Вирус-шифровальщик NO_MORE_RANSOM – новая угроза личным данным

В конце 2016 года был замечен новый вирус-шифровальщик – NO_MORE_RANSOM. Такое длинное название он получил из-за расширения, которое присваивает файлам пользователя.

Очень многое перенял у других вирусов, например у da_vinci_cod. Так как появился в Сети недавно, антивирусные лаборатории еще не смогли расшифровать его код. Да и сделать в ближайшее время это вряд ли смогут – используется улучшенный алгоритм шифровки. Итак, разберемся, что делать, если ваши файлы зашифрованы с расширением «no_more_ransom».

Описание и принцип работы

Главная задача No_more_ransom и других вирусов-шифровальщиков – блокировка файлов пользователя с целью последующего выкупа. Совместил в себе черты предыдущих версий вирусов, получив более стойкий алгоритм шифровки. Как заявили авторы, используется режим шифрования RSA-3072, которые в разы лучше RSA-2048.

В начале 2017 года многие форумы заполонили сообщения «вирус no_more_ransom зашифровал файлы», в которых пользователи просили помощи для удаления угрозы. Атаке подверглись не только частные компьютеры, но и целые организации (особенно те, в которых используются базы 1С). Ситуация у всех пострадавших примерно одинаковая: открыли вложение из электронного письма, через некоторое время файлы получили расширение No_more_ransom. Вирус-шифровальщик при этом без проблем обходил все популярные антивирусные программы.

Вообще, по принципу заражения No_more_ransom ничем не отличим от своих предшественников:

  1. На электронную почту поступает письмо нейтрального содержания с вложением. Как правило, оно маскируется под рабочую переписку или сообщение от каких-либо организаций.
  2. Вложение, представляющее текстовый документ или архив, несет в себе вредоносный код, который начинается распространяться после открытия на компьютере. То есть, заражение пользователь начинает самолично.
  3. Вирус-шифровальщик очень быстро заражает каждый файл на ПК, добавляя расширение и сложный пароль. Чтобы обеспечить собственную безопасность, вирус копирует себя в корневые каталоги и реестр.
  4. На рабочем столе и в некоторых системных папках появляется текстовый документ, содержание которого примерно одинаково. В нем злоумышленник за определенную плату обещает выслать пароль. Для его поучения составлены инструкции.
  5. Вот и все. После этого, пользователи, впадая в панику, начинают искать информацию, как расшифровать файлы, что делать с вирусом No_more_ransom. Дабы спасти ценные данные, многие даже идут навстречу мошенникам, пересылая деньги. Вот только зачастую злоумышленники не спешат выполнить обещание.

Как вылечить или удалить вирус No_more_ransom

Важно понимать, что после того, как вы начнете самостоятельно бороться с вирусом-шифровальщиком No_more_ransom, потеряете возможность восстановить доступ к файлам при помощи пароля злоумышленников. Можно ли восстановить файл после No_more_ransom? На сегодняшний день нет на 100% рабочего алгоритма расшифровки данных. Исключением становятся только утилиты от известных лабораторий, но подбор пароля занимает очень много времени (месяцы, годы). Но о восстановлении чуть ниже. Для начала разберемся, как определить троян no more ransom (перевод – «нет больше выкупа») и побороть его.

Как правило, установленное антивирусное ПО пропускает шифровальщики на компьютер – часто выходят новые версии, для которых попросту не успевают выпускать базы. Вирусы этого типа довольно просто удаляются с компьютера, ведь мошенникам и не нужно, чтобы они оставались в системе, выполнив свою задачу (шифрование). Для удаления можно воспользоваться уже готовыми утилитами, которые распространяются бесплатно:

  • Kaspersky Virus Removal Tool. Не требует установки. Необходимо скачать и запустить проверку.
  • Dr.Web CureIt! Отличная утилита для борьбы с любыми угрозами. Не требует установки – скачиваем последнюю версию и запускаем проверку.
  • Malwarebytes. Если две первых не помогли, можно попробовать эту утилиту.

Пользоваться ими очень просто: запускаем, выбираем диски, жмем «Начать проверку». Остается лишь ждать. После появится окошко, в котором будут отображены все угрозы. Жмем «Удалить».

Скорее всего, одна из этих утилит удалит вирус-шифровальщик. Если этого не произошло, то необходимо удаление вручную:

  1. Откройте «Диспетчер задач». Найдите процесс вируса (по названию). Переходим в папку, в которой он разместился.
  2. Удаляем. Переходим в реестр. Для этого нажимаем сочетание клавиш Win+R, в строку «Выполнить» вписываем «regedit». Перейдите в пункт «Правка», далее «Найти», здесь вводим «Client Server Runtime Subsystem». Находим и удаляем вирус No_more_ransom.
  3. Перезагружаем компьютер, заходим в «Диспетчер задач» и проверяем, чтобы не было процесса «No_more_ransom».

Если быстро заметите вирус, успев его удалить, то есть шанс, что часть данных не будет зашифрована. Лучше сохранить файлы, которые не подверглись атаке, на отдельный накопитель.

Утилиты-дешифровщики для расшифровки файлов «No_more_ransom»

Подобрать код самостоятельно просто невозможно, если только вы не продвинутый хакер. Для расшифровки потребуются специальные утилиты. Сразу скажу, что далеко не всем удастся расшифровка зашифрованного файла типа «No_more_ransom». Вирус новый, поэтому подбор пароля — очень сложная задача.

Итак, первым делом пробуем восстановить данные из теневых копий. По умолчанию операционная система, начиная с Windows 7, регулярно сохраняет копии ваших документов. В некоторых случаях вирусу не под силу удалить копии. Поэтому скачиваем бесплатную программу ShadowExplorer. Устанавливать ничего не придется – нужно просто распаковать.

  1. Запускаем утилиту.
  2. В левом верхнем углу видим две колонки: буква диска и дата сохранения копий.
  3. Переходим к нужному логическому диску, выбрав букву из выпадающего списка.
  4. Далее ищем нужную папку с документами. Перебираем даты создания копий, пока не найдем подходящую.
  5. Жмем правой кнопкой мыши по папке, а затем «Export». В новом окошке выбираем, в какую папку сохранить копии.

Если вирус не удалил копии, то есть вероятность восстановить порядка 80-90% зашифрованной информации.

Программы-дешифраторы для восстановления файлов после вируса No_more_ransom предлагают и известные антивирусные лаборатории. Правда, не стоит рассчитывать, что эти утилиты сумеют восстановить ваши данные. Шифровальщики постоянно совершенствуются, а специалисты попросту не успевают выпускать обновления для каждой версии. Отправляйте образцы в техническую поддержку антивирусных лабораторий, чтобы помочь разработчикам.

Для борьбы с No_more_ransom есть Kaspersky Decryptor. Утилита представлена в двух версиях с приставками Rector и Rakhni (о них на нашем сайте есть отдельные статьи). Для борьбы с вирусом и расшифровки файлов необходимо просто запустить программу, выбрав места проверки.

Помимо этого, требуется указать один из заблокированных документов, чтобы утилита занялась подбором пароля.

Можно бесплатно скачать и лучший дешифратор No_more_ransom от Dr. Web. Утилита называется matsnu1decrypt. Работает по схожему сценарию с программами от Kaspersky. Достаточно запустить проверку и дождаться окончания.

Ещё по теме

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *