Как расшифровать файл с расширением no_more_ransom после вируса шифровальщика

Примерно месяц назад в сети появился новый вирус-шифровальщик NO_MORE_RANSOM. Назван он так по расширению, которое ставит на файлы после шифрования. Внешне вирус похож на da_vinci_code и скорее всего является его клоном или более современной реализацией. Ведет он себя похожим образом в системе. Да и в целом похож на предыдущий вирус.

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Описание вируса шифровальщика no_more_ransom

Первое, что бросается в глаза это название нового шифровальщика - no_more_ransom. Не так давно был анонсирован международный совместный проект по борьбе с вирусами шифровальщиками - https://www.nomoreransom.org. Инициатором создания проекта выступил антивирус Касперского. И как ответ на открытие проекта появляется новый вирус с одноименным названием. На наших глазах разворачивается картина противостояния вирусов и антивирусов. Возможно, через некоторое время об этом будут снимать фильмы. Хотя я не уверен на 100%, что это противостояние существует. Вдруг это действуют одни и те же структуры, достоверно мы об этом не можем сейчас судить. Это только предположение.

Основывается мое предположение на похожих случаях в фармакологии, когда уже не раз всплывали истории создания для людей определенных проблем со здоровьем, которые потом успешно лечились дорогостоящими лекарствами. А тут по сути то же самое. Кому выгоднее всего наличие в интернете вирусов? Очевидно, что антивирусам. А кому выгодно распространение рака?

"Обеспечьте 10 процентов, и капитал согласен на всякое применение, при 20 процентах он становится оживлённым, при 50 процентах положительно готов сломать себе голову, при 100 процентах он попирает все человеческие законы, при 300 процентах нет такого преступления, на которое он не рискнул бы, хотя бы под страхом виселицы. Если шум и брань приносят прибыль, капитал станет способствовать тому и другому. Доказательство: контрабанда и торговля рабами."

Ведь с тех времен принципиально ничего не изменилось. Мы все живем на том же нравственном фундаменте в настоящее время. В какой-то момент наша страна попыталась его изменить, но проиграла борьбу, значит еще не время, люди в большинстве своем не готовы меняться и становиться человеками. Но это я отвлекся от темы. Вернемся к вирусу.

Все происходит как обычно:

  1. На почту приходит письмо нейтрального содержания, которое многие принимают за рабочую переписку.
  2. В письме вложение с определенным кодом. После запуска вложения, скачивается вирус на компьютер и заражает его.
  3. Начинается шифрование файлов, после окончания пользователь видит информацию о том, что все зашифровано и контакты куда обращаться за расшифровкой.

Конкретно вирус no_more_ransom оставляет в системе на дисках и рабочем столе текстовые файлы README1.txt следующего содержания:

Bаши фaйлы былu зaшuфрованы.
Чmобы paсшuфрoваmь ux, Вам нeобxoдuмo отnpавить koд:
E0188ABF32FC305B50BF|722|6|10
нa электpонный адрec yvonne.vancese1982@gmail.com .
Дaлeе вы пoлучите вcе нeобxодимые инcmрyкцuи.
Поnытku раcшифpoвamь cамoсmoятeльно нe npивeдyт ни k чему, kрoмe бeзвoзвpатной поmepu инфopмaциu.
Ecли вы вcё же хoтume noпытaтьcя, то прeдвaриmельнo cдeлaйтe peзeрвные кonuи файлoв, uначe в cлучаe
их uзменения pасшифpовkа cтaнeт нeвoзмoжнoй нu пpи каkиx ycлoвuях.
Ecлu вы не nолyчuлu omвеma по вышеуkaзанномy адрeсу в течeнue 48 чaсoв (u mолькo в эmoм cлyчае!),
вocпользyйтeсь формой oбpаmной связu. Этo можно cдeлать двумя споcoбамu:
1) Сkачайme и yсmaновuтe Tor Browser nо cсылke: https://www.torproject.org/download/download-easy.html.en
В aдрeсной cmрokе Tor Browser-а ввeдите aдрес:
http://cryptsen7fo43rr6.onion/
u нaжмume Enter. Загpyзumcя cmpaница с формoй обpаmной cвязи.
2) В любом браузepe перeйдume пo одному uз адресoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Ваши файлы были зашифрованы no_more_ransom

Текст письма похож на все предыдущие версии шифровальщиков - Enigma, Vault. Про да винчи я уже упомянул. Это наводит на мысль, что пишутся они одними и теми же людьми. Я рекомендую ознакомиться с описанием выше приведенных вирусов, особенно da_vinci_code. По сути это то же самое, поэтому дальше я буду в основном повторяться.

Как только поняли, что ваши файлы зашифрованы, сразу же выключайте компьютер. И на всякий случай вытащите сетевой провод, чтобы отключить компьютер от сети и по ошибке потом не загрузить его с активной сетью. Некоторые вариации вирусов, например ваулт, шифруют и сетевые диски. Ниже я расскажу, как действовать дальше, чтобы восстановить хотя бы часть, а при удаче и все файлы.

Вирус ставит расширение no_more_ransom на файлы

После работы вируса на компьютере все ваши полезные файлы будут переименованы, и заменено расширение на no_more_ransom. Плохо еще то, что имена файлов будут тоже изменены. Вы не сможете достоверно узнать, какие именно файлы зашифрованы, если не помните точно, где и что у вас лежало. Названия файлов приобретут следующий вид:

  • 1uUxn+rIgpjNG0NbxMJG2EVGVlVujSiGY+ZEaodVYkPZ276fgzxSH5XVJZ+m62HrJj-jvVz0A+c5CH9H9htVpqZibtcArKoO8ublF5NiPK4=.E0188ABF32FC305B50BF.no_more_ransom
  • --B8vyQyK-L0cKbW5G77ptS8svf2ZZpJZPuVdxBkpZ13-raxNiehV2C-AlYhAxqasDM6gP8j9vwAb1AN0lOCeAUMO00YyedzSsIJrOXlkH1Mvg1VhAavFVQPtg98zPzYKsmmhazTO9Bz+lA+NImS8A==.E0188ABF32FC305B50BF.no_more_ransom
  • DIRInxdjashCXts6MVT7kMAvE91nzNvP0jaXMvNas7vTEWGrNLVj9IDeIqW3XvOSsjzetxglc-SDuNqN2FlghQ==.E0188ABF32FC305B50BF.no_more_ransom

и так далее. То есть вообще не понятно, что конкретно было в этих файлах. Из-за этого выборочно расшифровать файлы не получится - либо все, либо ничего. Вам повезет, если будут зашифрованы только локальные файлы. Хуже, если вирус пройдется и по сетевым дискам. Это вообще может парализовать работу всей организации. Даже если есть бэкапы, восстановление может занять значительное время. А если бэкапов нет, то беда.

Как лечить компьютер и удалить вирус no_more_ransom

Вирус no_more_ransom уже у вас на компьютере. Первый и самый главный вопрос — как вылечить компьютер и как удалить из него вирус, чтобы предотвратить дальнейшее шифрование, если оно еще не было закончено. Сразу обращаю ваше внимание на то, что после того, как вы сами начнете производить какие-то действия со своим компьютером, шансы на расшифровку данных уменьшаются. Если вам во что бы то ни стало нужно восстановить файлы, компьютер не трогайте, а сразу обращайтесь к профессионалам. Ниже я расскажу о них и приведу ссылку на сайт и опишу схему их работы.

А пока продолжим самостоятельно лечить компьютер и удалять вирус. Традиционно шифровальщики легко удаляются из компьютера, так как у вируса нет задачи во что бы то ни стало остаться на компьютере. После полного шифрования файлов ему даже выгоднее самоудалиться и исчезнуть, чтобы было труднее расследовать иницидент и расшифровать файлы.

Описать ручное удаление вируса трудно, хотя я пытался раньше это делать, но вижу, что чаще всего это бессмысленно. Названия файлов и пути размещения вируса постоянно меняются. То, что видел я уже не актуально через неделю-две. Обычно рассылка вирусов по почте идет волнами и каждый раз там новая модификация, которая еще не детектится антивирусами. Помогают универсальные средства, которые проверяют автозапуск и детектят подозрительную активность в системных папках.

Для удаления вируса no_more_ransom можно воспользоваться следующими программами:

  1. Kaspersky Virus Removal Tool - утилитой от касперского http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - похожий продукт от др.веб http://free.drweb.ru/cureit.
  3. Если не помогут первые две утилиты, попробуйте MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Скорее всего, что-то из этих продуктов очистит компьютер от шифровальщика no_more_ransom. Если вдруг так случится, что они не помогут, попробуйте удалить вирус вручную. Методику по удалению я приводил на примере вируса да винчи, можете посмотреть там. Если кратко по шагам, то действовать надо так:

  1. Смотрим список процессов, предварительно добавив несколько дополнительных столбцов в диспетчер задач.
  2. Находим процесс вируса, открываем папку, в которой он сидит и удаляем его.
  3. Чистим упоминание о процессе вируса по имени файла в реестре.
  4. Перезагружаемся и убеждаемся, что вируса no_more_ransom нет в списке запущенных процессов.

Где скачать дешифратор no_more_ransom

Вопрос простого и надежного дешифратора встает в первую очередь, когда дело касается вируса-шифровальщика. Первое, что я посоветую, это воспользоваться сервисом https://www.nomoreransom.org. А вдруг вам повезет у них будет дешифратор под вашу версию шифровальщика no_more_ransom. Скажу сразу, что шансов у вас не много, но попытка не пытка. На главной странице нажимаете Yes:

Дешифратор no_more_ransom

Затем загружаете пару зашифрованных файлов и нажимаете Go! Find out:

Отправка зашифрованных файлов

На момент написания статью дешифратора на сайте не было.

Неудачная дешифровка

Возможно вам повезет больше. Можно еще ознакомиться со списком дешифраторов для скачивания на отдельной странице - https://www.nomoreransom.org/decryption-tools.html. Может быть там найдется что-то полезное. Когда вирус совсем свежий шансов на это мало, но со временем возможно что-то появится. Есть примеры, когда в сети появлялись дешифраторы к некоторым модификациям шифровальщиков. И эти примеры есть на указанной странице.

Где еще можно найти дешифратор я не знаю. Вряд ли он реально будет существовать, с учетом особенностей работы современных шифровальщиков. Полноценный дешифратор может быть только у авторов вируса.

Как расшифровать и восстановить файлы после вируса no_more_ransom

Как и с любым другим вирусом-шифровальщиком, расшифровать файлы без закрытого ключа, который находится у злоумышленников, невозможно. Единственным вариантом для самостоятельного возврата файлов является их восстановление из теневых копий, либо с помощью программ для восстановления удаленных файлов.

Нам понадобится программа shadow explorer для восстановления файлов из теневых копий. Чтобы попытаться восстановить остальные файлы, воспользуемся программой для восстановления удаленных файлов photorec. Обе программы бесплатные, можно без проблем качать и пользоваться. Дальше расскажу как их использовать.

Для начала попробуем восстановить архивные копии файлов, которые хранятся в теневых копиях диска. По-умолчанию, начиная с Windows 7 технология теневых копий включена. Проверить это можно в свойствах компьютера, в разделе защита системы.

Проверка защиты системы

Если у вас она включена, то запускайте программу ShadowExplorer, которую я предлагал скачать чуть выше. Распаковывайте из архива и запускайте. Нас встречает главное окно программы. В левом верхнем углу можно выбрать диск и дату резервной копии. Скорее всего у вас их будет несколько, нужно выбрать необходимую. Чтобы восстановить как можно больше файлов, проверьте все даты на наличие нужных файлов.

Восстановление файлов no_more_ransom

В моем примере на рабочем столе лежат 4 документа, которые там были до работы вируса. Я их могу восстановить. Выделяю нужную папку, в данном случае Desktop и нажимаю правой кнопкой мышки, жму на Export и выбираю папку, куда будут восстановлены зашифрованные файлы.

Сохранение восстановленных файлов

Если у вас не была отключена защита системы, то с большой долей вероятности вы восстановите какую-то часть зашифрованных файлов. Некоторые восстанавливают 80-90%, я знаю такие случаи.

Если у вас по какой-то причине нет теневых копий, то все значительно усложняется. У вас остается последний шанс бесплатно расшифровать свои файлы - восстановить их с помощью программ по поиску и восстановлению удаленных файлов. Я предлагаю воспользоваться бесплатной программой Photorec. Скачивайте ее и запускайте.

После запуска выберите ваш диск, на котором будем проводить восстановление данных. Затем укажите папку, куда будут восстановлены найденные файлы. Лучше, если это будет какой-то другой диск или флешка, но не тот же самый, где осуществляете поиск.

Восстановление удаленных файлов

Поиск и восстановление файлов будет длиться достаточно долго. После окончания процесса восстановления вам будет показано, сколько и каких файлов было восстановлено.

Статистика восстановления

Можно закрыть программу и пройти в папку, которую указали для восстановления. Там будет набор других папок, в которых будут файлы. Все, что получилось расшифровать, находится в этих папках. Вам придется вручную смотреть, искать и разбирать файлы.

Список восстановленных файлов

Если результат вас не удовлетворит, то есть другие программы для восстановления удаленных файлов. Вот список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Это все, что я знал и мог подсказать на тему того, как расшифровать и восстановить файлы после вируса no_more_ransom. В принципе, шансы на восстановление есть, но не в полном объеме. Наверняка может помочь только своевременно сделанная архивная копия.

Касперский, eset nod32 и другие в борьбе с шифровальщиком

Современные антивирусы, к сожалению, до сих пор пасуют перед угрозой шифровальщиков. Они и пропускают их на компьютер, и не могут ничего предложить по расшифровке. К примеру, вот ответ с форма Eset Nod 32 по поводу расшифровки файлов после no_more_ransom:

Ответ nod32 по возможности расшифрования

http://forum.esetnod32.ru/messages/forum35/topic13688/message96440/#message96440

Kaspersky тоже не может расшифровать no_more_ransom

Ответ касперского по расшифровке

https://forum.kasperskyclub.ru/index.php?showtopic=52990&p=777596

Это хоть и не официальный форум касперского, но с него отправляют писать запросы именно сюда. Можно, конечно, попробовать написать в техподдержку, но вряд ли они смогут предложить готовое решение по расшифровке. Но тем не менее, попробовать стоит, если у вас есть лицензия антивируса.

Если у вас лицензия Dr.Web, попробуйте обратиться в их техподдержку. У них есть отдельная форма для отправки запросов по поводу расшифровки файлов - https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru. Хотя они принимают запросы даже от тех, кто не приобретал их антивирус, но тем не менее в приоритете будет обращение клиента компании.

Методы защиты от вируса no_more_ransom

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

  1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
  2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
  3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву. К примеру no_more_ransom показывает сначала очень замыленное изображение файла и предлагает скачать версию с четким изображением. И люди ведутся.
  4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
  5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe, .vbs, .src. В повседеневной работе с документами вам вряд ли попадаются подобные расширения файлов.

Постарался дополнить то, что уже писал раньше в каждой статье про вирус шифровальщик. Постараюсь в скором времени сделать единую компиляцию по всем известным мне вирусам-шифровальщикам, чтобы охватить все аспекты в одном месте. А пока прощаюсь. Буду рад полезным замечаниям по статье и вирусу-шифровальщику no_more_ransom в целом.

Видео c расшифровкой и восстановлением файлов

Здесь пример предыдущей модификации вируса, но видео полностью актуально и для no_more_ransom.

Углубленный онлайн-курс по MikroTik.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Автор Zerox

Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

29 комментариев

  1. просто заглянул

    Chrome не пользуйте - самый дырявый браузер, если без умной настройки. И все что на основе Chromium и V8 (там и Opera 11.50+ и Яндекс.Браузер и тп).
    partners-ok и другие пострадавшие: про AES или RSA хоть прочитайте. А там еще простор для творчества огромный... Оттого каспер, веб да симантек и пишут честно, что с расшифровкой ничем помочь не могут.

  2. Андрей

    Zerox
    Ну как бы переименовывая и редактируя файл это не какой то волшебный контейнер, в котором работает восстановление, а конкретно переименование это затирание старого названия в базе данных, которой является файловая система, и она хранится на жёстком диске, то есть грубо говоря на жёсткий диск пишет новое имя файла напрочь забывая о старом, а если не забывая, то о месте расположения старого имени нет никаких сведений, даже если оно там и осталось нетронутым, но адреса на него уже нет. А копия файловой системы наверно нужна только для случая если запись в основную копию не завершилась, например при потери питания. То есть в ней не хранятся какие либо старые файлы.
    То же самое и с редактированием файла, грубо говоря, так как файл имеет открытый дескриптор, то пишет он файл возможно не поверх старого, а в свободное место, а потом уже это старое место помечает свободным. Так как он пишет данные поверх старого, то данные ещё более намагничивают, грубо говоря к примеру от 0 до 0,5 Вольт считается нулём, а от 0,5 до 1 Вольт считается логической единицей. Если мы на 0 пишем но он остаётся 0, если на 1 пишем 0 он становится например 0,3 вот эта остаточная намагниченность и является сырой способ чтения данный бывших лежащих на том месте где сейчас уже находятся другие файлы, поэтому иногда восстанавливаемые данные могут двукратно превышать объём самого жесткого диска с которого восстанавливаются. А со свободного пространства вообще читать можно даже без каких либо проблем.

    Да работает сейчас сайт, а вчера выдавал типа "Ваше соединение не защищено"
    https://support.mozilla.org/ru/kb/chto-znachit-oshibka-pri-ustanovlenii-zashishyonno
    Всё сделал, ответа пока нет. Указал свой мейл, отправил шифрованный 2 файла... жду

  3. Аноним

    Zerox
    Попробовал сайт nomoreransom.org, он в большинстве случаев не доступен. Удалось один раз зайти на него из LiveCD и то в итоге ошибка и больше не удаётся зайти. Нужно указать что файлы загружаемые менее 1 Мб и надо указать почтовый ящик.

    Попробовал photorec, сутки примерно читал диск, восстановил 169 Гб, но в них как я понимаю нет ни единого файла из тех что зашифрованы, например возвратил всего 2 фотографии, а там их наверно тысячи. Может вирус ещё и подтирает шифруемые данные? Ведь данные надо более 4-х раз затереть чтобы они стали невостанавливаемыми.

    • Я вот прямо сейчас зашел на сайт nomoreransom.org, с ним все в порядке. А по поводу восстановления файлов. Там очень много нюансов. И вирусы ведут себя по-разному. Я сейчас точно не вспомню, что некоторые делают, но что-то специально, не удаляя файл, а именно переименовывая и редактируя несколько раз исходный файл так, чтобы его невозможно было восстановить средствами восстановления.

  4. Андрей

    Теоретически расшифровать запороленный файл невозможно не зная пароля. Допустим вирус его генерирует и отправляет по сети, или внутри имеется 1000 паролей и он выбирает наугад один из паролей. То есть одна копия программы может сгенерировать на разных компьютерах разные пароли. А число паролей может быть и больше или вообще генерироваться по формуле, а потом автор вируса просто проверит какой пароль из 1000 подходит, это всё равно меньше чем подбор пароля методом перебора, где оперируется 7-значные или 14-значные пароли (биллионы паролей). Хотя если спецы декомпилируют прогу, то да, теоретически вроде возможно. Вот и думай честные они или сами же участвуют в этом.

    • Ситуации разные бывают. Например, может быть вот так - https://habrahabr.ru/post/327618/
      Так что обращаться к специалистам всегда имеет смысл, если нужно гарантированно восстановить файлы.

