среда, 29 июня 2016 г.

WildFire Locker Ransomware


   Этот крипто-вымогатель шифрует файлы с помощью AES-256 (CBC режим), а затем требует выкуп в $/€ 299. К зашифрованным файлам добавляется расширение .wflx. На уплату выкупа даётся неделя, а потом цена увеличится в 3 раза. 

Генеалогия: GNL Locker > Zyklon Locker > WildFire Locker


Remove WildFire Locker Decrypt Decode Restore files Recovery data Удалить WildFire Дешифровать Расшифровать Восстановить файлы

Записки о выкупе называются: 
HOW_TO_UNLOCK_FILES_README_(<ID>).html (перевод "Как разблокировать файлы. Прочтите")
HOW_TO_UNLOCK_FILES_README_(<ID>).txt
HOW_TO_UNLOCK_FILES_README_(<ID>).bmp



Содержание записки о выкупе:
All your files have been encrypted by WildFire Locker
All your files have been encrypted with an unique 32 characters long password using AES-256 CBC encryption.

The only way to get your files back is by purchasing the decryption password!
The decryption password will cost $/€299.
You have untill woensdag 6 juli 2016 UTC before the price increases to $/€999!

Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
Personal ID: [redacted]

Visit one of the websites below to purchase your decryption password!
http://exithub1.su/[***]
http://exithub2.su/[***]

If these websites don't work follow the steps below
1. Download the TOR Browser Bundle https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Install and then open the Tor Browser Bundle.
3. Inside the Tor Browser Bundle navigate to gsxrmcgsygcxfkbb.onion/[***]

Перевод на русский язык: 
Все ваши файлы зашифрованы WildFire Locker
Все ваши файлы зашифрованы с уникальными 32 символьным паролем с помощью AES-256 CBC шифрование.

Единственный способ получить файлы обратно — это купить пароль дешифровки!
Пароль дешифровки стоит $/€ 299.
У вас есть время до 6 июля 2016 по ВКВ, когда цена возрастет до $/€ 999!

Антивирусное ПО не восстановит ваши файлы! Можно восстановить файлы, только купив пароль дешифровки.
Ваш ID: [***]

Посети один из сайтов, чтобы купить ваш пароль дешифровки!
http://exithub1.su/[***]
http://exithub2.su/[***]

Если эти сайты не работают, следуй пунктам ниже
1. Загрузи браузер Tor https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Установи, а затем открой браузер Tor.
3. Из браузера Tor открой gsxrmcgsygcxfkbb.onion / [***]


Сайт уплаты выкупа с платежной информацией

Форма отправки запроса на помощь

На странице уплаты выкупа имеется ссылка на форму обратной связи с вымогателями. 

Текст на экране:
On this page you can ask questions if you want to know something or need help.
We will get back to you within 24 hours (our answers will be shown on this page)

Перевод текста:
Здесь можете задать вопросы, если хотите что-то узнать или нужна помощь.
Мы ответим вам за 24 часа (ваши ответы будут отображены на этой странице)


По данным специалистов у WildFire Locker тот же код, те же слои запутывания, те же C&C-серверы, только другие расширения и записка о выкупе. 

От атаки WildFire освобождены только ряд стран Восточной Европы: Россия, Беларусь, Украина, Латвия, Эстония и Молдова. См. отчет в блоге McAffee

Распространяется с помощью ботнета Kelihos и email-спама с вредоносным вложением. Письма оформлены на голландском языке и имитируют уведомление о недоставке груза. Получателю советуют оформить новую заявку в транспортный отдел, форму которой якобы можно скачать по указанной ссылке вместе с базовой информацией о порядке доставки.

По ссылке находится doc-файл с вредоносный макросом, для активации которого пользователю предлагается (на английском и голландском языках) включить режим редактирования, а затем активировать макросы в документе. Как показал анализ VBA-зловреда, в его исходный код включен ряд произвольных имен (TonyMontanaZRanaJakmietana, KerryMcNot, LouiseBackdone), в том числе несколько знакомых для поклонников творчества Толкина: Nazgul, MinasTirit, Gondor.

Этот загрузчик и доставляет жертве WildFire Locker. Сайт, созданный злоумышленниками для приема платежей, размещен в анонимной сети Tor. Для определения местоположения жертвы он использует специальный плагин.

Степень распространенности: пока не определена.
Подробные сведения собираются. 


Внимание! 
Для зашифрованных файлов есть декриптор

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *