Descifre RSA 3072 sin clave. Transcripción no_more_ransom. Obtener datos clave

Una familia de troyanos ransomware que cifran archivos y les añaden las extensiones “.xtbl” y “.ytbl” apareció a finales de 2014 y principios de 2015 y rápidamente ocupó una posición estable entre los tres cifradores más comunes en Rusia ( junto con y). Según la clasificación de Kaspersky Lab, esta amenaza recibió el veredicto Trojan-Ransom.Win32.Shade. Se desconoce el nombre del "autor" de este ransomware; otras compañías antivirus lo detectan con los nombres Trojan.Encoder.858, Ransom:Win32/Troldesh.

Prácticamente no hay evolución del troyano: sólo el formato del nombre del archivo cifrado, las direcciones C&C y el conjunto de claves RSA.

Conocemos dos formas principales de enviar este malware al ordenador de la víctima: correos no deseados y kits de explotación (en particular, Nuclear EK).

En el primer caso, la víctima recibe un correo electrónico que contiene un archivo malicioso ejecutable. El sistema se infecta después de intentar abrir el archivo adjunto. Cuando se distribuyó Trojan-Ransom.Win32.Shade, se utilizaron los siguientes nombres de archivo:

  • doc_dlea podpisi.com
  • doc_dlea podpisi.rar
  • documenti_589965465_documenti.com
  • documenti_589965465_documenti.rar
  • documenti_589965465_doc.scr
  • doc_dlea podpisi.rar
  • no verificado 308853.scr
  • documenti dlea podpisi 08/05/2015.scr.exe
  • akt sverki za 17082015.scr

Tenga en cuenta que el nombre del archivo cambia con cada ola de distribución y opciones posibles no se limitan a los enumerados anteriormente.

El segundo método de distribución (kit de explotación) es más peligroso porque la infección ocurre sin interacción del usuario cuando la víctima visita un sitio web comprometido. Podría ser el sitio web de un atacante o un recurso completamente legal, pero pirateado. La mayoría de las veces, el usuario no sabe que el sitio representa algún peligro. Código malicioso en un sitio web explota una vulnerabilidad en el navegador o sus complementos, después de lo cual el troyano objetivo se instala en el sistema en modo oculto. En este caso, a diferencia de un correo electrónico no deseado, la víctima ni siquiera necesita ejecutar el archivo ejecutable.

Una vez que Trojan-Ransom.Win32.Shade ha ingresado al sistema, se conecta al C&C ubicado en Redes Tor, informa una infección y solicita una clave pública RSA-3072, que posteriormente utiliza para cifrar archivos (veremos cómo exactamente a continuación). Si de repente no se puede establecer la conexión, el malware selecciona para tal caso una de las 100 claves públicas contenidas en su cuerpo.

Luego, el troyano procede a cifrar los archivos. Al buscar objetos de cifrado, utiliza la lista estática de extensiones que se muestra en la captura de pantalla.

Cuando se completa el cifrado, se instala una imagen aterradora en el escritorio:

El malware deja solicitudes de rescate en los archivos README1.txt, ..., README10.txt. Sus contenidos siempre tienen la misma forma:

Sin embargo, a diferencia de la mayoría de los otros ransomware, Trojan-Ransom.Win32.Shade no se detiene ahí. No finaliza su proceso, sino que inicia un bucle sin fin en el que solicita una lista de direcciones de malware a C&C y luego descarga e instala este software en el sistema; esta funcionalidad es típica de los robots de descarga. Hemos identificado casos de descarga de representantes de las siguientes familias:

  • Trojan.Win32.CMSBrute (hablaremos de ello con más detalle a continuación).
  • Trojan.Win32.Muref
  • Trojan.Win32.Kovter
  • Trojan-Downloader.Win32.Zemot

Descargar y esperar el código del ciclo:

En este sentido, es muy importante realizar un análisis antivirus completo de su computadora si se detecta el ransomware Shade (o los resultados de su trabajo: archivos con las extensiones .xtbl, .ytbl). Si no se lleva a cabo el tratamiento, existe una alta probabilidad de que el sistema quede infectado con varios programas maliciosos diferentes descargados por este ransomware.

Características comunes de la familia de troyanos Shade

  • Cada muestra contiene la dirección de un servidor C&C en total, se encontraron las direcciones de 10 servidores C&C en diferentes muestras, 8 de los cuales están activos actualmente. Todos los servidores están ubicados en la red Tor.
  • Antes de instalar su fondo de pantalla, guarda el fondo de pantalla antiguo en el registro.
  • Normalmente empaquetado con UPX y un empaquetador adicional, tiene un tamaño de 1817 KB cuando se descomprime.
  • Crea 10 en la computadora infectada. archivos idénticos README1.txt, ... README10.txt con demandas de rescate en ruso e inglés.
  • Para cifrar el contenido de cada archivo y el nombre de cada archivo, se genera una clave AES única de 256 bits, el cifrado se realiza en modo CBC con un vector de semilla cero.
  • Contiene 100 claves públicas RSA-3072 con un exponente público de 65537 (en total, se descubrieron 300 claves públicas diferentes en diferentes muestras).
  • Tiene la funcionalidad de descargar y ejecutar malware.

Esquema criptográfico

Generando la identificación de una computadora infectada

  1. El troyano obtiene el nombre de la computadora (comp_name) usando la función API GetComputerName y el número de procesadores (num_cpu) usando la función API GetSystemInfo;
  2. basado número de serie volumen del sistema calcula una constante de 32 bits y la convierte en una cadena hexadecimal (vol_const);
  3. recibe información sobre la versión del sistema operativo (os_version), separada por el carácter ";" (por ejemplo, “5;1;2600;1;Service Pack 3”);
  4. genera la cadena comp_name num_cpu vol_const os_version;
  5. calcula MD5 a partir de esta cadena;
  6. convierte un hash MD5 en una cadena hexadecimal y toma los primeros 20 caracteres. El resultado resultante se utiliza como identificación de la computadora.

Obtener datos clave

Después de generar la identificación, se intenta conectarse al servidor C&C ubicado en la red Tor, enviarle la identificación de la computadora y recibir una clave RSA pública como respuesta. Si no tiene éxito, se selecciona una de las 100 claves RSA públicas conectadas al troyano.

Cifrado de archivos

El algoritmo AES-256 en modo CBC se utiliza para cifrar archivos. Para cada archivo cifrado, se generan dos claves AES aleatorias de 256 bits: una se utiliza para cifrar el contenido del archivo y la segunda para cifrar el nombre del archivo. Estas claves se colocan en la estructura del servicio key_data, que a su vez está cifrada con la clave RSA seleccionada (ocupa 384 bytes después del cifrado) y se coloca al final del archivo cifrado:

En la sintaxis del lenguaje C. esta estructura se puede escribir de la siguiente manera:

El troyano intenta cambiar el nombre del archivo codificado, eligiendo el resultado del cálculo como nuevo nombre. Base64(AES_encrypt(nombre de archivo original)).xtbl(Por ejemplo, ArSxrr+acw970LFQw.xtbl) y, si no tiene éxito, simplemente agrega la extensión .ytbl al nombre del archivo original. En versiones posteriores, la identificación de la computadora infectada se agregó antes de la extensión .xtbl, por ejemplo: ArSxrr+acw970LFQw.043C17E72A1E91C6AE29.xtbl.

El cuerpo del troyano contiene la dirección de un servidor C&C. Los propios servidores están ubicados en la red Tor y la comunicación con ellos se realiza mediante un cliente Tor vinculado estáticamente al troyano.

    Solicitar una nueva clave pública RSA:
    OBTENER http:// .onion/reg.php?i= IDENTIFICACIÓN&b= construir&v= versión&ss= escenario
    IDENTIFICACIÓN– identificador del ordenador infectado;
    construir– identificador de una muestra de malware específica;
    versión– versión del malware, se encontraron versiones 1 y 2;
    escenario indica la etapa de cifrado: una solicitud de una nueva clave pública RSA o un mensaje sobre la finalización del cifrado de archivos.

    Mensaje de error:
    OBTENER http:// .onion/err.php?i= IDENTIFICACIÓN&b= construir&v= versión&err= error
    error– Mensaje codificado en base64 sobre un error ocurrido durante el cifrado.

    Resumen de la etapa actual del trabajo del ransomware:
    OBTENER http:// .onion/prog.php?i= IDENTIFICACIÓN&b= construir&v= versión&ss= escenario&c= contar&f= finalizar
    contar– número actual de archivos cifrados;
    finalizar– indicador de fin de cifrado.

    Información del sistema:
    PUBLICAR http:// .onion/sys.php?i= IDENTIFICACIÓN&b= construir&v= versión&ss= escenario&c= contar&k= número_clave&si= información
    número_clave– número de la clave RSA seleccionada (en caso de que la clave no se haya recibido del servidor, sino que se haya seleccionado entre las contenidas en el cuerpo del malware);
    información– información recibida del ordenador infectado:

    • Nombre de la computadora
    • Nombre de usuario
    • dirección IP
    • Dominio informático
    • Lista de unidades lógicas
    • Versión del sistema operativo Windows
    • Lista de software instalado

  1. Solicite una lista de URL desde las que desea descargar y ejecutar malware adicional:
    OBTENER http:// .onion/cmd.php?i= IDENTIFICACIÓN&b= construir&v= versión

Distribución de ransomware

programa de afiliación

El código que los usuarios deben enviar por correo electrónico a los atacantes puede verse así ID|0 en caso de que la clave pública se haya obtenido del servidor C&C, o ID|número_clave|compilación|versión si una de las claves públicas RSA con el número número_clave. ID indica el identificador de la computadora infectada y dos números construir Y versión denotan el ID de una muestra específica y la versión del ransomware, respectivamente.

Al analizar muestras de malware, descubrimos varias combinaciones de valores de compilación, direcciones de correo electrónico para conectar a los usuarios con atacantes y direcciones de C&C. Diferentes significados build corresponden a diferentes direcciones de correo, mientras que el mismo C&C puede servir varios ejemplos diferentes:

construir C&C correo electrónico
2 a4yhexpmth2ldj3v.cebolla [correo electrónico protegido]
[correo electrónico protegido]
2 a4yhexpmth2ldj3v.cebolla [correo electrónico protegido]
[correo electrónico protegido]
4 a4yhexpmth2ldj3v.cebolla [correo electrónico protegido]
[correo electrónico protegido]
6 a4yhexpmth2ldj3v.cebolla [correo electrónico protegido]
[correo electrónico protegido]
2 e4aibjtrguqlyaow.onion [correo electrónico protegido]
[correo electrónico protegido]
15 e4aibjtrguqlyaow.onion [correo electrónico protegido]
[correo electrónico protegido]
12 gxyvmhc55s4fss2q.cebolla [correo electrónico protegido]
[correo electrónico protegido]
14 gxyvmhc55s4fss2q.cebolla [correo electrónico protegido]
[correo electrónico protegido]
4 gxyvmhc55s4fss2q.cebolla [correo electrónico protegido]
[correo electrónico protegido]

Registramos la distribución de diferentes muestras de dos versiones del ransomware. Además, cada muestra específica de la misma versión del malware correspondía a una combinación única de compilación y correo electrónico (ID de una muestra específica y dirección para contactar a los atacantes).

Aunque no se encontraron anuncios de asociación, según estos datos podemos suponer que el troyano se distribuye y se acepta el rescate a través de red de afiliados. Es probable que los ID de muestra (valor de compilación) y las diferentes direcciones de correo electrónico correspondan a diferentes socios de distribución de este malware.

Geografía

Los casos más habituales de infección por este troyano se dan en Rusia, Ucrania y Alemania. Según KSN, la distribución geográfica de Trojan-Ransom.Win32.Shade es la siguiente.

Rusia 70,88%
Alemania 8,42%
Ucrania 6,48%
Austria 3,91%
Suiza 2,98%
Polonia 1,45%
Kazajstán 1,20%
Bielorrusia 1,07%
Brasil 0,55%

Malware descargable: troyano de fuerza bruta para contraseñas de sitios web

Entre los programas maliciosos que descarga Trojan-Ransom.Win32.Shade se encuentra un troyano que aplica fuerza bruta a las contraseñas de los sitios web. En términos de su organización interna, la fuerza bruta es muy similar al propio ransomware; lo más probable es que sea un proyecto de los mismos autores. El malware descargado recibió el veredicto Trojan.Win32.CMSBrute.

