Увага! Масова розсилка шифрувальника no_more_ransom

17/03/2017

Вірус-шифрувальник no_more_ransom — це ще один шифратор із чималої сім’ї інших подібних шкідливих програм. Ця програма вражає всі сучасні версії операційних систем Windows, включаючи Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10.

Під час зараження вірус no_more_ransom може використовувати декілька різних каталогів для зберігання своїх файлів:

 

C:\ProgramData\Windows

C:\ProgramData\Csrss

C:\Users\All Users\Csrss

 

У каталозі створюється файл csrss.exe, який є копією виконуваного файла вірусу. Шифрувальник створює запис у розділі реєстру Windows HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Таким чином вірус має можливість продовжувати шифрування за будь-яких обставин, навіть якщо комп’ютер був виключений.

Після запуску вірус сканує всі доступні диски (включаючи мережеві) для визначення файлів, що будуть зашифровані. Остання версія вірусу шифрує велику кількість різних видів файлів, включаючи найпоширеніші типи файлів архівів, зображень, відео, документів:

 

.3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw.

 

Після шифрування файл отримує нове ім’я та розширення .no_more_ransom, а вірус створює на всіх дисках і Робочому столі текстові документи з іменами README.txt, README1.txt, README2.txt тощо, які містять інструкцію з розшифрування файлів.

Вірус no_more_ransom показує на Робочому столі попередження, намагаючись таким чином змусити жертву, не роздумуючи, вислати ID комп’ютера на адресу електронної пошти автора вірусу в спробі повернути власні файли.

 

nmr1
 

 Наголошуємо: не вступайте в листування, не надавайте свої дані та не сплачуйте будь-які кошти для їх розшифрування. Це не дає жодної гарантії, що ваші файли будуть розшифровані!

 

nmr_asset2

 

Вірус no_more_ransom поширюється за допомогою електронної пошти. Лист містить вкладений заражений документ або архів. Автори вірусу використовують різноманітні заголовки й зміст листів, намагаючись обманом змусити користувача відкрити вкладений до листа документ. У будь-якому разі  результатом відкриття прикріпленого файла буде зараження комп’ютера вірусом no_more_ransom.

 

nmr_asset3>

 

Визначити, чи заражений комп’ютер вірусом-шифрувальником no_more_ransom, доволі легко. Якщо замість ваших персональних файлів з’явилися файли з дивними іменами та розширенням no_more_ransom, то ваш комп’ютер заражений. Крім того, ознакою зараження є наявність файлів README у ваших каталогах. Файли такого типу міститимуть інструкцію з розшифрування файлів no_more_ransom.

Атака проводилася з використанням великої розподіленої Bot-мережі. У результаті аналізу встановлено близько 15 000 IP адрес Bot-агентів, що територіально розташовані в 153 країнах світу.

 

screen

 

Рекомендації CERT-UA:

1) Ще раз наголошуємо на неприпустимості відкриття вкладень, отриманих засобами електронної пошти (без попереднього підтвердження факту надсилання електронного листа його відправником).

2) Системним адміністраторам і адміністраторам безпеки слід звернути увагу на фільтрацію вхідних/вихідних інформаційних потоків, зокрема поштового і веб-трафіку.

3) Користувачам електронної пошти варто бути уважними під час відкриття атачментів, навіть якщо вони надійшли від відомих адресатів.

4) Обмежити можливість доставки файлів з розширеннями «.exe», «.zip», «.rar».

5) Обмежити можливість запуску MZ / PE-файлів на комп’ютерах користувачів з  директорій %TEMP%, %APPDATA%.

6) Дозволити в параметрах папок «бачити» розширення зареєстрованих типів даних (за замовчуванням цей параметр відключено).

7) Рекомендуємо звернутись до рекомендацій CERT-UA cтосовно безпеки поштових сервісів.

Для можливості відновлення зашифрованих файлів скористатися програмами

ShadowExplorer або PhotoRec.