Transcripción no_more_ransom. NO_MORE_RANSOM: ¿cómo descifrar archivos cifrados? No más rastros de eliminación de rescate
virus no_more_ransom es un nuevo virus ransomware, una continuación de la notoria serie de virus, que incluye Better_call_saul y da_vinci_code. Al igual que sus versiones anteriores, este virus ransomware se propaga a través de mensajes de spam. Cada uno de estos correos electrónicos contiene un archivo adjunto, un archivo que a su vez contiene un archivo ejecutable. Es cuando intentas abrirlo que el virus se activa. El virus No_more_ransom cifra archivos de varios tipos (documentos, imágenes, bases de datos, incluidas las bases de datos 1C) en la computadora de la víctima. Una vez completado el proceso de cifrado, todos los archivos familiares desaparecen y aparecen nuevos archivos con nombres extraños y la extensión .no_more_ransom en las carpetas donde se almacenaron los documentos. Además, aparece en el escritorio un mensaje similar al siguiente:
El virus No_more_ransom combina características de varios ransomware descubiertos anteriormente. Según los autores del virus, a diferencia de las versiones anteriores que utilizaban el modo de cifrado RSA-2048 con una longitud de clave de 2048 bits, el virus no_more_ransom utiliza un modo de cifrado aún más potente con una longitud de clave mayor (algoritmo de cifrado RSA-3072).
Virus No_more-ransom - formulario de comentarios
Cuando una computadora está infectada con el virus ransomware no_more_ransom, este programa malicioso copia su cuerpo en la carpeta del sistema y agrega una entrada al registro de Windows, asegurando que se inicie automáticamente cada vez que se inicia la computadora. Después de lo cual el virus comienza a cifrar los archivos. El ransomware asigna una identificación única a cada computadora infectada con No_more_ransom, que la víctima debe enviar a los autores del virus para recibir su propia clave de descifrado. En este caso, la víctima debe pagar una cantidad significativa por descifrar los archivos.no_more_ransom.
Por el momento, no existe una forma 100% funcional de recuperar archivos cifrados de forma gratuita. Por lo tanto, sugerimos utilizar programas gratuitos como ShadowExplorer y PhotoRec para intentar recuperar copias de archivos cifrados. Si hay disponible un método para descifrar archivos .no_more_ransom, actualizaremos esta instrucción de inmediato.
Cómo llega el virus de rescate no_more_ransom a su computadora
El virus No_more_ransom se propaga por correo electrónico. La carta contiene un documento o archivo infectado adjunto. Estas cartas se envían a una enorme base de datos de direcciones de correo electrónico. Los autores de este virus utilizan encabezados y contenidos engañosos de las cartas, intentando engañar al usuario para que abra un documento adjunto a la carta. Algunas cartas informan sobre la necesidad de pagar una factura, otras ofrecen mirar la lista de precios más reciente, otras ofrecen abrir una foto divertida, etc. En cualquier caso, el resultado de abrir el archivo adjunto será infectar su computadora con un virus de rescate.
¿Qué es un virus ransomware no_more_ransom?
El virus ransomware no_more_ransom es una continuación de la familia de ransomware, que incluye una gran cantidad de otros programas maliciosos similares. Este programa malicioso afecta a todas las versiones modernas de los sistemas operativos Windows, incluidos Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Este virus utiliza un modo de cifrado más potente que el RSA-2048 con una longitud de clave de 2048 bits, que prácticamente elimina la posibilidad de forzar la clave para el autodescifrado de archivos.
Al infectar una computadora, el virus de rescate no_more_ransom puede usar varios directorios diferentes para almacenar sus archivos. Por ejemplo C:\ProgramData\Windows, C:\Users\All Users\Windows, C:\ProgramData\Csrss, C:\Users\All Users\Csrss, C:\ProgramData\System32, C:\Users\All Users \ Sistema32. Se crea un archivo csrss.exe en la carpeta, que es una copia del archivo ejecutable del virus. Luego, el ransomware crea una entrada en el registro de Windows: en la sección HKCU\Software\Microsoft\Windows\CurrentVersion\Run, una clave denominada Client Server Runtime Subsystem. Esto permite que el virus continúe cifrando. si el usuario apaga la computadora por algún motivo.
Inmediatamente después del inicio, el virus escanea todas las unidades disponibles, incluida la red y el almacenamiento en la nube, para determinar los archivos que se cifrarán. El virus de rescate no_more_ransom utiliza una extensión de nombre de archivo como forma de identificar un grupo de archivos que se cifrarán. Esta versión del virus cifra una gran cantidad de tipos diferentes de archivos, incluidos los más comunes como:
3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl , .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, . sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0 , .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, . slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, . jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng , .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, . dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, . wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Inmediatamente después de cifrar el archivo, recibe un nuevo nombre y extensión.no_more_ransom. Después de lo cual el virus crea documentos de texto en todos los discos y en el escritorio con los nombres README.txt, README1.txt, README2.txt..., que contienen instrucciones para descifrar archivos cifrados.
El ransomware no_more_ransom utiliza activamente tácticas de intimidación mostrando una advertencia en el escritorio. Intentando de esta forma obligar a la víctima a enviar sin dudarlo el ID del ordenador a la dirección de correo electrónico del autor del virus para intentar recuperar sus archivos.
¿Mi computadora está infectada con el virus de rescate no_more_ransom?
Es bastante fácil determinar si su computadora está infectada con el virus de rescate no_more_ransom. Si en lugar de tus archivos personales aparecen archivos con nombres extraños y la extensión no_more_ransom, entonces tu ordenador está infectado. Además, un signo de infección es la presencia de un archivo llamado README en sus directorios. Este archivo contendrá instrucciones para descifrar archivos no_more_ransom. A continuación se proporciona un ejemplo del contenido de dicho archivo.
Sus archivos han sido cifrados.
Para descifrarlos, debes enviar el código:
(identificación de computadora)
a la dirección de correo electrónico [correo electrónico protegido].
A continuación recibirás todas las instrucciones necesarias.
Los intentos de descifrar por su cuenta no conducirán más que a una pérdida irrecuperable de información.
Si aún desea intentarlo, primero haga copias de seguridad de sus archivos; de lo contrario, en caso de que
al cambiarlos, el descifrado será imposible bajo ninguna circunstancia.
Si no recibe una respuesta a la dirección anterior dentro de las 48 horas (¡y solo en este caso!),
Utilice el formulario de comentarios. Esto se puede hacer de dos formas:
1) Descargue e instale Tor Browser desde el enlace: https://www.torproject.org/download/download-easy.html.en
En la barra de direcciones del navegador Tor, ingrese la dirección:
y presione Entrar. Se cargará la página con el formulario de comentarios.
2) En cualquier navegador, vaya a una de las direcciones:Todos los archivos importantes de su computadora fueron cifrados.
Para descifrar los archivos debes enviar el siguiente código:
(identificación de computadora)
a la dirección de correo electrónico [correo electrónico protegido].
Luego recibirá todas las instrucciones necesarias.
Todos los intentos de descifrado por su cuenta resultarán únicamente en la pérdida irrevocable de sus datos.
Si aún desea intentar descifrarlos usted mismo, primero haga una copia de seguridad porque
el descifrado será imposible en caso de cualquier cambio dentro de los archivos.
Si no recibió la respuesta del correo electrónico antes mencionado durante más de 48 horas (¡y sólo en este caso!),
Utilice el formulario de comentarios. Puedes hacerlo de dos maneras:
1) Descarga el navegador Tor desde aquí:
https://www.torproject.org/download/download-easy.html.en
Instálelo y escriba la siguiente dirección en la barra de direcciones:
http://cryptsen7fo43rr6.onion/
Presione Entrar y luego se cargará la página con el formulario de comentarios.
2) Vaya a una de las siguientes direcciones en cualquier navegador:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
¿Cómo descifrar archivos cifrados por el virus de rescate no_more_ransom?
Actualmente no hay ningún descifrador disponible para archivos .no_more_ransom. El virus ransomware le dice repetidamente a la víctima que se está utilizando un algoritmo de cifrado potente. Esto significa que sin una clave privada, es casi imposible descifrar archivos. Usar el método de selección de clave tampoco es una opción debido a la gran longitud de la clave. Por lo tanto, lamentablemente, pagar únicamente a los autores del virus la cantidad total solicitada (9.000 rublos o más) es la única forma de intentar obtener la clave de descifrado.
No hay absolutamente ninguna garantía de que después del pago los autores del virus se comuniquen con usted y le proporcionen la clave necesaria para descifrar sus archivos. Además, debe comprender que al pagar dinero a los desarrolladores de virus, usted mismo los anima a crear nuevos virus.
¿Cómo eliminar el virus de rescate no_more_ransom?
Antes de comenzar, debe saber que al comenzar a eliminar el virus e intentar restaurar los archivos usted mismo, está bloqueando la capacidad de descifrar los archivos pagando a los autores del virus la cantidad que solicitaron.
Kaspersky Virus Removal Tool (KVRT) y Malwarebytes Anti-malware (MBAM) pueden detectar diferentes tipos de virus ransomware activos y los eliminarán fácilmente de su computadora, PERO no pueden recuperar archivos cifrados.
Presione las teclas Windows y R en su teclado al mismo tiempo. Se abrirá una pequeña ventana con el título Ejecutar en la que ingresa:
Presione Entrar.
Se iniciará el Editor del Registro. Abra el menú Editar y haga clic en Buscar. Ingresar:
Subsistema de tiempo de ejecución del servidor cliente
Presione Entrar.
Elimine este parámetro haciendo clic derecho sobre él y seleccionando Eliminar como se muestra en la siguiente figura. ¡Ten mucho cuidado!
Cierre el Editor del Registro.
Reinicia tu computadora. Abra el directorio C:\Documents and Settings\All Users\Application Data\Windows\ y elimine el archivo csrss.exe.
Descarga el programa HijackThis haciendo clic en el siguiente enlace.
Unas pocas palabras finales
Si sigue estas instrucciones, su computadora quedará libre del virus de rescate no_more_ransom. Si tiene alguna pregunta o necesita ayuda, contáctenos.
A finales de 2016, el mundo fue atacado por un virus troyano nada trivial que encripta documentos de usuario y contenido multimedia, llamado NO_MORE_RANSOM. Se analizará más a fondo cómo descifrar archivos después de la exposición a esta amenaza. Sin embargo, conviene advertir inmediatamente a todos los usuarios que han sido atacados de que no existe una técnica uniforme. Esto se debe al uso de uno de los más avanzados y al grado de penetración del virus en un sistema informático o incluso en una red local (aunque inicialmente no fue diseñado para afectar a la red).
¿Qué es el virus NO_MORE_RANSOM y cómo funciona?
En general, el virus en sí suele clasificarse como una clase de troyanos como I Love You, que penetran en un sistema informático y cifran los archivos del usuario (normalmente multimedia). Es cierto que si su progenitor se diferenciaba solo en el cifrado, entonces este virus tomó mucho prestado de la alguna vez sensacional amenaza llamada DA_VINCI_COD, que combina las funciones de un ransomware.
Después de la infección, a la mayoría de los archivos de audio, vídeo, gráficos o documentos de oficina se les asigna un nombre largo con la extensión NO_MORE_RANSOM, que contiene una contraseña compleja.
Cuando intentas abrirlos, aparece un mensaje en la pantalla que indica que los archivos están cifrados y que para descifrarlos debes pagar una determinada cantidad.
¿Cómo ingresa la amenaza al sistema?
Dejemos en paz por ahora la cuestión de cómo descifrar archivos de cualquiera de los tipos anteriores después de la exposición a NO_MORE_RANSOM, y pasemos a la tecnología para saber cómo un virus penetra en un sistema informático. Desafortunadamente, no importa cómo suene, para esto se utiliza el antiguo método probado: se envía un correo electrónico con un archivo adjunto a la dirección de correo electrónico y, al abrirlo, el usuario recibe un código malicioso.
Como vemos, esta técnica no es original. Sin embargo, el mensaje puede disfrazarse de texto sin sentido. O, por el contrario, por ejemplo, si hablamos de grandes empresas, cambiar los términos de algún contrato. Está claro que un empleado corriente abre una inversión y luego obtiene un resultado desastroso. Uno de los brotes más llamativos fue el cifrado de bases de datos del popular paquete 1C. Y esto ya es un asunto serio.
NO_MORE_RANSOM: ¿cómo descifrar documentos?
Pero aún así vale la pena abordar la cuestión principal. Seguramente todo el mundo está interesado en cómo descifrar archivos. El virus NO_MORE_RANSOM tiene su propia secuencia de acciones. Si el usuario intenta descifrar inmediatamente después de la infección, todavía hay una manera de hacerlo. Si la amenaza se ha establecido firmemente en el sistema, lamentablemente no se puede prescindir de la ayuda de especialistas. Pero a menudo son impotentes.
Si la amenaza se detectó de manera oportuna, solo hay una manera: comunicarse con los servicios de soporte de las empresas antivirus (aún no se han cifrado todos los documentos), enviar un par de archivos inaccesibles y, basándose en un análisis de los originales. guardados en un medio extraíble, intente restaurar los documentos ya infectados, primero copiando en la misma unidad flash todo lo que aún está disponible para abrir (aunque tampoco hay una garantía completa de que el virus no haya penetrado en dichos documentos). Después de esto, sin duda, los medios deben comprobarse con al menos un escáner antivirus (nunca se sabe).
Algoritmo
También vale la pena mencionar que el virus utiliza el algoritmo de cifrado RSA-3072, que, a diferencia de la tecnología RSA-2048 utilizada anteriormente, es tan complejo que elegir la contraseña correcta, incluso si todo el contingente de laboratorios antivirus está involucrado en Esto puede llevar meses o años. Por lo tanto, la cuestión de cómo descifrar NO_MORE_RANSOM requerirá bastante tiempo. Pero ¿qué pasa si necesita restaurar información inmediatamente? En primer lugar, elimine el virus.
¿Es posible eliminar un virus y cómo hacerlo?
En realidad, esto no es difícil de hacer. A juzgar por el descaro de los creadores del virus, la amenaza en el sistema informático no está disfrazada. Por el contrario, incluso le resulta beneficioso “eliminarse” después de completar las acciones realizadas.
Sin embargo, al principio, siguiendo el ejemplo del virus, todavía hay que neutralizarlo. El primer paso es utilizar utilidades de seguridad portátiles como KVRT, Malwarebytes, Dr. Web CureIt! y similares. Tenga en cuenta: los programas utilizados para las pruebas deben ser de tipo portátil (sin instalación en un disco duro y, de manera óptima, ejecutados desde un medio extraíble). Si se descubre una amenaza, se debe eliminar de inmediato.
Si no se proporcionan tales acciones, primero debe ir al "Administrador de tareas" y finalizar todos los procesos asociados con el virus en él, clasificando los servicios por nombre (generalmente este es el proceso Runtime Broker).
Después de eliminar la tarea, debe llamar al editor de registro del sistema (regedit en el menú "Ejecutar") y buscar el nombre "Client Server Runtime System" (sin comillas), y luego usar el menú para moverse por los resultados "Buscar siguiente...” para eliminar todos los elementos encontrados. A continuación, debe reiniciar la computadora y verificar en el "Administrador de tareas" para ver si el proceso que está buscando está allí.
En principio, la cuestión de cómo descifrar el virus NO_MORE_RANSOM en la etapa de infección se puede resolver utilizando este método. La probabilidad de su neutralización es, por supuesto, pequeña, pero existe la posibilidad.