Características comunes de la familia CMSBrute

  • Escrito en C++ usando STL y sus propias clases.
  • Vinculado estáticamente al cliente Tor.
  • Utiliza bibliotecas boost (threads), curl y OpenSSL.
  • Cada muestra contiene la dirección de un servidor C&C en total; las direcciones de tres servidores C&C se encontraron en diferentes muestras. Todos los C&C están ubicados en la red Tor y son diferentes de las direcciones encontradas en los ejemplos de Trojan-Ransom.Win32.Shade.
  • Todas las cadenas (junto con los nombres de las funciones importadas) se cifran con el algoritmo AES, se descifran cuando se inicia el programa y después de lo cual la tabla de importación se completa dinámicamente.
  • Normalmente empaquetado en UPX, el tamaño descomprimido es de 2080-2083 KB.
  • Se copia a sí mismo en uno de los directorios de la unidad C con el nombre csrss.exe.
  • Descarga complementos dll adicionales. Los complementos contienen código para definir sistema instalado gestión de contenidos (CMS) en el sitio web atacado, buscando el panel de administración y seleccionando contraseñas. Se encontraron complementos que admiten sitios basados ​​en Joomla, WordPress y DataLife Engine.

Comunicación con el servidor de comando.

Cada muestra de Trojan.Win32.CMSBrute contiene la dirección de un servidor C&C. Los servidores están ubicados en la red Tor y la comunicación con ellos se realiza mediante un cliente Tor vinculado estáticamente al troyano.

El ejemplo envía las siguientes solicitudes al servidor C&C:

    Registrar un nuevo bot:
    OBTENER http:// .onion/reg.php?n= IDENTIFICACIÓN&b= construir&v= versión&sf= escenario
    IDENTIFICACIÓN– identificador del ordenador infectado; calculado utilizando un algoritmo ligeramente diferente al del cifrador Shade;
    construir– identificador de una muestra de malware específica; solo se conoció construir 1;
    versión– versión de malware; sólo se encontró la versión 1;
    escenario– etapa del trabajo del troyano.

    Solicitud para obtener URL para descargar o actualizar archivos DLL de complementos
    OBTENER http:// .onion/upd.php?n= IDENTIFICACIÓN&b= construir&v= versión&p= complementos

    Solicite una tarea para determinar el CMS en el sitio y verificar nombres de usuario y contraseñas:
    OBTENER http:// .onion/task.php?n= IDENTIFICACIÓN&b= construir&v= versión&p= complementos
    complementos– versiones de complementos dll instalados.
    La respuesta del servidor viene en formato json y contiene las direcciones de los sitios atacados y un diccionario para adivinar contraseñas.

    Envío de un informe de fuerza bruta:
    PUBLICAR http:// .onion/rep.php?n= IDENTIFICACIÓN&b= construir&v= versión&representante= informe
    informe– una cadena json que contiene un informe sobre el CMS que se encuentra en el sitio web y los nombres de usuario y contraseñas seleccionados desde el panel de administración.

En el caso de Trojan-Ransom.Win32.Shade, todos los consejos tradicionales para combatir el ransomware son relevantes. Las instrucciones detalladas se pueden encontrar en:
https://support.kaspersky.ru/12015#block2
https://support.kaspersky.ru/viruses/common/10952

Si su computadora ya ha sido afectada por este troyano, es extremadamente importante realizar un análisis completo y tratamiento con un producto antivirus, porque Trojan-Ransom.Win32.Shade descarga e instala malware de varias familias diferentes enumeradas al principio del artículo en el sistema comprometido.

Solicitud

Al preparar este artículo, se examinaron las siguientes muestras:

Veredicto MD5
Trojan-Ransom.Win32.Shade.ub
Trojan-Ransom.Win32.Shade.ui
Trojan.Win32.CMSBrute.a

Los primeros ejemplos de malware que cifran archivos y luego exigen dinero para descifrarlos aparecieron hace mucho tiempo. Baste recordar el Trojan.Xorist con su primitivo algoritmo de cifrado basado en XOR o el Trojan.ArchiveLock escrito en PureBasic, que utilizaba WinRAR normal para el cifrado y Sysinternals SDelete para eliminar archivos cifrados y exigía hasta cinco mil dólares para descifrarlo. Sin embargo, fue CryptoLocker el que inició una mala tendencia entre los creadores de virus: utilizar los últimos avances de la criptografía en forma de algoritmos de cifrado muy potentes. Hoy examinamos varios troyanos de cifrado que aparecieron después de la sensacional aparición de CryptoLocker en Internet (o al mismo tiempo).

ADVERTENCIA

Si desea seguir nuestro ejemplo y examinar algún ejemplo de casillero de ransomware, tenga cuidado. Incluso cuando utiliza una máquina virtual, puede cifrar archivos en carpetas compartidas del sistema principal sin cuidado.

Algunas estadísticas

Desde el punto de vista de sus creadores, los troyanos de cifrado son dinero real. Organizar la distribución de spam de cartas infectadas y un servicio para aceptar pagos de quienes valoran las fotos familiares que de repente resultan estar encriptadas es mucho más simple y económico que, por ejemplo, construir y desarrollar diligentemente una botnet (que luego deberá adjuntarse en algún lugar). ) o recopilar datos de máquinas infectadas, dado que estos datos recopilados también deben monetizarse de alguna manera.


Por lo tanto, este tipo de extorsión cibernética continúa prosperando y aportando enormes cantidades de dinero a los organizadores de este negocio criminal. Por ejemplo, según los especialistas de Kaspersky Lab, en 2014 se registraron más de siete millones de ataques utilizando troyanos de cifrado de diversas familias.

La continuación está disponible sólo para miembros.

Opción 1. Únase a la comunidad del "sitio" para leer todos los materiales del sitio

¡La membresía en la comunidad dentro del período especificado le dará acceso a TODOS los materiales de Hacker, aumentará su descuento acumulativo personal y le permitirá acumular una calificación profesional de Xakep Score!

La semana pasada pillé algo tan desagradable. Un troyano que cifraba todos los archivos con extensiones psd, xlsx, docx, png, jpg, rar, zip y muchas otras. Te contaré con más detalle qué sucedió y qué hacer para reducir la probabilidad de contraer dicho virus.

Para mayor comodidad, aquí hay una tabla de contenidos del artículo.

Encriptador troyano. Cómo fue.

Como siempre

Normalmente, los troyanos que cifran sus archivos funcionan según el siguiente principio. Recibes o descargas un archivo de alguien. En apariencia archivo normal, quizás incluso un fabricante normal esté registrado y disponible firma digital. Cuando lo inicias, a primera vista no pasa nada. La ventana del instalador no se abre, nada... pero en segundo plano este descargador de troyanos abre una llamada puerta trasera. Y el troyano ransomware comienza a saltar a través del agujero creado en la protección de su PC.

Entonces entra en juego el ransomware. Cifra ciertos tipos de datos con un algoritmo especial. Muy a menudo esto documentos de palabra, Excel, base de datos 1C, etc. La mayoría de las veces permanece en el escritorio. Documento de texto con una descripción de lo que hizo este virus y cómo recuperar archivos. Lo más probable es que le pidan que escriba a correo electrónico al atacante y enviar una cierta cantidad para la recuperación de datos. Es poco probable que usted mismo pueda recuperar los datos. Para ello necesitas un decodificador. Pero incluso aquí no es tan sencillo. No hay mucha información sobre la recuperación de datos en Internet y los troyanos de este tipo se desarrollan mucho más rápido de lo que se crea una cura para ellos.

¿Cómo fue para mí?

Para mí todo fue mucho más interesante. Me senté y trabajé en mi computadora portátil. Internet estaba conectado, pero no lo usé. Trabajé en programa de terceros. No recibí ninguna carta y no instalé ni ejecuté ningún archivo. Literalmente me fui por unos 20 minutos. Vuelvo y veo esta foto:

Bueno, por supuesto, no se inició el análisis antivirus) Pero en general, este es el caso. Cambié el protector de pantalla de mi escritorio y tengo un documento de texto abierto. El documento contiene el siguiente contenido:

Su computadora ha sido atacada por un virus peligroso.

Toda su información (documentos, bases de datos, archivos, copias de seguridad, etc.) se fusionó con unidades de disco duro y cifrado utilizando el algoritmo más seguro del mundo, RSA-4096.

Recuperar archivos sólo es posible usando...

(lea el texto completo, si está interesado, en la captura de pantalla).

Se sugirió escribir por correo. [correo electrónico protegido] para conseguir el decodificador. Por supuesto, se suponía que por una determinada cantidad.

Para ser honesto, simplemente fui derrotado. ¡Qué shock! Todo el trabajo, todos los proyectos y archivos que eran importantes para mí estaban ahí. Diseños de sitios web. Presa del pánico, lancé un análisis antivirus. Sinceramente, no sé por qué. Puramente por pánico.

Algunas palabras sobre mi sistema y su estado. Este es Windows 8.1 con las últimas actualizaciones. Antivirus Eset Antivirus 8. Todos los clientes acceso remoto estaban desactivados en el momento de la penetración del troyano. Sin embargo, AmmyAdmin y TeamViewer están instalados. RDP (Escritorio remoto) está deshabilitado. Cortafuegos - estándar firewall de Windows. Excepto que el Firewall estaba deshabilitado 🙁 (fallo épico)

Me conecté a Internet para estudiar el problema. Y aquí está lo más interesante.

Cómo recuperar archivos cifrados

Esta pregunta me preocupó mucho. Empecé a buscar en Internet. Muchos foros. En todas partes se describe un troyano que funciona según un algoritmo diferente y antiguo. Y no siempre es posible eliminar las consecuencias de su acción. No siempre es posible descifrar archivos. Existe la opción de escribir al soporte DrWeb. Pero si no tienes una licencia para su antivirus, no te ayudarán.

Kaspersky también cuenta con utilidades para descifrar archivos cifrados. Aquí hay un enlace a la página de descarga de estas utilidades: support.kaspersky.ru/viruses/sms

Después de una prueba desesperada con estas utilidades, escribí al Centro de análisis de virus de Kaspersky. Ellos respondieron y tomaron los expedientes para su análisis. Pero una cosa quedó clara.

Cómo no detectar un troyano ransomware.

Si ya recibió un virus de un hacker de correo electrónico [correo electrónico protegido] , entonces podrás organizar con seguridad una fiesta de despedida para tus archivos. No será posible revivirlos. Así que haga una copia de seguridad de los archivos eliminados (tal vez en el futuro hagan una cura y pueda restaurar los datos perdidos), reinstale Windows y aprenda cómo minimizar la probabilidad de que un troyano de este tipo lo afecte. Después de buscar en Internet, leer un montón de consejos inteligentes y desde mi propia experiencia, se me ocurren los siguientes puntos de seguridad:

  1. Actualice su sistema. Antes de instalar la última actualizaciones de windows, lea de qué se tratan y por qué. Cómo afectaron estas actualizaciones al sistema. Las actualizaciones de Microsoft no siempre son muy útiles. Pero no lo ejecutes. Mantener el sistema actualizado.
  2. Cortafuegos. No desactive el firewall o, mejor aún, instale un firewall normal. Aunque el FW estándar de MicroSoft no es una fuente, es mejor que nada. Es incluso mejor si instala un firewall normal. ya lo he configurado ESET inteligente Seguridad.
  3. Acceso remoto. no aguantes programas abiertos acceso remoto, como Team Viewer, administrador, Radmin y otros. Quién sabe, ¡tal vez ya les hayan encontrado un agujero! Además, nunca recomiendo permitir que todos accedan al escritorio remoto. Cómo desactivar Remote Decktop no es difícil de encontrar en Internet.
  4. Contraseña. Establece una contraseña para tu usuario. Puede que no sea una contraseña complicada, pero lo es. Y haz que Windows siempre te pida permiso al iniciar programas. Esto es algo menos conveniente, pero mucho más seguro. Esta configuración se realiza en el Centro de seguridad de Windows.
  5. Copias de seguridad. Esto es algo que no le salvará de la penetración de troyanos, pero le resultará muy útil si pierde archivos. Fusionar copias de archivos importantes en la nube, en unidades flash, extraíbles discos duros, DVD... en cualquier lugar. Proporcionar almacenamiento información importante no sólo localmente en su computadora.

