.no_more_ransom

В этой статье не призываю идти на поводу у злоумышленников и платить им деньги, не предлагаю с ними сотрудничать и уж тем более не поощряю их способы заработка, а всего лишь отражаю опыт взаимодействия с ними.

Обратился клиент с проблемой актуальной на сегодняшний день, вирус зашифровал файлы, причем переименовав их полностью, а не добавив новое расширение, что не оставляло возможности понять какой тип файла видим перед собой. Данные стали такого вида: l1YOMSCoG99U6JQ2JPDuD-tbD2JVm5OFdldVfDxnX4ilhnmEOYVUVL6bNH79PjBMpETW3m34U+7z4w4zK+cpkti4Bv4iOzVZS09Vp+Or0hYHX3OqrcuiGip8kHgecj2.5EFC70C2773E0713491D.no_more_ransom

На рабочем столе и в корне дисков появилось текстовые документы вида README1.txt, README2.txt, …, README10.txt, в которых один и тот же текст:

Baшu файлы были зашuфpованы.
Чтобы рaсшuфровaть их, Вaм неoбходимо omnpавuть koд:
{идентификатор зашифрованного компьютера}
на элekmpонный aдрeс yvonne.vancese1982@gmail.com .
Дaлеe вы пoлучumе всe нeoбходuмые uнcmрукцuи.
Попытkи рaсшифрoвaть сaмоcmоятельнo не приведуm ни k чему, kроме безвозвраmной пoтeри инфopмaцuu.
Еcлu вы всё же хотuтe nonытаться, mo предвaрuтeльнo cделaйme резеpвные кoпиu файлoв, иначe в случаe
иx uзмeненuя pаcшuфровka cmaнem нeвoзможнoй ни пpи kакux уcловuяx.
Еcлu вы нe nолучили oтвemа по вышeykазаннoмy aдреcy в течeниe 48 чаcов (и тoльkо в этом случаe!),
восnoльзуйтесь формой oбpаmнoй связu. Эmо мoжно сдeлaть двyмя cпосoбaми:
1) Скaчайте и уcтановume Tor Browser пo ccылke: https://www.torproject.org/download/download-easy.html.en
В адреснoй сmроke Tor Browser-a введиmе aдpeс:
http://cryptsen7fo43rr6.onion/
u нажмuтe Enter. Зaгpyзumcя cтранuцa с фoрмой обpaтной cвязu.
2) В любом бpaузеpe пеpейдиmе nо oдному из aдрecов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
{идентификатор зашифрованного компьютера}
to e-mail address yvonne.vancese1982@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Написав на почту yvonne.vancese1982@gmail.com, получил ответ:

Стоимость дешифровки 35000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 2 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл,
никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.
Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы
Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.
И помните пожалуйста, что цена каждый день растет.
PS Пишите четко, ясно, предельно понятно, учитывайте, что кроме Вас пишет много человек,
в диалоги не вступаю, работа по приницпу быстро заплатил, сразу получил.Не устраивает цена услуги, больше не пишите.

Все стандартно, заплатил — получил дешифратор. Только риск быть кинутым остается всегда, тем более сумма не маленькая, хотя потеря информации часто более болезненна, чем 35000руб.

Написав, что я обычный менеджер, на которого все повесили, и работу терять я не хочу, поэтому готов заплатить, но особо средствами не располагаю, попросил скидку. Ответ получил довольно быстро, цену снизили до 30 000руб.

Далее процесс перевода денег в Биткоины и отправка на указанный адрес. После чего продолжение общения в почте:

http://dropmefiles.com/*** - ссылка на дешифратор

{пароль на архив}

 

Разархивируете и сохраняете папку на диск C, после этого нажимаете на файл decrypt.exe два раза, будут вопросы пишите, хорошего дня.
Обязательно отключайте на время расшифровки антивирус и запускайте файл decrypt.exe от имени администратора
ОБЯЗАТЕЛЬНО ОТКЛЮЧАТЬ АНТИВИРУС СОВСЕМ, а не только спящий режим, закрыть абсолютно все программы и во время расшифровки на пк
ничего не делать.После расшифровки смотреть в папке возможно будет файл Rename
Когда программа закончит она предложит нажать Enter
Также после этого смотрите файл Rename (он там же где decrypt) может создастся может нет

По итогу имеем расшифрованную информацию и минус 30000руб. в кошельке. В очередной раз все прошло удачно и деньги не улетели в трубу, хотя как посмотреть.. 🙂

Единственный способ защиты от вирусов-шифровальщиков — это резервные копии. Не забывайте делать бэкапы!

Автор Тима

Редактор сайта. По совместительству сисадмин. Большой фанат Linux, гаджетов и древних видеоигр.

Author: Тима

Редактор сайта. По совместительству сисадмин. Большой фанат Linux, гаджетов и древних видеоигр.