  5. Добрый день!
    Подскажите пожалуйста как удалить зараженные файлы no_more_ransom
    Поймала вирус на работе,решили все удалять,важное было,но восстановила без потерь с другого компьютера.
    Удалила зашифрованные файлы,но не все удаляются.
    Но и не отовсюду получилось удалить т.к. не представляю куда он мог залезть,сегодня вот нашла файлы в cooky
    Когда я пытаюсь переименовать файл или удалить он пишет-открыть,mediainfo и отправить(в корзину отправить нельзя)
    Как можно удалить эти уже ненужные файлы и как можно удалить их заставку с рабочего стола? при выборе картинок на рабочий стол эта картинка стоит в меню выбора.Компьютер старый,версия xp.
    Спасибо!

    • Можно поиском в компьютере найти все файлы, где в конце встречается no_more_ransom и удалить их. Заставку на рабочем столе можно сменить штатным способом через параметры экрана. Не помню, как это точно называется в winxp.

  6. Аноним

    делайте раз в неделю или по необходимости резервные копии ваших файлов

    съемный диск на
    1000 ГБ - 3 400р
    2000 ГБ -5 000р

    Помогает от:
    1. шифровальщиков
    2 случайного удаления
    3. ошибочного изменения файлов
    4. поломки жесткого диска в компе (ноутбуке)
    5. Сбоев программ
    6. Утери ноутбука со всеми файлами.
    7. Падения ноута

    Главное после того как резервная копия готова, отключить диск и держать его подальше от ноута, лучше в другом месте \ квартире

    • Все верно. Делать архивные копии раз в 10 дешевле, чем потом расшифровывать файлы.

      • Словил на домашнем компе подобную хрень - Spora ransomwere. Шифровать особо на нем нечего было, фотки и видосы не тронулись.. ну и фиг бы сним..
        Получилось, что шифровальщик отстрелялся и свалил, но.. при перезагрузке активируется заставка - "мол всё зашифровано и т.д. и т.п."
        Вопрос в том, как убрать это. Антивири не стояло в принципе. Пробники Каспера не помогают, Др.Веб нашел 3 трояна, кучу чего то еще.. но всё это безтолку..
        С-Клинер, откат системы, все по-фиг.. Каждый раз при перезагрузке или при запуске активируется эта заставка в Гугл-Хромовском браузере..
        Хром тож раза два сносил, безтолку..
        Что можно попробовать еще и есть ли смысл? Осталось тока Винду сносить?

  7. После нового года, поймала этот вирус. Сказать, что расстроилась-ничего не сказать, много нужных файлов было. По рекламе нашла dr-shifro, ради интереса скинула им файл, через час они мне его прислали расшифрованный....и никто не лазил в компе. Вот у меня тогда вопрос нашим хваленным антивирусным компаниям, почему кто то может без проблем расшифровать nо_ransom (или они его и пишут?), а они руками разводят? запросили 30 000 за восстановление, что то мне расхотелось им платить, так как подозреваю, что они же его и пишут.

    • К сожалению, за восстановление цены примерно такие и есть. Мне знакомы компании, которые платили как раз сопоставимые суммы в районе 30-50 т.р. за восстановление своей информации. В масштабах компании это не большие деньги, если сравнивать с тем, к каким убыткам может привести потеря бухгалтерских баз. Но для обычного человека, конечно, это очень дорого.

  8. Николай

    Мужики! Что делать то? Секретарь директора поймала около 4 Гб успел зашифровать пока я не пришел! И не подчистил вирус! Куда обращаться?

    • В статье есть ссылки, куда обратиться. Но нужно понимать, что это в любом случае попадос на деньги, если своими силами не получилось восстановить файлы.

  9. В какой момент они оплату просят? После тестовой расшифровки одного файла или после полной всех файлов?

  10. Олег Мехоношин

    В Америке этих ухарей из dr-shifro ФБР сразу бы накрыло. Ну, а у наших служб нет никаких интересов, кроме как выслужиться.

    • Так а за что их накрывать? Накрывать надо тех, кто пишет эти вирусы и по почте рассылает. А фирм по расшифровке сейчас полно, выбирай любую. Это следствие, а не причина.

      • Детский вопрос - а что, создать батник, который всё запакует средствами самой же винды, а потом сам же всё и потрет сложно? По-моему, особой сообразиловки не надо. А вот на фирмы смотреть надо. Только работа это кропотливая. тут смотреть надо, как часто на территории, где эта фирма работает, такие факты происходят. Ну и соответственно... Ибо ОЧЕНЬ похоже на работу группы талантливых личностей...

