCRYPTED
    Do you really want to restore your files?
    Write to our email — help@cairihi.com or BM-2cVeAHvZZjUf8M1v7AZKWeopqcYnTVFVZG@bitmessage.ch
    and tell us your unique ID — ID-XXXXXXXX

    Обновление от 8 марта 2018:
    Пост в Твиттере >>
    Версия: Rapid Ransomware — RaaS
    Расширение / Extension: .rapid
    Строка: BleepingComputer_rapid

    Читать еще:  Что такое классификация сетей по IP-адресам?
    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector