Наприкінці 2016 року світ був атакований вельми нетривіальним вірусом-трояном, що шифрує користувацькі документи та мультимедіа-контент, який отримав назву NO_MORE_RANSOM. Як розшифрувати файли після впливу цієї загрози, далі буде розглянуто. Однак відразу варто попередити всіх користувачів, які зазнали атаки, що єдиної методики немає. Це пов'язано і з використанням одного з найбільш просунутих і зі ступенем проникнення вірусу в комп'ютерну систему або навіть локальну мережу (хоча спочатку на мережевий вплив він і не розрахований).
Який вірус NO_MORE_RANSOM і як він працює?
Взагалі сам вірус прийнято відносити до класу троянів типу I Love You, які проникають в комп'ютерну систему і шифрують файли користувача (зазвичай це мультимедіа). Щоправда, якщо прабатько відрізнявся лише шифруванням, цей вірус дуже багато запозичив у колись гучної загрози під назвою DA_VINCI_COD, поєднавши в собі ще й функції здирника.
Після зараження більшості файлів аудіо, відео, графіки або офісних документів надається довжелезне ім'я з розширенням NO_MORE_RANSOM, що містить складний пароль.
При спробі їх відкриття на екрані з'являється повідомлення про те, що файли зашифровані, а для створення дешифрування потрібно заплатити деяку суму.
Як загроза проникає у систему?
Дамо поки що спокій питання про те, як після впливу NO_MORE_RANSOM розшифрувати файли будь-якого з вищевказаних типів, а звернемося до технології проникнення вірусу в комп'ютерну систему. На жаль, як би не звучало, для цього використовується старий перевірений спосіб: на адресу електронної пошти приходить лист із вкладенням, відкриваючи який користувач і отримує спрацювання шкідливого коду.
Оригінальністю, як бачимо, ця методика не відрізняється. Однак повідомлення може бути замасковано під текст, що нічого не означає. Або, навпаки, наприклад, якщо йдеться про великі компанії, - під зміну умов якогось контракту. Зрозуміло, що рядовий клерк відкриває вкладення, а далі і отримує плачевний результат. Одним із найяскравіших спалахів стало шифрування баз даних популярного пакету 1С. А це вже справа серйозна.
NO_MORE_RANSOM: як розшифрувати документи?
Але все ж таки варто звернутися до головного питання. Напевно, всіх цікавить, як розшифрувати файли. Вірус NO_MORE_RANSOM має власну послідовність дій. Якщо користувач намагається зробити дешифрування відразу після зараження, зробити це ще абияк можна. Якщо ж загроза влаштувалася в системі міцно, на жаль, без допомоги фахівців тут не обійтися. Але й вони найчастіше виявляються безсилими.
Якщо загроза була виявлена вчасно, шлях тільки один - звернутися до служб підтримки антивірусних компаній (поки ще не всі документи були зашифровані), відправити пару недоступних для відкриття файлів та на основі аналізу оригіналів, збережених на знімних носіях, спробувати відновити вже заражені документи, попередньо скопіювавши на ту ж флешку все, що ще доступно для відкриття (хоча повної гарантії того, що вірус не проник у такі документи, теж немає). Після цього для вірності носій потрібно обов'язково перевірити хоча б антивірусним сканером (мало що).
Алгоритм
Окремо варто сказати і про те, що вірус для шифрування використовує алгоритм RSA-3072, який, на відміну від технології RSA-2048, що раніше застосовувалася, є настільки складним, що підбір потрібного пароля, навіть за умови, що цим займатиметься весь контингент антивірусних лабораторій. , може зайняти місяці та роки. Таким чином, питання того, як розшифрувати NO_MORE_RANSOM, вимагатиме чималих часових витрат. Але що робити, якщо поновити інформацію потрібно негайно? Насамперед – видалити сам вірус.
Чи можна видалити вірус та як це зробити?
Власне, зробити це неважко. Судячи з нахабства творців вірусу, загроза у комп'ютерній системі не маскується. Навпаки - їй навіть вигідно «самовіддалитися» після закінчення дій.
Проте спочатку, йдучи з приводу вірусу, його таки слід нейтралізувати. Насамперед необхідно використовувати портативні захисні утиліти на кшталт KVRT, Malwarebytes, Dr. Web CureIt! і їм подібні. Зверніть увагу: застосовувані для перевірки програми повинні бути портативного типу в обов'язковому порядку (без встановлення на жорсткий диск із запуском в оптимальному варіанті зі знімного носія). Якщо загрозу буде виявлено, її слід негайно видалити.
Якщо такі дії не передбачені, необхідно спочатку зайти в диспетчер завдань і завершити в ньому всі процеси, пов'язані з вірусом, відсортувавши служби за назвою (як правило, це процес Runtime Broker).
Після зняття завдання потрібно викликати редактор системного реєстру (regedit у меню «Виконати») та задати пошук за назвою «Client Server Runtime System» (без лапок), після чого використовуючи меню переміщення за результатами «Знайти далі…» видалити всі знайдені елементи. Далі потрібно перезавантажити комп'ютер і повірити в «Диспетчері завдань», чи немає там шуканого процесу.
В принципі питання того, як розшифрувати вірус NO_MORE_RANSOM ще на стадії зараження, може бути вирішено і таким методом. Імовірність його нейтралізації, звісно, невелика, але шанс є.
Як розшифрувати файли, зашифровані NO_MORE_RANSOM: резервні копії
Але є ще одна методика, про яку мало хто знає чи навіть здогадується. Справа в тому, що сама операційна система постійно створює власні тіньові резервні копії (наприклад, у разі відновлення), або користувач навмисно створює такі образи. Як показує практика, саме на такі копії вірус не впливає (у його структурі це просто не передбачено, хоч і не виключено).
Таким чином, проблема того, як розшифрувати NO_MORE_RANSOM, зводиться до того, щоб використовувати їх саме. Проте використовувати для цього штатні засоби Windows не рекомендується (а багато користувачів до прихованих копій не отримають доступу взагалі). Тому використовувати потрібно утиліту ShadowExplorer (вона є портативною).
Для відновлення потрібно просто запустити відсортувати інформацію за датами або розділами, вибрати потрібну копію (файла, папки або всієї системи) і через меню ПКМ використовувати рядок експорту. Далі просто вибирається директорія, в якій буде збережено поточну копію, а потім використовується стандартний процес відновлення.
Сторонні утиліти
Звичайно, до проблеми того, як розшифрувати NO_MORE_RANSOM, багато лабораторій пропонують свої рішення. Так, наприклад, «Лабораторія Касперського» рекомендує використовувати власний програмний продукт Kaspersky Decryptor, представлений у двох модифікаціях – Rakhini та Rector.
Не менш цікаво виглядають і аналогічні розробки на зразок дешифратора NO_MORE_RANSOM від Dr. Web. Але тут варто відразу врахувати, що застосування таких програм виправдано лише у разі швидкого виявлення загрози, поки що не були заражені всі файли. Якщо ж вірус влаштувався в системі міцно (коли зашифровані файли просто неможливо порівняти з незашифрованими оригіналами), і такі програми можуть виявитися марними.
Як підсумок
Власне, висновок напрошується лише один: боротися з цим вірусом необхідно виключно на стадії зараження, коли відбувається шифрування перших файлів. А взагалі, найкраще не відкривати вкладення в повідомленнях електронної пошти, отриманих із сумнівних джерел (це стосується виключно клієнтів, встановлених безпосередньо на комп'ютері – Outlook, Oulook Express та ін.). До того ж, якщо співробітник компанії має у своєму розпорядженні список адрес клієнтів і партнерів, відкриття «лівих» повідомлень стає абсолютно недоцільним, оскільки більшість при прийомі на роботу підписує угоди про нерозголошення комерційної таємниці та кібербезпеки.
Наприкінці 2016 року був помічений новий вірус-шифрувальник – NO_MORE_RANSOM. Таку довгу назву він отримав через розширення, яке надає файлам користувача.
Дуже багато перейняв у інших вірусів, наприклад у da_vinci_cod. Оскільки нещодавно з'явився в Мережі, антивірусні лабораторії ще не змогли розшифрувати його код. Та й зробити найближчим часом це навряд чи зможуть – використовується покращений алгоритм шифрування. Отже, розберемося, що робити, якщо ваші файли зашифровані з розширенням "no_more_ransom".
Опис та принцип роботи
На початку 2017 року багато форумів заполонили повідомлення "вірус no_more_ransom зашифрував файли", в яких користувачі просили допомоги для видалення загрози. Атаку зазнали як приватні комп'ютери, а й цілі організації (особливо ті, у яких використовуються бази 1С). Ситуація у всіх постраждалих приблизно однакова: відкрили вкладення з електронного листа, через якийсь час файли отримали розширення No_more_ransom. Вірус-шифрувальник при цьому без проблем обходив усі популярні антивірусні програми.
Взагалі, за принципом зараження No_more_ransom нічим не відрізнити від своїх попередників:
Як вилікувати або видалити вірус No_more_ransom
Важливо розуміти, що після того, як ви почнете самостійно No_more_ransom, ви втратите можливість відновити доступ до файлів за допомогою пароля зловмисників. Чи можна відновити файл після No_more_ransom? На сьогоднішній день немає на 100% робочого алгоритму розшифрування даних. Винятком стають лише утиліти від відомих лабораторій, але підбір пароля займає багато часу (місяці, роки). Але про відновлення трохи нижче. Спочатку розберемося, як визначити троян no more ransom (переклад – «немає більше викупу») і подолати його. 
Як правило, встановлене антивірусне програмне забезпечення пропускає шифрувальники на комп'ютер – часто виходять нові версії, для яких просто не встигають випускати бази. Віруси цього досить просто видаляються з комп'ютера, адже шахраям і потрібно, щоб вони залишалися у системі, виконавши своє завдання (шифрування). Для видалення можна скористатися вже готовими утилітами, які розповсюджуються безкоштовно:
Користуватися ними дуже просто: запускаємо, вибираємо диски, тиснемо "Почати перевірку". Залишається лише чекати. Після цього з'явиться віконце, в якому будуть відображені всі загрози. Тиснемо «Видалити».
Швидше за все, одна з цих утилітів видалить вірус-шифрувальник. Якщо цього не сталося, необхідно видалити вручну:
Якщо швидко помітите вірус, встигнувши його видалити, то є шанс, що частина даних не буде зашифрована. Краще зберегти файли, які не зазнали атаки, на окремий накопичувач.
Утиліти-дешифрувальники для розшифрування файлів "No_more_ransom"
Підібрати код самостійно просто неможливо, якщо ви не просунутий хакер. Для розшифровки потрібні спеціальні утиліти. Відразу скажу, що далеко не всім вдасться розшифровувати зашифрований файл типу «No_more_ransom». Вірус новий, тому підбір пароля – дуже складне завдання.
Отже, перш за все пробуємо відновити дані з тіньових копій. За промовчанням операційна система, починаючи з Windows 7, регулярно зберігає копії документів. У деяких випадках вірусу не під силу видалити копії. Тому завантажуємо безкоштовну програму ShadowExplorer. Встановлювати нічого не доведеться – потрібно просто розпакувати.
Якщо вірус не видалив копії, то є можливість відновити близько 80-90% зашифрованої інформації.
Програми-дешифратори для відновлення файлів після вірусу No_more_ransom пропонують відомі антивірусні лабораторії. Щоправда, не варто розраховувати, що ці утиліти зможуть поновити ваші дані. Шифрувальники постійно вдосконалюються, а фахівці просто не встигають випускати оновлення для кожної версії. Надсилайте зразки на технічну підтримку антивірусних лабораторій, щоб допомогти розробникам.
Для боротьби з No_more_ransom є Kaspersky Decryptor. Утиліта представлена у двох версіях з приставками та Rakhni (про них на нашому сайті є окремі статті). Для боротьби з вірусом та розшифрування файлів необхідно просто запустити програму, вибравши місця перевірки.
Крім цього, потрібно вказати один із заблокованих документів, щоб утиліта зайнялася підбором пароля.
Можна безкоштовно скачати і найкращий дешифратор No_more_ransom від Dr. Web. Утиліта називається matsnu1decrypt. Працює за схожим сценарієм з програмами від Kaspersky. Достатньо запустити перевірку та дочекатися закінчення.
Віруси-здирники це комп'ютерні програми, які спочатку шифрують ваші файли, а потім вимагають гроші за можливість їх розшифрувати. Віруси-здирники перетворилися на справжню епідемію. Інтернет переповнений проханнями про допомогу у розшифровці файлів. Більшість вірусів здирників дуже схожі між собою. Вони потайки проникають на ваш комп'ютер, а потім шифрують файли. Основні відмінності між ними, вважають в алгоритмі шифрування, та розмір необхідного викупу.
Майте на увазі, що заплативши викуп, ви не маєте жодних гарантій, що ваші файли будуть успішно розшифровані. Ви просто підтримуєте кримінальний бізнес кіберзлочинців. Ви ніколи не можете бути впевнені, що вони надішлють вам секретний ключ, який використовується для їх розшифровки. З цієї причини ніколи не намагайтеся зв'язатися зі злочинцями або заплатити викуп. Крім того, віруси-здирники можуть поширюватися через P2P торрент мережі, де користувачі завантажують зламані версії програмного забезпечення. З цих причин ви повинні бути обережними при завантаженні файлів з неперевірених джерел, а також при відкритті файлів, надісланих від невідомого адресата електронної пошти.