  11. Аноним

    Да очень похоже на тесное сотрудничество профессионалов
    раньше "специалисты" разводили население на удаление вирусов но возникала проблема отъёма денег честными способами
    так как "лечение" проводилось штатными антивирусами по времени и не все в полном объёме оплачивали данные услуги когда понимали что их просто разводят на..
    теперь этот недостаток устранен рыночная экономика и оптовые закупки можно сказать первые дилеры и ведь не подкопаешся!
    я плачу! договор уплата налогов, это круто
    пока Касперский и Ко нервно курит в сторонке считая убытки ребята открывают легальный бизнес по всей стране
    браво!

  12. Аноним

    Автор статьи признался бы прямым текстом что заодно с этими пидарасами. Писать что точно разблокируют после подписания договора и при этом типа хз как работают но точно не кидает. Откуда тогда такие познания если к ним не обращался, пидоры все те кто пишет вирусы и шифровальщики.

    • Ну конечно, и весь этот сайт я сделал специально, чтобы авторов вирусов рекламировать.

  13. Полу-Ночник

    или эти кренделя из др.шифро сами пишут ransomware, которое успешно "лечат" или используют бесплатные сервисы по расшифровке. т.к. если верить вымогателям, используется rsa3072, что в разумное время (скажем ближайшие ??? лет) не поддастся расшифровке альтернативными способами... а, забыл ещё вариант - они покупают ключ расшифровки у вымогателей и накручивают свои "дилерские" проценты за выезд и "сервис" )))

    • ДрШифро обычные посредники. Сначала деньги, потом стулья. Рисковать за свой счет никто не станет; сначала клиент, очевидно, вносит хорошую предоплату, и только после этого ДрШифро связываются тем образом, что указан в письме от вымогателя, с последним и выкупают программу расшифровки. Если расшифровка удачна, накидывают свой хороший % к стоимости.

  14. В феврале бухгалтер открыла такое письмо, жулики попросили 16000 рублей, профессионалы 24000, бухгалтер послала всех и сказала удаляй, я на флешку сбрасывала месяц назад. Теперь я параноидально скидываю её документы на два компа. В марте она ещё раз получила такое же письмо, эти балбесы даже текст письма не сменили, но, наученная горьким опытом, открывать не стала.

    • Я после всех историй с шифровальщиками дома отдельный системный блок держу для архивов. Включаю его, сливаю на него бэкапы и выключаю. Боюсь потерять семейный архив фотографий и видео. Объем большой, пополняется регулярно, домашние постоянно в интернете, вдруг что-нибудь зацепят. На работе везде тоже стараюсь предусмотреть отдельный бэкап сервер с ограниченным доступом на запись.

      • А толк от доп. системника? Все равно файлы с вирусом могут с Вашими бекапами уйти туда.
        Для начала необходимо все файлы, которые готовятся к отправке закидываться в архиватор, желательно запароленный.
        Во-вторых - все файлы на другом системнике строго настрого запрещены к запуску (даже архивы). Т.е. на каждую папку с архивами должно быть описание в отдельном файле о том, что в архиве содержится.
        В третих, зачем так мучаться? Поставьте себе линукс и в какой-то мере забудьте о вирусах (у меня на флешке часто замечаются вирусы, при том, что компу ничем это не грозит по той причине, что все вирусы обычно заточены под виндовс.

        • На линукс тоже есть шифровальщики, так что это на защиту не тянет.

          Отдельный системник всегда выключен, запускается только для бэкапа, потом выключается. Ведется история изменений файлов. Так что не вижу тут никаких угроз. Даже если вдруг я не замечу, а это вряд ли, что файлы зашифрованы, всегда могу откатиться на предыдущие версии.

          Вирус живет и здравствует. Буквально вчера из архива восстанавливал все сетевые шары в одной конторе. Вирус за пару часов зашифровал 60 гигов на сетевом диске. Вот был бы номер, если бы не было бэкапов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar