Plus de récupération de rançon. NO_MORE_RANSOM ransomware - une nouvelle menace pour les données personnelles
Fin 2016, un nouveau virus de chiffrement, NO_MORE_RANSOM, a été remarqué. Son nom est si long en raison de l'extension qu'il attribue aux fichiers de l'utilisateur.
J'ai adopté beaucoup d'autres virus, par exemple, de da_vinci_cod. Depuis son apparition récente sur le Web, les laboratoires antivirus n'ont pas encore réussi à déchiffrer son code. Et il est peu probable qu'ils soient en mesure de le faire dans un avenir proche - un algorithme de cryptage amélioré est utilisé. Voyons donc quoi faire si vos fichiers sont cryptés avec l'extension "no_more_ransom".
Description et principe de fonctionnement
Début 2017, de nombreux forums ont été inondés de messages « no_more_ransom virus crypted files », dans lesquels les utilisateurs demandaient de l'aide pour supprimer la menace. Non seulement des ordinateurs privés ont été attaqués, mais aussi des organisations entières (en particulier celles qui utilisent des bases de données 1C). La situation pour toutes les victimes est à peu près la même : elles ont ouvert une pièce jointe e-mail, après un certain temps, les fichiers ont reçu l'extension No_more_ransom. Dans le même temps, le virus ransomware a contourné tous les programmes antivirus.
En général, selon le principe d'infection, No_more_ransom est indiscernable de ses prédécesseurs :
Comment guérir ou supprimer le virus No_more_ransom
Il est important de comprendre qu'après avoir démarré No_more_ransom par vous-même, vous perdrez la possibilité de restaurer l'accès aux fichiers en utilisant le mot de passe des intrus. Est-il possible de récupérer un fichier après No_more_ransom ? À ce jour, il n'existe pas d'algorithme de décryptage des données 100 % fonctionnel. Les seules exceptions sont les utilitaires de laboratoires bien connus, mais la devinette de mot de passe prend beaucoup de temps (mois, années). Mais à propos de la restauration un peu plus bas. Voyons d'abord comment identifier le cheval de Troie no more ransom (traduction - "no more ransom") et le surmonter. 
En règle générale, le logiciel antivirus installé permet aux rançongiciels de pénétrer dans l'ordinateur - de nouvelles versions sont souvent publiées pour lesquelles les bases de données n'ont tout simplement pas le temps de se publier. Les virus de ce type sont assez faciles à supprimer de l'ordinateur, car les escrocs n'en ont pas besoin pour rester dans le système après avoir terminé leur tâche (cryptage). Pour supprimer, vous pouvez utiliser des utilitaires prêts à l'emploi qui sont distribués gratuitement :
Leur utilisation est très simple : lancez, sélectionnez les disques, cliquez sur "Lancer l'analyse". Il ne reste plus qu'à patienter. Après cela, une fenêtre apparaîtra dans laquelle toutes les menaces seront affichées. Cliquez sur "Supprimer".
Très probablement, l'un de ces utilitaires supprimera le virus ransomware. Si cela ne se produit pas, une suppression manuelle est nécessaire :
Si vous remarquez rapidement le virus après avoir réussi à le supprimer, il est possible que certaines données ne soient pas cryptées. Il est préférable de sauvegarder les fichiers qui n'ont pas été attaqués sur un lecteur séparé.
Utilitaires de décryptage pour décrypter les fichiers "No_more_ransom"
Récupérer le code vous-même est tout simplement impossible, à moins que vous ne soyez un pirate informatique avancé. Le déchiffrement nécessitera utilitaires spéciaux. Je dois dire tout de suite que tout le monde ne pourra pas décrypter un fichier crypté comme "No_more_ransom". Le virus est nouveau, donc deviner un mot de passe est une tâche très difficile.
Donc, tout d'abord, nous essayons de restaurer les données à partir de clichés instantanés. Défaut système opérateur, à partir de Windows 7, enregistre régulièrement des copies de vos documents. Dans certains cas, le virus est incapable de supprimer des copies. Par conséquent, nous téléchargeons programme gratuit explorateur d'ombres. Vous n'avez rien à installer, il vous suffit de déballer.
Si le virus n'a pas supprimé les copies, il y a une chance de récupérer environ 80 à 90 % des informations cryptées.
Des programmes de décryptage pour récupérer des fichiers après le virus No_more_ransom sont également proposés par des laboratoires antivirus bien connus. Certes, vous ne devez pas vous attendre à ce que ces utilitaires puissent récupérer vos données. Les chiffreurs sont constamment améliorés et les spécialistes n'ont tout simplement pas le temps de publier des mises à jour pour chaque version. Envoyez des échantillons à soutien technique laboratoires antivirus pour aider les développeurs.
Pour combattre No_more_ransom, il y a Kaspersky Decryptor. L'utilitaire est présenté en deux versions avec préfixes et Rakhni (il existe des articles séparés à leur sujet sur notre site Web). Pour combattre le virus et décrypter les fichiers, il vous suffit d'exécuter le programme en sélectionnant les emplacements d'analyse.
De plus, vous devez spécifier l'un des documents verrouillés pour que l'utilitaire commence à deviner le mot de passe.
Vous pouvez également télécharger le meilleur décodeur No_more_ransom de Dr. La toile. L'utilitaire s'appelle matsnu1decrypt. Fonctionne selon un scénario similaire avec les programmes de Kaspersky. Il suffit de commencer la vérification et d'attendre la fin.
Désormais, ce n'est un secret pour personne que tous les types de crimes existants ont été transférés sur Internet. Parmi eux figurent le cyberespionnage, le cyberterrorisme, la cyberfraude, le cybervol et, selon le sujet de ce blog, la cyberextorsion et le cyberchantage.
On a longtemps voulu assimiler les cybercrimes en Russie à du vol, en augmentant les peines, mais cette question a été soulevée à la suggestion de structures bancaires, qui soi-disant les pirates ne donnent pas la vie. C'est peut-être ainsi. Qui parle de quoi, et les banques parlent de hackers...
Le projet de loi en préparation mentionne également le téléchargement de programmes sans licence et de "chefs-d'œuvre" audio-vidéo de l'industrie moderne des "chefs-d'œuvre", qui se déversent sur nous comme une baignoire d'eau sale. Une fois de plus, il s'agit d'une chasse aux sorcières, et non de véritables cybercriminels, qui se sont répandus comme une peste sur le World Wide Web et ont touché toutes les familles de tous les pays du monde ayant accès à Internet.
Oui, je parle du Ransomware Plague : crypto-ransomware, ransomware, bloqueurs et toutes sortes de contrefaçons, c'est-à-dire des programmes qui se font passer pour des rançongiciels, des bloqueurs, des programmes qui proposent un "nettoyage" moyennant des frais, mais cela n'empêche pas d'être des extorqueurs. Leurs créateurs placent ouvertement leurs "créations" sur Internet, n'ayant peur ni des forces de l'ordre, ni de la mafia criminelle, ni de la police locale, ni d'Europol ou d'Interpol. Ils font de la publicité, ils font de la publicité et font la promotion dans les résultats de recherche systèmes automatisés Google et Yandex.
C'est contre eux que les lois sur la cybercriminalité devraient se battre, c'est là que la police devrait s'emparer en premier lieu, comprenez Europol, Interpol et l'Office "K" ! J'aimerais croire qu'un travail en ce sens se fait jour et nuit, mais le fait est évident : l'extorsion et la crypto-extorsion sont devenues le fléau et la peste d'Internet, comme une patinoire écrasant les classiques épidémies virales.
Au fait, selon mes informations, d'Ukraine, de Moldavie et de Roumanie, le plus grand nombre Ransomware, si vous ne tenez pas compte des régions de l'Est et du Sud de l'Asie, où il existe une situation complètement différente, plus pourcentage élevé et le niveau d'extorsion et attaques de pirates. Certaines attaques de rançongiciels en provenance d'Ukraine, de Moldavie et de Roumanie ciblent la Russie, les entreprises et les utilisateurs russophones, tandis que d'autres ciblent les États-Unis, l'Europe et les utilisateurs anglophones.
Au cours des deux dernières années, les utilisateurs d'ordinateurs sont devenus beaucoup plus susceptibles de rencontrer des ransomwares, des faux cryptages, des bloqueurs de ransomwares et d'autres exigeant une rançon en échange de l'accès aux fichiers qu'ils ont cryptés et rendus illisibles, bloqués et rendus inaccessibles, déplacés, cachés, supprimés. ... Comment cela est-il devenu possible ?
L'époque où la propagation de malware un criminel ou un programmeur novice a été engagé.Aujourd'hui, le plus souvent, les cybercriminels travaillent en équipe, car un tel travail en commun apporte plus de profit. Par exemple, avec le développement d'un modèle commercial de ransomware (RaaS) basé sur le paiement d'une rançon en bitcoins, un groupe peut fournir un support technique, rédiger des recommandations, via chat ou e-mail dire aux nouvelles victimes comment et où acheter, échanger, transférer bitcoins pour une rançon de paiement ultérieure. Un autre groupe développe, met à jour et débogue des rançongiciels. Le troisième groupe assure la couverture et l'hébergement. Le quatrième groupe travaille avec C&C et administre travail du centre de commandement. Le cinquième s'occupe des questions financières et travaille avec des partenaires. Le sixième compromet et infecte les sites... Avec le développement du RaaS, plus les ransomwares sont complexes et répandus, plus les groupes impliqués et les processus qu'ils exécutent sont nombreux.
Face à une attaque par rançongiciel, les victimes sont confrontées à une question difficile : doivent-elles payer la rançon ? ou Dites adieu aux fichiers ? Pour assurer leur anonymat, les cybercriminels utilisent le réseau Tor et exigent une rançon dans la crypto-monnaie Bitcoin. En juin 2016, l'équivalent monétaire de 1 BTC dépasse déjà 60 000 roubles et ne deviendra pas moins. Malheureusement, ayant décidé de payer, les victimes financent à leur insu d'autres activités d'extorsion des cybercriminels, dont l'appétit grandit à pas de géant, et à chaque nouveau paiement, elles sont convaincues de leur impunité.
Regarder " Top 100 des adresses Bitcoin les plus riches et de la distribution Bitcoin". La plupart des millionnaires crypto-riches là-bas le sont devenus par des méthodes illégales et même criminelles.
Comment être? Aujourd'hui, il n'existe pas encore d'outil universel pour le décryptage des données, il n'y a que des utilitaires séparés créés et adaptés à des chiffreurs spécifiques. Par conséquent, en tant que protection principale, des mesures sont recommandées pour empêcher l'infection par un rançongiciel, dont le principal estProtection antivirus à jour. Dans le même temps, il est également très important de sensibiliser les utilisateurs à ces mesures et aux menaces posées par les ransomwares et les ransomwares.Notre blog a été créé à cet effet.Des informations sont collectées ici pour chaque ransomware, faux ransomware ou bloqueur se faisant passer pour un ransomware.
Dans mon deuxième blog Décrypteurs de fichiers"Depuis mai 2016, des informations ont été résumées sur les décrypteurs créés pour décrypter gratuitement les fichiers cryptés par Crypto-Ransomware. Toutes les descriptions et instructions sont publiées en russe pour la première fois. Revenez régulièrement.
Aux fins d'une assistance professionnelle à l'été 2016, Kaspersky Lab, Intel Security, Europol et la police néerlandaise ont organisé un projet commun " Plus de rançon" visant à lutter contre les ransomwares. Les participants au projet ont créé un site WeboMoreRansom.org contenant informations générales sur les rançongiciels (en anglais), ainsi que sur les outils gratuits de récupération des données cryptées. Au début, il n'y avait que 4 outils de ce type de LK et McAfee.Au jour de la rédaction de cet article, il y avait déjà 7et la fonctionnalité a encore été étendue.
Il est à noter que ce projet n'est qu'en décembre ajoutée un groupe de décrypteurs qui ont longtemps été décrits dans mes blogs "Ransomware Encryptors" et "File Decryptors".
Plus de rançon !
Mise à jour du 15 décembre 2016 :
D'autres sociétés ont rejoint le projet, ayant déjà publié d'autres décrypteurs. Maintenant, il existe déjà 20 utilitaires (certains même deux):
WildFire Decryptor - de Kaspersky Lab et Intel Security
Chimera Decryptor - de Kaspersky Lab
Teslacrypt Decryptor - par Kaspersky Lab et Intel Security
Shade Decryptor - de Kaspersky Lab et Intel Security
Décrypteur CoinVault - de Kaspersky Lab
Rannoh Decryptor - de Kaspersky Lab
Rakhni Decryptor - de Kaspersky Lab
Jigsaw Decryptor - par Check Point
Trend Micro Ransomware File Decryptor - par Trend Micro
Décrypteur NMoreira - par Emsisoft
Ozozalocker Decryptor - par Emsisoft
Globe Decryptor - par Emsisoft
Décrypteur Globe2 - par Emsisoft
Décrypteur FenixLocker - par Emsisoft
Décrypteur de Philadelphie - par Emsisoft
Stampado Decryptor - par Emsisoft
Xorist Decryptor - par Emsisoft
Décrypteur Nemucod - par Emsisoft
Gomasom Decryptor - par Emsisoft
Décrypteur Linux.Encoder - par BitDefender
Désormais, "No More Ransom" est composé de représentants de 22 pays.
Bonne chance pour déchiffrer !!!
Ne payez pas la rançon ! Sois prêt! Protégez vos données ! Faites des sauvegardes ! Je profite de ce moment pour vous rappeler : l'extorsion est un crime, pas un jeu ! Ne jouez pas à ces jeux.
© Amigo-A (Andrew Ivanov) : Tous les articles du blog
, VIDÉO , MUSIQUE et autres fichiers personnels au .NO_MORE_RANSOM, et le nom d'origine est remplacé par une combinaison aléatoire de lettres et de chiffres. Cependant, la plupart des fichiers des formats les plus importants .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP ne pas ouvrir. Comptabilité 1C ne marche pas. Voici à quoi ça ressemble :
Le support technique de Kaspersky Lab, Dr.Web et d'autres sociétés bien connues impliquées dans le développement de logiciels antivirus, en réponse aux demandes des utilisateurs de décrypter les données, signale qu'il est impossible de le faire dans un délai raisonnable.
Mais ne vous précipitez pas au désespoir !
Le fait est qu'après avoir pénétré votre ordinateur, un programme malveillant utilise un logiciel de cryptage GPG tout à fait légal et le populaire algorithme de cryptage RSA-1024 comme outil. Étant donné que cet utilitaire est utilisé dans de nombreux endroits et n'est pas un virus en soi, les antivirus sautent et ne bloquent pas son travail. Une clé publique et privée est générée pour chiffrer les fichiers. La clé privée est envoyée au serveur des attaquants, tandis que la clé publique reste sur l'ordinateur de l'utilisateur. Les deux clés sont nécessaires pour décrypter les fichiers ! Les attaquants écrasent soigneusement la clé privée sur l'ordinateur affecté. Mais ce n'est pas toujours le cas. Depuis plus de trois ans d'un travail impeccable, des spécialistes Dr SHIFROétudié des milliers de variantes d'activité de logiciels malveillants et, peut-être, même dans une situation apparemment désespérée, nous serons en mesure de proposer une solution qui vous permettra de restituer vos données.
Sur cette vidéo, vous pouvez voir vrai boulot décrypteur sur l'ordinateur d'un de nos clients :
Pour analyser la possibilité de décryptage, envoyez 2 échantillons de fichiers cryptés : un texte (doc, docx, odt, txt ou taille RTF jusqu'à 100 Ko), le deuxième graphique (jpg, png, bmp, tif ou pdf jusqu'à 3 Mo). Vous avez également besoin d'un fichier de notes des intrus. Après examen des dossiers, nous vous orienterons sur le coût. Les fichiers peuvent être envoyés par email. [courriel protégé] ou utilisez le formulaire de téléchargement de fichier sur le site (bouton orange).
COMMENTAIRES (2)
Ils ont attrapé le virus CRYPTED000007. Après avoir cherché sur Internet une méthode de décryptage, nous avons trouvé ce site. Le spécialiste a expliqué rapidement et en détail ce qu'il fallait faire. Pour une garantie, 5 fichiers de test ont été décryptés. Ils ont annoncé le coût et après paiement, tout a été déchiffré en quelques heures. Bien que non seulement l'ordinateur mais aussi le lecteur réseau aient été cryptés. Merci beaucoup pour votre aide!
Bonne journée! J'ai récemment eu une situation similaire avec le virus CRYPTED000007, qui n'a pas eu le temps de chiffrer tous les disques, car. après un certain temps, j'ai ouvert le dossier avec la photo et j'ai vu une enveloppe vide et un nom de fichier d'un ensemble différent de lettres et de chiffres, et j'ai immédiatement téléchargé et lancé utilitaire gratuit pour supprimer les chevaux de Troie. Le virus est arrivé par courrier et il y avait un e-mail convaincant que j'ai ouvert et exécuté la pièce jointe. Il y a 4 très gros disques durs (téraoctets) installés sur l'ordinateur. J'ai contacté diverses sociétés, qui font le plein sur Internet et qui proposent leurs services, mais même avec un décryptage réussi, tous les fichiers seront dans un dossier séparé et tout est mélangé. Personne ne donne de garantie pour un décryptage à 100 %. Il y a eu des appels au Kaspersky Lab, et même là, ils ne m'ont pas aidé..html# et ont décidé de postuler. J'ai envoyé trois photos de test et après un certain temps, j'ai reçu une réponse avec leur transcription complète. Dans la correspondance par courrier, on m'a proposé soit à distance, soit avec des visites à domicile. J'ai décidé que ce serait à la maison. Déterminé par la date et l'heure d'arrivée d'un spécialiste. Immédiatement dans la correspondance, le montant du décodeur a été convenu et après un décryptage réussi, nous avons signé un accord sur l'exécution des travaux et j'ai effectué le paiement, conformément à l'accord. Il a fallu beaucoup de temps pour décrypter les fichiers, car certaines des vidéos étaient grande taille. Après le décryptage complet, je me suis assuré que tous mes fichiers étaient dans leur forme d'origine et avec l'extension de fichier correcte. Le volume des disques durs est revenu au même qu'avant l'infection, car les disques étaient presque pleins pendant l'infection. Ceux qui écrivent sur les escrocs, etc., je ne suis pas d'accord avec cela. Ceci est écrit soit par des concurrents en colère, que rien ne fonctionne pour eux, soit par des personnes offensées par quelque chose. Dans mon cas, tout s'est bien passé, mes craintes appartiennent au passé. J'ai revu mes vieilles photos de famille que j'avais prises il y a longtemps et des vidéos de famille que j'avais montées moi-même. Je tiens à remercier le dr.Shifro et personnellement Igor Nikolaevich, qui m'a aidé à récupérer toutes mes données. Merci beaucoup et bonne chance! Tout ce qui est écrit est mon opinion personnelle, et vous décidez qui contacter.
Fin 2016, le monde a été attaqué par un virus cheval de Troie très non trivial qui crypte les documents des utilisateurs et le contenu multimédia, appelé NO_MORE_RANSOM. Comment décrypter les fichiers après exposition à cette menace sera discuté plus loin. Cependant, il convient d'avertir immédiatement tous les utilisateurs qui ont été attaqués qu'il n'existe pas de méthodologie unique. Cela est dû à l'utilisation de l'un des plus avancés et au degré de pénétration du virus dans le système informatique ou même dans réseau local(bien qu'initialement il n'ait pas été conçu pour l'impact sur le réseau).
Qu'est-ce que le virus NO_MORE_RANSOM et comment fonctionne-t-il ?
En général, le virus lui-même est généralement classé comme un cheval de Troie du type I Love You, qui pénètre dans le système informatique et crypte les fichiers de l'utilisateur (généralement multimédia). Certes, si l'ancêtre ne différait que par le cryptage, alors ce virus a beaucoup emprunté à la menace autrefois sensationnelle appelée DA_VINCI_COD, combinant les fonctions d'un extorqueur.
Après infection, la plupart des fichiers de documents audio, vidéo, graphiques ou bureautiques se voient attribuer un nom long avec l'extension NO_MORE_RANSOM contenant un mot de passe complexe.
Lorsque vous essayez de les ouvrir, un message apparaît à l'écran indiquant que les fichiers sont cryptés et que vous devez payer un certain montant pour les décrypter.
Comment la menace pénètre-t-elle dans le système ?
Laissons de côté pour l'instant la question de savoir comment décrypter les fichiers de l'un des types ci-dessus après une exposition à NO_MORE_RANSOM, et tournons-nous vers la technologie de pénétration de virus dans un système informatique. Malheureusement, peu importe comment cela sonne, l'ancienne méthode éprouvée est utilisée pour cela: à l'adresse E-mail une lettre arrive avec une pièce jointe, ouverture de laquelle, l'utilisateur reçoit un déclencheur d'un code malveillant.
Comme vous pouvez le constater, cette technique ne diffère pas par son originalité. Cependant, le message peut être déguisé en texte sans signification. Ou, au contraire, par exemple, s'il s'agit de grandes entreprises, dans le cadre d'une modification des termes d'un contrat. Il est clair qu'un commis ordinaire ouvre un investissement, puis obtient un résultat déplorable. L'une des épidémies les plus brillantes a été le cryptage des bases de données du populaire package 1C. Et c'est une affaire sérieuse.
NO_MORE_RANSOM : comment décrypter des documents ?
Mais cela vaut quand même la peine de se tourner vers la question principale. Tout le monde est sûrement intéressé par la façon de décrypter les fichiers. Le virus NO_MORE_RANSOM a sa propre séquence d'actions. Si l'utilisateur essaie de déchiffrer immédiatement après l'infection, il existe encore un moyen de le faire. Si la menace s'est bien installée dans le système, hélas, on ne peut se passer de l'aide de spécialistes. Mais ils sont souvent impuissants.
Si la menace a été détectée en temps opportun, il n'y a qu'un seul moyen - contacter les services d'assistance des sociétés antivirus (tous les documents n'ont pas encore été cryptés), envoyer quelques fichiers inaccessibles à l'ouverture et, sur la base de l'analyse des originaux stockés sur des supports amovibles, essayez de restaurer les documents déjà infectés, d'abord en copiant sur le même lecteur flash tout ce qui est encore disponible pour l'ouverture (bien qu'il n'y ait aucune garantie totale que le virus n'a pas pénétré dans ces documents). Après cela, pour être sûr, le support doit être vérifié au moins avec un antivirus (on ne sait jamais).
Algorithme
Par ailleurs, il convient de mentionner que le virus utilise l'algorithme RSA-3072 pour le cryptage, qui, contrairement à la technologie RSA-2048 précédemment utilisée, est si compliqué qu'il est difficile de deviner le bon mot de passe, même si tout le contingent d'anti- les laboratoires de virus le feront, cela peut prendre des mois ou des années. Ainsi, la question de savoir comment décrypter NO_MORE_RANSOM prendra beaucoup de temps. Mais que se passe-t-il si vous avez besoin de récupérer des informations immédiatement ? Tout d'abord, supprimez le virus lui-même.
Est-il possible de supprimer le virus et comment le faire ?
En fait, ce n'est pas difficile à faire. A en juger par l'audace des créateurs du virus, la menace dans le système informatique n'est pas masquée. Au contraire, il lui est même bénéfique de « se retirer » après la fin des actions effectuées.