Cómo descifrar archivos cifrados con NO_MORE_RANSOM: copias de seguridad
Pero existe otra técnica que pocas personas conocen o siquiera adivinan. El hecho es que el propio sistema operativo crea constantemente sus propias copias de seguridad en la sombra (por ejemplo, en caso de recuperación), o el usuario crea intencionalmente dichas imágenes. Como muestra la práctica, son precisamente estas copias a las que el virus no afecta (esto simplemente no está previsto en su estructura, aunque no está excluido).
Entonces el problema de cómo descifrar NO_MORE_RANSOM se reduce a usarlos. Sin embargo, no se recomienda utilizar herramientas estándar de Windows para esto (y muchos usuarios no tendrán acceso a copias ocultas). Por lo tanto, debe utilizar la utilidad ShadowExplorer (es portátil).
Para restaurar, solo necesita ejecutar el ejecutable, ordenar la información por fechas o secciones, seleccionar la copia deseada (de un archivo, carpeta o de todo el sistema) y usar la línea de exportación a través del menú RMB. A continuación, simplemente seleccione el directorio en el que se guardará la copia actual y luego utilice el proceso de recuperación estándar.
Utilidades de terceros
Por supuesto, muchos laboratorios ofrecen sus propias soluciones al problema de cómo descifrar NO_MORE_RANSOM. Por ejemplo, Kaspersky Lab recomienda utilizar su propio producto de software Kaspersky Decryptor, presentado en dos modificaciones: Rakhini y Rector.
Desarrollos similares como el decodificador NO_MORE_RANSOM de Dr. no parecen menos interesantes. Web. Pero aquí vale la pena tener en cuenta inmediatamente que el uso de este tipo de programas sólo se justifica si la amenaza se detecta rápidamente, antes de que todos los archivos hayan sido infectados. Si el virus está firmemente establecido en el sistema (cuando los archivos cifrados simplemente no se pueden comparar con sus originales no cifrados), dichas aplicaciones también pueden resultar inútiles.
Como resultado
En realidad, sólo se sugiere una conclusión: es necesario combatir este virus exclusivamente en la fase de infección, cuando sólo se cifran los primeros archivos. En general, es mejor no abrir archivos adjuntos en mensajes de correo electrónico recibidos de fuentes dudosas (esto se aplica exclusivamente a clientes instalados directamente en la computadora: Outlook, Oulook Express, etc.). Además, si un empleado de la empresa tiene a su disposición una lista de direcciones de clientes y socios, abrir mensajes "inapropiados" se vuelve completamente impráctico, ya que la mayoría de las personas firman acuerdos de confidencialidad sobre secretos comerciales y ciberseguridad al solicitar un empleo.
Ahora para nadie es un secreto que todo tipo de delitos existentes se han trasladado a Internet. Estos incluyen el ciberespionaje, el ciberterrorismo, el ciberfraude, el ciberrobo y, según el tema de este blog, la ciberextorsión y el ciberchantaje.
Durante mucho tiempo han querido equiparar los delitos cibernéticos en Rusia con robos, aumentando las penas, pero esta cuestión surgió a instancias de las estructuras bancarias, a las que supuestamente los piratas informáticos no permiten vivir. Quizás así sea. Quién habla de qué y los bancos hablan de hackers...
El próximo proyecto de ley también menciona la descarga de programas sin licencia y "obras maestras" de audio y vídeo de la moderna industria de las "obras maestras", que ya se está derramando sobre nosotros como un balde de agua sucia. Una vez más, hay una caza de brujas, y no de verdaderos ciberdelincuentes, que se han extendido como una plaga por la World Wide Web y han afectado a todas las familias de todos los países del mundo que tienen acceso a Internet.
Sí, me refiero a la plaga de la extorsión: criptoransomware, cifradores, bloqueadores y todo tipo de falsificaciones, es decir. programas que se hacen pasar por cifradores, bloqueadores, programas que ofrecen “limpieza” por una tarifa, pero eso no les impide ser extorsionadores. Sus creadores publican abiertamente sus "creaciones" en Internet, sin temor a los agentes del orden, la mafia criminal, la policía local, Europol e Interpol. Se anuncian, se anuncian y promocionan en los resultados de búsqueda de los sistemas automatizados de Google y Yandex.
Esto es a quién deberían luchar las leyes sobre delitos cibernéticos, esto es a quién debería atrapar primero la policía, ¡Europol, Interpol y la Dirección "K" deberían descubrirlo! Me gustaría creer que se trabaja en esta dirección día y noche, pero el hecho es claro: la extorsión y la criptoextorsión se han convertido en el flagelo y la plaga de Internet, como una apisonadora que aplasta las clásicas epidemias virales.
Por cierto, según mi información, la mayor cantidad de ransomware se produce en Ucrania, Moldavia y Rumania, si no se tienen en cuenta las regiones del este y sur de Asia, donde hay un porcentaje y un nivel de infección completamente diferentes y más altos. extorsión y ataques de piratas informáticos. Algunos ataques de extorsión desde Ucrania, Moldavia y Rumania están dirigidos a Rusia, empresas y usuarios de habla rusa, mientras que otros están dirigidos a Estados Unidos, Europa y usuarios de habla inglesa.
En los últimos años, es mucho más probable que los usuarios de computadoras se encuentren con ransomware, ransomware falso, bloqueadores de ransomware y otros que exigen un rescate por devolver el acceso a archivos que han cifrado y hecho ilegibles, bloqueados y vueltos inaccesibles, movidos, ocultos, eliminado... ¿Cómo fue posible esto?
Atrás quedaron los días en que la distribución de malware era responsabilidad de un delincuente o un programador novato.Hoy en día, los ciberdelincuentes suelen trabajar en equipo, porque... este trabajo conjunto genera más ganancias. Por ejemplo, con el desarrollo de un modelo de negocio de extorsión (RaaS) basado en el pago de un rescate en bitcoins, un grupo puede brindar soporte técnico, escribir recomendaciones y, vía chat o correo electrónico, decirle a las nuevas víctimas cómo y dónde pueden comprar, intercambiar y transferir. bitcoins para el pago posterior del rescate. Otro grupo está desarrollando, actualizando y depurando ransomware. El tercer grupo proporciona cobertura y alojamiento. El cuarto grupo trabaja con C&C y administra trabajar desde el centro de mando. El quinto se ocupa de cuestiones financieras y trabaja con socios. El sexto compromete e infecta sitios... Con el desarrollo de RaaS, cuanto más complejo y extendido es el ransomware, más equipos participan y más procesos realizan.
Cuando se enfrentan a un ataque de criptoransomware, las víctimas se enfrentan a una pregunta difícil: ¿deberían pagar el rescate? o ¿Decir adiós a los archivos? Para garantizar su anonimato, los ciberdelincuentes utilizan la red Tor y exigen un rescate en la criptomoneda Bitcoin. A partir de junio de 2016, el equivalente monetario de 1 BTC ya supera los 60 mil rublos y no disminuirá. Desgraciadamente, al decidir pagar, las víctimas, sin saberlo, financian nuevas extorsiones de los ciberdelincuentes, cuyo apetito crece a pasos agigantados y con cada nuevo pago se convencen de su impunidad.
Mira a " Las 100 direcciones de Bitcoin más ricas y distribución de Bitcoin"La mayoría de los millonarios ricos en criptomonedas se volvieron millonarios a través de métodos ilegales e incluso criminales.
¿Cómo ser? Hoy en día no existe una herramienta universal para descifrar datos; sólo existen utilidades independientes creadas y adecuadas para cifradores específicos. Por ello, como principal protección, se recomiendan medidas para prevenir la infección por ransomware, la principal de las cuales esProtección antivirus actualizada. También es muy importante concienciar a los usuarios sobre estas medidas y las amenazas que plantean el ransomware y el ransomware.Nuestro blog fue creado con este propósito.Aquí se recopila información sobre cada ransomware, criptógrafo falso o bloqueador que se hace pasar por ransomware.
En mi segundo blog " Descifradores de archivos"Desde mayo de 2016, se ha resumido la información sobre los descifradores que se crean para descifrar de forma gratuita archivos cifrados con Crypto-Ransomware. Todas las descripciones e instrucciones se publican en ruso por primera vez. Compruébelo periódicamente.
Con el fin de brindar asistencia profesional, en el verano de 2016, Kaspersky Lab, Intel Security, Europol y la policía holandesa organizaron un proyecto conjunto " No más rescate", destinado a combatir el ransomware. Los participantes del proyecto crearon un sitio web.oMoreRansom.org, que contiene información general sobre ransomware (en inglés), así como herramientas gratuitas para recuperar datos cifrados. Al principio sólo había 4 herramientas de este tipo de LC y McAfee.El día de escribir este artículo ya eran 7y la funcionalidad se amplió aún más.
Cabe destacar que este proyecto fue recién en diciembre. complementado un grupo de descifradores que se han descrito durante mucho tiempo en mis blogs "Ransomware Encryptors" y "File Decryptors".
¡No más rescate!
Actualización 15 de diciembre de 2016:
Otras empresas que anteriormente habían lanzado otros descifradores se unieron al proyecto. Ahora ya existen 20 utilidades (algunas incluso dos):
WildFire Decryptor - de Kaspersky Lab e Intel Security
Quimera Decryptor - de Kaspersky Lab
Teslacrypt Decryptor - de Kaspersky Lab e Intel Security
Shade Decryptor - de Kaspersky Lab e Intel Security
CoinVault Decryptor - de Kaspersky Lab
Rannoh Decryptor - de Kaspersky Lab
Rakhni Decryptor - de Kaspersky Lab
Jigsaw Decryptor - desde Check Point
Descifrador de archivos Trend Micro Ransomware - por Trend Micro
NMoreira Decryptor - de Emsisoft
Ozozalocker Decryptor - de Emsisoft
Globe Decryptor - de Emsisoft
Descifrador Globe2 - de Emsisoft
FenixLocker Decryptor - de Emsisoft
Philadelphia Decryptor - por Emsisoft
Stampado Decryptor - de Emsisoft
Xorist Decryptor - de Emsisoft
Nemucod Decryptor - de Emsisoft
Gomasom Decryptor - de Emsisoft
Linux.Encoder Decryptor - de BitDefender
Ahora "No More Ransom" está formado por representantes de 22 países.
¡¡¡Buena suerte con el descifrado!!!
¡No pagues el rescate! ¡Prepararse! ¡Protege tus datos! ¡Haz copias de seguridad! Aprovechando este momento les recuerdo: ¡La extorsión es un delito, no un juego! No juegues a estos juegos.
© Amigo-A (Andrew Ivanov): Todos los artículos del blog
A finales de 2016, se detectó un nuevo virus ransomware: NO_MORE_RANSOM. Recibió un nombre tan largo debido a la extensión que asigna a los archivos de usuario.
Adopté muchas cosas de otros virus, por ejemplo de da_vinci_cod. Desde su reciente aparición en Internet, los laboratorios antivirus aún no han podido descifrar su código. Y es poco probable que puedan hacerlo en un futuro próximo: se utiliza un algoritmo de cifrado mejorado. Entonces, averigüemos qué hacer si sus archivos están cifrados con la extensión "no_more_ransom".
Descripción y principio de funcionamiento.
A principios de 2017, muchos foros se vieron inundados de mensajes “el virus no_more_ransom ha cifrado archivos”, en los que los usuarios pedían ayuda para eliminar la amenaza. No solo fueron atacados ordenadores privados, sino también organizaciones enteras (especialmente aquellas que utilizan bases de datos 1C). La situación para todas las víctimas es aproximadamente la misma: abrieron un archivo adjunto de un correo electrónico y, después de un tiempo, los archivos recibieron la extensión No_more_ransom. El virus ransomware eludió todos los programas antivirus populares sin ningún problema.