Al observar estos reglas simples Puede reducir la probabilidad de que un virus malicioso ingrese a su computadora y hacer su vida mucho más fácil si pierde archivos valiosos.

A finales de 2016 se notó nuevo virus-criptógrafo– NO_MÁS_RANSOM. Recibió un nombre tan largo debido a la extensión que asigna a los archivos de usuario.

Adopté muchas cosas de otros virus, por ejemplo de da_vinci_cod. Desde su reciente aparición en Internet, los laboratorios antivirus aún no han podido descifrar su código. Y es poco probable que puedan hacerlo en un futuro próximo: se utiliza un algoritmo de cifrado mejorado. Entonces, averigüemos qué hacer si sus archivos están cifrados con la extensión "no_more_ransom".

Descripción y principio de funcionamiento.

A principios de 2017, muchos foros se vieron inundados de mensajes “el virus no_more_ransom ha cifrado archivos”, en los que los usuarios pedían ayuda para eliminar la amenaza. No solo fueron atacados ordenadores privados, sino también organizaciones enteras (especialmente aquellas que utilizan bases de datos 1C). La situación para todas las víctimas es aproximadamente la misma: abrieron el archivo adjunto de correo electrónico, después de un tiempo los archivos recibieron la extensión No_more_ransom. El virus ransomware pasó por alto todos los populares. programas antivirus.

En general, según el principio de infección, No_more_ransom es indistinguible de sus predecesores:


Cómo curar o eliminar el virus No_more_ransom

Es importante comprender que después de iniciar No_more_ransom usted mismo, perderá la oportunidad de restaurar el acceso a los archivos utilizando la contraseña de los atacantes. ¿Es posible recuperar un archivo después de No_more_ransom? Hasta la fecha, no existe un algoritmo que funcione al 100% para descifrar datos. Las únicas excepciones son las utilidades de laboratorios conocidos, pero la selección de la contraseña lleva mucho tiempo (meses, años). Pero más sobre la recuperación a continuación. Primero, descubramos cómo identificar el troyano no more rescate (traducción: "no más rescate") y derrotarlo.

Como regla general, el software antivirus instalado permite que el ransomware ingrese a la computadora; a menudo se lanzan nuevas versiones, para las cuales simplemente no hay tiempo para publicar bases de datos. Los virus de este tipo se eliminan con bastante facilidad de una computadora, porque los estafadores no necesitan que permanezcan en el sistema después de completar su tarea (cifrado). Para eliminarlo, puede utilizar utilidades listas para usar que se distribuyen de forma gratuita:


Usarlos es muy simple: inicie, seleccione los discos, haga clic en "Iniciar escaneo". Sólo queda esperar. Posteriormente aparecerá una ventana en la que se mostrarán todas las amenazas. Haga clic en "Eliminar".

Lo más probable es que una de estas utilidades elimine el virus ransomware. Si esto no sucede, entonces es necesaria la eliminación manual:


Si detecta rápidamente un virus y logra eliminarlo, existe la posibilidad de que algunos de los datos no estén cifrados. Es mejor guardar los archivos que no fueron atacados en una unidad separada.

Utilidades de descifrado para descifrar archivos "No_more_ransom"

Es simplemente imposible encontrar el código usted mismo, a menos que sea un hacker avanzado. Para descifrar necesitarás utilidades especiales. Diré de inmediato que no todos podrán descifrar un archivo cifrado como "No_more_ransom". El virus es nuevo, por lo que adivinar una contraseña es muy tarea difícil.

Entonces, en primer lugar, intentamos restaurar datos a partir de instantáneas. Por defecto Sistema operativo, a partir de Windows 7, guarda periódicamente copias de sus documentos. En algunos casos, el virus no puede eliminar copias. Por ello, descargamos el programa gratuito ShadowExplorer. No es necesario instalar nada, sólo descomprimirlo.


Si el virus no elimina las copias, existe la posibilidad de recuperar entre el 80 y el 90 % de la información cifrada.

Los laboratorios antivirus de renombre también ofrecen programas de descifrado para recuperar archivos después del virus No_more_ransom. Sin embargo, no debe esperar que estas utilidades puedan recuperar sus datos. Los cifradores se mejoran constantemente y los especialistas simplemente no tienen tiempo para publicar actualizaciones para cada versión. Enviar muestras a apoyo técnico Laboratorios antivirus para ayudar a los desarrolladores.

Para combatir No_more_ransom existe Kaspersky Decryptor. La utilidad se presenta en dos versiones con prefijos y Rakhni (hay artículos separados sobre ellos en nuestro sitio web). Para combatir el virus y descifrar archivos, solo necesita ejecutar el programa y seleccionar las ubicaciones de escaneo.

Además, debe especificar uno de los documentos bloqueados para que la utilidad comience a adivinar la contraseña.

También puedes descargar el mejor descifrador No_more_ransom del Dr. de forma gratuita. Web. La utilidad se llama matsnu1decrypt. Funciona de forma similar con los programas de Kaspersky. Todo lo que tienes que hacer es ejecutar el escaneo y esperar hasta que finalice.

Hace una o dos semanas apareció en Internet otro truco de los creadores de virus modernos, que cifra todos los archivos del usuario. Una vez más consideraré la cuestión de cómo curar una computadora después de un virus ransomware. cifrado000007 y recuperar archivos cifrados. En este caso no ha aparecido nada nuevo ni único, sólo una modificación de la versión anterior.

Descifrado garantizado archivos después del virus ransomware - dr-shifro.ru. Los detalles del trabajo y el esquema de interacción con el cliente se encuentran a continuación en mi artículo o en el sitio web en la sección "Procedimiento de trabajo".

Descripción del virus ransomware CRYPTED000007

El cifrador CRYPTED000007 no se diferencia fundamentalmente de sus predecesores. Funciona casi exactamente de la misma manera. Pero todavía hay varios matices que lo distinguen. Te lo contaré todo en orden.

Llega, como sus homólogos, por correo. Se utilizan técnicas de ingeniería social para conseguir que el usuario se interese por la carta y la abra. En mi caso, la carta hablaba de algún tribunal e información importante sobre el caso en el archivo adjunto. Después de ejecutar el archivo adjunto, el usuario abre un documento de Word con un extracto del Tribunal de Arbitraje de Moscú.

Paralelamente a la apertura del documento, se inicia el cifrado del archivo. Un mensaje de información del sistema de Control de cuentas de usuario de Windows comienza a aparecer constantemente.

Si acepta la propuesta, las copias de seguridad de los archivos en las instantáneas de Windows se eliminarán y será muy difícil restaurar la información. Es evidente que no se puede estar de acuerdo con la propuesta bajo ninguna circunstancia. En este cifrado, estas solicitudes aparecen constantemente, una tras otra y no se detienen, lo que obliga al usuario a aceptar y eliminar las copias de seguridad. Ésta es la principal diferencia con respecto a modificaciones anteriores de cifradores. Nunca me he encontrado con solicitudes para eliminar instantáneas sin parar. Por lo general, después de 5 a 10 ofertas, dejaron de hacerlo.

Inmediatamente daré una recomendación para el futuro. Es muy común que las personas desactiven las advertencias del Control de cuentas de usuario. No es necesario hacer esto. Este mecanismo realmente puede ayudar a resistir los virus. El segundo consejo obvio es no trabajar constantemente bajo cuenta administrador informático, salvo que exista una necesidad objetiva para ello. En este caso, el virus no podrá causar mucho daño. Tendrás más posibilidades de resistirte a él.

Pero incluso si siempre has respondido negativamente a las solicitudes del ransomware, todos tus datos ya están cifrados. Una vez completado el proceso de cifrado, verá una imagen en su escritorio.

Al mismo tiempo, habrá muchos archivos de texto con el mismo contenido.

Sus archivos han sido cifrados. Para descifrar ux, debe enviar el código: 329D54752553ED978F94|0 a la dirección de correo electrónico [correo electrónico protegido]. A continuación recibirás todas las instrucciones necesarias. Los intentos de descifrarlo por su cuenta no conducirán a nada más que a una cantidad irrevocable de información. Si aún desea intentarlo, primero haga copias de seguridad de los archivos; de lo contrario, en caso de un cambio, el descifrado será imposible bajo ninguna circunstancia. Si no ha recibido una notificación en la dirección anterior dentro de las 48 horas (¡solo en este caso!), utilice el formulario de contacto. Esto se puede hacer de dos maneras: 1) Descargar e instalar Navegador Tor a través del enlace: https://www.torproject.org/download/download-easy.html.en En el cuadro de dirección del navegador Tor, ingrese la dirección: http://cryptsen7fo43rr6.onion/ y presione Enter. Se cargará la página con el formulario de contacto. 2) En cualquier navegador, vaya a una de las direcciones: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Todos los archivos importantes de su computadora fueron cifrados. Para descifrar los archivos debe enviar el siguiente código: 329D54752553ED978F94|0 a la dirección de correo electrónico [correo electrónico protegido]. Luego recibirá todas las instrucciones necesarias. Todos los intentos de descifrado por su cuenta resultarán únicamente en la pérdida irrevocable de sus datos. Si aún desea intentar descifrarlos usted mismo, primero haga una copia de seguridad porque el descifrado será imposible en caso de que se realicen cambios dentro de los archivos. Si no recibió la respuesta del correo electrónico antes mencionado durante más de 48 horas (¡y solo en este caso!), utilice el formulario de comentarios. Puedes hacerlo de dos maneras: 1) Descarga Tor Browser desde aquí: https://www.torproject.org/download/download-easy.html.en Instálalo y escribe la siguiente dirección en la barra de direcciones: http:/ /cryptsen7fo43rr6.onion/ Presione Entrar y luego se cargará la página con el formulario de comentarios. 2) Vaya a una de las siguientes direcciones en cualquier navegador: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

La dirección postal puede cambiar. También encontré las siguientes direcciones:

Las direcciones se actualizan constantemente, por lo que pueden ser completamente diferentes.

Tan pronto como descubra que sus archivos están cifrados, apague inmediatamente su computadora. Esto debe hacerse para interrumpir el proceso de cifrado como en computadora local y en unidades de red. Un virus de cifrado puede cifrar toda la información a su alcance, incluso en las unidades de red. Pero si hay una gran cantidad de información allí, le llevará un tiempo considerable. A veces, incluso en un par de horas, el criptógrafo no tuvo tiempo de cifrar todo en unidad de red aproximadamente 100 gigabytes.

A continuación hay que pensar detenidamente cómo actuar. Si necesita información en su computadora a cualquier costo y no tiene copias de seguridad, entonces es mejor en este momento recurrir a especialistas. No necesariamente por dinero para algunas empresas. Sólo necesitas a alguien que sea bueno en sistemas de información. Es necesario evaluar la magnitud del desastre, eliminar el virus y recopilar toda la información disponible sobre la situación para entender cómo proceder.

Las acciones incorrectas en esta etapa pueden complicar significativamente el proceso de descifrar o restaurar archivos. En el peor de los casos, pueden hacerlo imposible. Así que tómate tu tiempo, sé cuidadoso y constante.

Cómo cifra archivos el virus ransomware CRYPTED000007

Una vez que el virus se haya iniciado y haya finalizado su actividad, todos los archivos útiles se cifrarán y se les cambiará el nombre de extensión.crypted000007. Además, no solo se reemplazará la extensión del archivo, sino también el nombre del archivo, por lo que no sabrá exactamente qué tipo de archivos tenía si no lo recuerda. Se verá algo como esto.

En tal situación, será difícil evaluar la magnitud de la tragedia, ya que no podrá recordar completamente lo que tenía en diferentes carpetas. Esto se hizo específicamente para confundir a la gente y animarla a pagar por el descifrado de archivos.

Y si hubieras cifrado y carpetas de red y no copias de seguridad completas, entonces esto puede detener por completo el trabajo de toda la organización. Le llevará un tiempo descubrir qué se perdió finalmente para poder comenzar la restauración.

Cómo tratar su computadora y eliminar el ransomware CRYPTED000007

El virus CRYPTED000007 ya está en su computadora. La primera y más importante pregunta es cómo desinfectar una computadora y cómo eliminar un virus para evitar un mayor cifrado si aún no se ha completado. Me gustaría llamar su atención de inmediato sobre el hecho de que después de que usted mismo comienza a realizar algunas acciones con su computadora, las posibilidades de descifrar los datos disminuyen. Si necesita recuperar archivos a cualquier precio, no toque su computadora, comuníquese inmediatamente con profesionales. A continuación hablaré sobre ellos, proporcionaré un enlace al sitio y describiré cómo funcionan.

Mientras tanto, continuaremos tratando la computadora de forma independiente y eliminando el virus. Tradicionalmente, el ransomware se elimina fácilmente de una computadora, ya que el virus no tiene la tarea de permanecer en la computadora a toda costa. Después de cifrar completamente los archivos, le resulta aún más rentable eliminarse y desaparecer, por lo que resulta más difícil investigar el incidente y descifrar los archivos.

Describir eliminación manual El virus es difícil, aunque lo intenté antes, pero veo que la mayoría de las veces no tiene sentido. Los nombres de los archivos y las rutas de ubicación de los virus cambian constantemente. Lo que vi ya no es relevante en una semana o dos. Normalmente, los virus se envían a través de va al correo en oleadas y cada vez hay una nueva modificación que aún no es detectada por los antivirus. Herramientas universales que verifican el inicio automático y detectan. actividades sospechosas en las carpetas del sistema.

Para eliminar el virus CRYPTED000007, puede utilizar los siguientes programas:

  1. Herramienta de eliminación de virus Kaspersky: una utilidad de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - un producto similar de otra web http://free.drweb.ru/cureit.
  3. Si las dos primeras utilidades no ayudan, pruebe MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Lo más probable es que uno de estos productos limpie su computadora del ransomware CRYPTED000007. Si de repente sucede que no ayudan, intente eliminar el virus manualmente. Di un ejemplo del método de eliminación y puedes verlo allí. Brevemente, paso a paso, debes actuar así:

  1. Miramos la lista de procesos, después de agregar varias columnas adicionales al administrador de tareas.
  2. Encontramos el proceso del virus, abrimos la carpeta en la que se encuentra y lo eliminamos.
  3. Borramos la mención del proceso del virus por nombre de archivo en el registro.
  4. Reiniciamos y nos aseguramos de que el virus CRYPTED000007 no esté en la lista de procesos en ejecución.

Dónde descargar el descifrador CRYPTED000007

La cuestión de un descifrador simple y confiable surge primero cuando se trata de un virus ransomware. Lo primero que recomiendo es utilizar el servicio https://www.nomoreransom.org. ¿Qué pasa si tienes suerte y tienen un descifrador para tu versión del cifrado CRYPTED000007? Diré de inmediato que no tienes muchas posibilidades, pero intentarlo no es una tortura. En pagina de inicio haga clic en Sí:

Luego descargue un par de archivos cifrados y haga clic en Ir. Descubrir:

Al momento de escribir este artículo, no había ningún descifrador en el sitio.

Quizás tengas mejor suerte. También puede ver la lista de descifradores para descargar en pagina separada- https://www.nomoreransom.org/decryption-tools.html. Quizás haya algo útil allí. Cuando el virus está completamente fresco, hay pocas posibilidades de que esto suceda, pero con el tiempo puede aparecer algo. Hay ejemplos en los que aparecieron en la red descifradores para algunas modificaciones de los cifradores. Y estos ejemplos están en la página especificada.

No sé dónde más puedes encontrar un decodificador. Es poco probable que realmente exista, teniendo en cuenta las peculiaridades del trabajo de los codificadores modernos. Sólo los autores del virus pueden tener un descifrador completo.

Cómo descifrar y recuperar archivos después del virus CRYPTED000007

¿Qué hacer cuando el virus CRYPTED000007 ha cifrado tus archivos? La implementación técnica del cifrado no permite descifrar archivos sin una clave o un descifrador que solo tiene el autor del cifrado. Quizás haya alguna otra forma de conseguirlo, pero no tengo esa información. Sólo podemos intentar recuperar archivos utilizando métodos improvisados. Éstas incluyen:

  • Herramienta instantáneas ventanas.
  • Programas de recuperación de datos eliminados

Primero, verifiquemos si tenemos habilitadas las instantáneas. Esta herramienta funciona de forma predeterminada en Windows 7 y versiones posteriores, a menos que la desactive manualmente. Para comprobarlo, abra las propiedades de la computadora y vaya a la sección de protección del sistema.

Si durante la infección no confirmó la solicitud de UAC para eliminar archivos en instantáneas, entonces algunos datos deberían permanecer allí. Hablé con más detalle sobre esta solicitud al comienzo de la historia, cuando hablé del trabajo del virus.

Para restaurar fácilmente archivos a partir de instantáneas, sugiero usar programa gratuito para este propósito - ShadowExplorer. Descargue el archivo, descomprima el programa y ejecútelo.

Se abrirá la última copia de los archivos y la raíz de la unidad C. En la esquina superior izquierda, puede seleccionar una copia de seguridad si tiene varias. Consultar diferentes ejemplares para disponibilidad. archivos necesarios. Comparar por fechas, donde más ultima versión. En el siguiente ejemplo, encontré 2 archivos en mi escritorio de hace tres meses, cuando se editaron por última vez.

Pude recuperar estos archivos. Para hacer esto, los seleccioné, hice clic botón derecho del ratón ratón, seleccionó Exportar e indicó la carpeta donde restaurarlos.

Puede restaurar carpetas inmediatamente utilizando el mismo principio. Si tenía instantáneas funcionando y no las eliminó, tiene muchas posibilidades de recuperar todos, o casi todos, los archivos cifrados por el virus. Quizás algunos de ellos sean más versión antigua, de lo que nos gustaría, pero aún así, es mejor que nada.

Si por alguna razón no tiene instantáneas de sus archivos, su única posibilidad de obtener al menos algo de los archivos cifrados es restaurarlos usando herramientas de recuperación. archivos eliminados. Para ello, sugiero utilizar el programa gratuito Photorec.

Inicie el programa y seleccione el disco en el que restaurará los archivos. Al iniciar la versión gráfica del programa se ejecuta el archivo. qphotorec_win.exe. Debe seleccionar una carpeta donde se colocarán los archivos encontrados. Es mejor que esta carpeta no esté ubicada en el mismo disco donde estamos buscando. Conecte una unidad flash o duro externo disco para esto.

El proceso de búsqueda llevará mucho tiempo. Al final verás estadísticas. Ahora puede ir a la carpeta especificada anteriormente y ver qué se encuentra allí. Lo más probable es que haya muchos archivos y la mayoría de ellos estarán dañados o serán algún tipo de sistema y archivos inútiles. Sin embargo, en esta lista se pueden encontrar algunos archivos útiles. Aquí no hay garantías, lo que encuentres es lo que encontrarás. Las imágenes suelen restaurarse mejor.

Si el resultado no le satisface, también existen programas para recuperar archivos borrados. A continuación se muestra una lista de programas que suelo utilizar cuando necesito restaurar cantidad máxima archivos:

  • R.saver
  • Recuperación de archivos Starus
  • Recuperación JPEG Pro
  • Profesional de recuperación de archivos activos

Estos programas no son gratuitos, por lo que no proporcionaré enlaces. Si realmente lo desea, puede encontrarlos usted mismo en Internet.

Todo el proceso de recuperación de archivos se muestra en detalle en el vídeo al final del artículo.

Kaspersky, eset nod32 y otros en la lucha contra el cifrador Filecoder.ED

Los antivirus populares detectan el ransomware CRYPTED000007 como codificador de archivos.ED y luego puede haber alguna otra designación. Revisé los principales foros de antivirus y no vi nada útil allí. Desafortunadamente, como siempre, el software antivirus no estaba preparado para la invasión de una nueva ola de ransomware. Aquí hay una publicación del foro de Kaspersky.

Los antivirus tradicionalmente pasan por alto las nuevas modificaciones de los troyanos ransomware. Sin embargo, recomiendo usarlos. Si tiene suerte y recibe un correo electrónico de ransomware no en la primera ola de infecciones, sino un poco más tarde, existe la posibilidad de que el antivirus le ayude. Todos trabajan un paso detrás de los atacantes. Resulta una nueva version ransomware, los antivirus no responden a él. Tan pronto como se acumula una cierta cantidad de material para la investigación de un nuevo virus, el software antivirus lanza una actualización y comienza a responder.

No entiendo qué impide que los antivirus respondan inmediatamente a cualquier proceso de cifrado en el sistema. Quizás haya algún matiz técnico en este tema que no nos permita responder adecuadamente y evitar el cifrado de los archivos de los usuarios. Me parece que sería posible al menos mostrar una advertencia sobre el hecho de que alguien está cifrando sus archivos y ofrecer detener el proceso.

Dónde acudir para obtener un descifrado garantizado

Me encontré con una empresa que descifra datos después del trabajo de varios virus de cifrado, incluido CRYPTED000007. Su dirección es http://www.dr-shifro.ru. Pago sólo después del descifrado completo y su verificación. Aquí hay un esquema de trabajo aproximado:

  1. Un especialista de la empresa llega a su oficina o domicilio y firma con usted un contrato en el que se fija el coste del trabajo.
  2. Inicia el descifrador y descifra todos los archivos.
  3. Te aseguras de que todos los archivos estén abiertos y firmas el certificado de entrega/aceptación del trabajo completado.
  4. El pago se realiza únicamente tras resultados exitosos de descifrado.

Seré sincero, no sé cómo lo hacen, pero no arriesgas nada. Pago únicamente después de la demostración del funcionamiento del decodificador. Por favor escriba una reseña sobre su experiencia con esta empresa.

Métodos de protección contra el virus CRYPTED000007.

Cómo protegerse del ransomware y prescindir de material y daño moral? Hay algunos consejos simples y efectivos:

  1. ¡Respaldo! Copia de respaldo todos los datos importantes. Y no sólo una copia de seguridad, sino una copia de seguridad en la que no existe acceso permanente. De lo contrario, el virus puede infectar tanto tus documentos como tus copias de seguridad.
  2. Antivirus con licencia. Aunque no ofrecen una garantía del 100%, aumentan las posibilidades de evitar el cifrado. La mayoría de las veces no están preparados para las nuevas versiones del cifrador, pero después de 3 o 4 días empiezan a responder. Esto aumenta sus posibilidades de evitar la infección si no fue incluido en la primera ola de distribución de una nueva modificación del ransomware.
  3. No abra archivos adjuntos sospechosos en el correo. No hay nada que comentar aquí. Todo el ransomware que conozco llega a los usuarios por correo electrónico. Además, cada vez se inventan nuevos trucos para engañar a la víctima.
  4. No abras sin pensar enlaces que te envíen tus amigos a través de medios de comunicación social o mensajeros. Así es como a veces se propagan los virus.
  5. Encender visualización de ventanas extensiones de archivo. Cómo hacer esto es fácil de encontrar en Internet. Esto le permitirá notar la extensión del archivo del virus. La mayoría de las veces será .exe, .vbs, .src. En su trabajo diario con documentos, es poco probable que encuentre extensiones de archivo de este tipo.

Intenté complementar lo que ya había escrito antes en cada artículo sobre el virus ransomware. Mientras tanto me despido. Me encantaría recibir comentarios útiles sobre el artículo y el virus ransomware CRYPTED000007 en general.

Vídeo sobre descifrado y recuperación de archivos.

Aquí hay un ejemplo de una modificación previa del virus, pero el video es completamente relevante para CRYPTED000007.