Шпалери робочого столу на ПК, зараженому вірусом-вимагачем.
Більшість таких вірусів з'явилися зовсім недавно, better_call_saul з'явився приблизно в лютому. В даний час вирус.better_call_saul досить агресивно поширений на території Росії та інших пострадянських країнах. Більшість користувачів заражаються вірусом.better_call_saul коли клацають на посилання в електронних листах. Злочинці поширять цей вірус за допомогою спам-розсилок, де до листів прикріплені заражені файли. Зламані сайти є третім найпоширенішим способом зараження здирником.better_call_saul. Після успішного проникнення в систему, цей здирник шифрує різні файли, що зберігаються на ваших жорстких дисках. Для шифрування вірус використовує алгоритм RSA-3072.
Зауважте, що цей вірус додає розширення.better_call_saul до кінця назви кожного зашифрованого файлу. Крім того, він змінює вигляд робочого столу (змінює шпалери) і створює файл README.txt у кожній папці, яка містить зашифровані файли. README.txt текстовий файл і шпалери робочого столу містять повідомлення про те, що файли зашифровані, і що для їх відновлення, жертва повинна заплатити викуп. В інструкціях, жертва рекомендується зв'язатися з кіберзлочинцями, написавши на вказану електронну адресу та надіслати спеціальний код. Після цього потерпілий нібито має отримати подальші інструкції.
Кіберзлочинці потім виставляють вимоги заплатити 14-15 тисяч рублів на спеціальний гаманець QIWI. Якщо викуп не буде сплачений протягом 48 годин, тоді ключ, який використовується для розшифрування файлів і зберігається на серверах, що контролюються злочинцями, буде видалено. Майте на увазі, що без цього ключа розшифрувати файли неможливо. На жаль, на даний момент не існує жодних інструментів, здатних розшифрувати файли, закодовані вірусом.better_call_saul. Один із способів вирішити цю проблему полягає у відновленні системи або файлів із резервної копії. Деякі інші варіанти боротьби з цим вірусом викладені нижче.
Видалити здирницьке ПЗ.better_call_saul за допомогою автоматичного чистильника
Винятково ефективний метод роботи зі шкідливим ПЗ взагалі та програмами-вимагачами зокрема. Використання захисного комплексу, що зарекомендував себе, гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, йдеться про два різні процеси: деінсталяцію інфекції та відновлення файлів на Вашому ПК. Проте загроза, безумовно, підлягає видаленню, оскільки є відомості про впровадження інших комп'ютерних троянців за її допомогою.
- . Після запуску програмного засобу натисніть кнопку Start Computer Scan(Почати сканування).
- Встановлене програмне забезпечення надасть звіт про виявлені під час сканування загрози. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats(Усунути загрози). Розглянуте шкідливе програмне забезпечення буде повністю видалено.
Відновити доступ до зашифрованих файлів
Як було зазначено, програма-вимагач.better_call_saul блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані не можна відновити помахом чарівної палички – якщо не брати до уваги оплату нечуваної суми викупу. Але деякі методи справді можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете ознайомитися з ними.
Програма автоматичного відновлення файлів
Відома дуже неординарна обставина. Ця інфекція стирає вихідні файли в незашифрованому вигляді. Процес шифрування з метою здирства, таким чином, націлений на їх копії. Це надає можливість програмним засобам як відновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, її ефективність не викликає сумнівів. 
Тіньові копії томів
В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється у кожній точці відновлення. Важлива умова роботи даного методу: функція “Відновлення системи” має бути активовано до зараження. При цьому будь-які зміни до файлу, внесені після точки відновлення, у відновленій версії файлу не відображатимуться.
Резервне копіювання
Це найкращий серед усіх не пов'язаних із викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-вимагача на Ваш комп'ютер, для відновлення зашифрованих файлів потрібно просто увійти у відповідний інтерфейс, вибрати необхідні файли та запустити механізм відновлення даних із резерву. Перед виконанням операції необхідно переконатися, що вимагання повністю видалено.
Перевірити можливу наявність залишкових компонентів здирника.
Очищення в ручному режимі загрожує упущенням окремих фрагментів здирницького ПЗ, які можуть уникнути видалення у вигляді прихованих об'єктів операційної системи або елементів реєстру. Щоб уникнути ризику часткового збереження окремих шкідливих елементів, виконайте сканування комп'ютера за допомогою надійного захисного програмного комплексу, що спеціалізується на шкідливому програмному забезпеченні.
Встановлення програм