Néanmoins, dans un premier temps, en suivant l'exemple du virus, il faudrait encore le neutraliser. La première étape consiste à utiliser des utilitaires de sécurité portables tels que KVRT, Malwarebytes, Dr. CureIt Web! etc. Attention : les programmes utilisés pour la vérification doivent obligatoirement être de type portable (sans installation sur Disque dur avec lancement en la meilleure optionà partir d'un support amovible). Si une menace est détectée, elle doit être supprimée immédiatement.
Si de telles actions ne sont pas fournies, vous devez d'abord accéder au "Gestionnaire des tâches" et mettre fin à tous les processus associés au virus, en triant les services par nom (en règle générale, il s'agit du processus Runtime Broker).
Après avoir supprimé la tâche, vous devez appeler l'éditeur registre système(regedit dans le menu "Exécuter") et recherchez le nom " Serveur client Runtime System" (sans les guillemets), puis à l'aide du menu de navigation "Rechercher suivant...", supprimez tous les éléments trouvés. Ensuite, vous devez redémarrer l'ordinateur et vérifier le "Gestionnaire des tâches" si le processus que vous recherchez s'y trouve.
En principe, la question de savoir comment décrypter le virus NO_MORE_RANSOM au stade de l'infection peut également être résolue par cette méthode. La probabilité de sa neutralisation, bien sûr, est faible, mais il y a une chance.
Comment déchiffrer des fichiers chiffrés avec NO_MORE_RANSOM : sauvegardes
Mais il existe une autre technique que peu de gens connaissent ou même devinent. Le fait est que le système d'exploitation lui-même crée constamment sa propre ombre sauvegardes(par exemple, en cas de récupération), ou l'utilisateur crée intentionnellement de telles images. Comme le montre la pratique, ce sont précisément ces copies que le virus n'affecte pas (il n'est tout simplement pas prévu dans sa structure, bien qu'il ne soit pas exclu).
Ainsi, le problème de savoir comment décoder NO_MORE_RANSOM revient à les utiliser. Cependant, pour utiliser régulièrement Outils Windows pas recommandé (et de nombreux utilisateurs à copies cachées n'aurez pas accès du tout). Par conséquent, vous devez utiliser l'utilitaire ShadowExplorer (il est portable).
Pour restaurer, il vous suffit de lancer l'exécutable, de trier les informations par dates ou sections, de sélectionner la copie souhaitée (d'un fichier, d'un dossier ou de l'ensemble du système) et d'utiliser la ligne d'exportation via le menu RMB. Ensuite, sélectionnez simplement le répertoire dans lequel la copie actuelle sera enregistrée, puis utilisez le processus de restauration standard.
Utilitaires tiers
Bien entendu, au problème du décryptage de NO_MORE_RANSOM, de nombreux laboratoires proposent leurs propres solutions. Par exemple, Kaspersky Lab recommande d'utiliser votre propre Logiciel Kaspersky Decryptor, présenté en deux modifications - Rakhini et Rector.
Non moins intéressants sont des développements similaires comme le décodeur NO_MORE_RANSOM du Dr. La toile. Mais ici, vous devez immédiatement tenir compte du fait que l'utilisation de tels programmes n'est justifiée que dans le cas d'une détection rapide d'une menace, alors que tous les fichiers n'ont pas encore été infectés. Si le virus s'est fermement installé dans le système (lorsque les fichiers cryptés ne peuvent tout simplement pas être comparés à leurs originaux non cryptés), ces applications peuvent s'avérer inutiles.
Par conséquent
En réalité, il n'y a qu'une seule conclusion : il ne faut combattre ce virus qu'au stade de l'infection, lorsque seuls les premiers fichiers sont cryptés. En général, il est préférable de ne pas ouvrir les pièces jointes dans les messages électroniques reçus de sources douteuses (cela ne s'applique qu'aux clients installés directement sur l'ordinateur - Outlook, Oulook Express, etc.). De plus, si un employé de l'entreprise a à sa disposition une liste d'adresses de clients et de partenaires, l'ouverture de messages "à gauche" devient totalement inappropriée, car la plupart des gens signent des accords de non-divulgation de secrets commerciaux et de cybersécurité lors de l'embauche.