En general, según el principio de infección, No_more_ransom es indistinguible de sus predecesores:
Cómo curar o eliminar el virus No_more_ransom
Es importante comprender que después de iniciar No_more_ransom usted mismo, perderá la oportunidad de restaurar el acceso a los archivos utilizando la contraseña de los atacantes. ¿Es posible recuperar un archivo después de No_more_ransom? Hasta la fecha, no existe un algoritmo que funcione al 100% para descifrar datos. Las únicas excepciones son las utilidades de laboratorios conocidos, pero la selección de la contraseña lleva mucho tiempo (meses, años). Pero más sobre la recuperación a continuación. Primero, descubramos cómo identificar el troyano no more rescate (traducción: "no más rescate") y derrotarlo. 
Como regla general, el software antivirus instalado permite que el ransomware ingrese a la computadora; a menudo se lanzan nuevas versiones, para las cuales simplemente no hay tiempo para publicar bases de datos. Los virus de este tipo se eliminan con bastante facilidad de una computadora, porque los estafadores no necesitan que permanezcan en el sistema después de completar su tarea (cifrado). Para eliminarlo, puede utilizar utilidades listas para usar que se distribuyen de forma gratuita:
Usarlos es muy simple: inicie, seleccione los discos, haga clic en "Iniciar escaneo". Sólo queda esperar. Posteriormente aparecerá una ventana en la que se mostrarán todas las amenazas. Haga clic en "Eliminar".
Lo más probable es que una de estas utilidades elimine el virus ransomware. Si esto no sucede, entonces es necesaria la eliminación manual:
Si detecta rápidamente un virus y logra eliminarlo, existe la posibilidad de que algunos de los datos no estén cifrados. Es mejor guardar los archivos que no fueron atacados en una unidad separada.
Utilidades de descifrado para descifrar archivos "No_more_ransom"
Es simplemente imposible encontrar el código usted mismo, a menos que sea un hacker avanzado. El descifrado requiere utilidades especiales. Diré de inmediato que no todos podrán descifrar un archivo cifrado como "No_more_ransom". El virus es nuevo, por lo que adivinar una contraseña es una tarea muy difícil.
Entonces, en primer lugar, intentamos restaurar datos a partir de instantáneas. De forma predeterminada, el sistema operativo, a partir de Windows 7, guarda periódicamente copias de sus documentos. En algunos casos, el virus no puede eliminar copias. Por ello, descargamos el programa gratuito ShadowExplorer. No es necesario instalar nada, sólo descomprimirlo.
Si el virus no elimina las copias, existe la posibilidad de recuperar entre el 80 y el 90 % de la información cifrada.
Los laboratorios antivirus de renombre también ofrecen programas de descifrado para recuperar archivos después del virus No_more_ransom. Sin embargo, no debe esperar que estas utilidades puedan recuperar sus datos. Los cifradores se mejoran constantemente y los especialistas simplemente no tienen tiempo para publicar actualizaciones para cada versión. Envíe muestras al soporte técnico del laboratorio antivirus para ayudar a los desarrolladores.
Para combatir No_more_ransom existe Kaspersky Decryptor. La utilidad se presenta en dos versiones con prefijos y Rakhni (hay artículos separados sobre ellos en nuestro sitio web). Para combatir el virus y descifrar archivos, solo necesita ejecutar el programa y seleccionar las ubicaciones de escaneo.
Además, debe especificar uno de los documentos bloqueados para que la utilidad comience a adivinar la contraseña.
También puedes descargar el mejor descifrador No_more_ransom del Dr. de forma gratuita. Web. La utilidad se llama matsnu1decrypt. Funciona de forma similar con los programas de Kaspersky. Todo lo que tienes que hacer es ejecutar el escaneo y esperar hasta que finalice.