Если вы не видите здесь изображений, то используйте VPN.

четверг, 30 июня 2016 г.

WildFire Locker

WildFire Locker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью AES-256 (CBC режим), а затем требует выкуп в $/€ 299. На уплату выкупа даётся неделя, а потом цена увеличится в 3 раза. 

К зашифрованным файлам добавляется расширение .wflx

© Генеалогия:  GNL Locker > Zyklon Locker > WildFire Locker

Записки о выкупе называются: 
HOW_TO_UNLOCK_FILES_README_(<ID>).html (перевод "Как разблокировать файлы. Прочтите")
HOW_TO_UNLOCK_FILES_README_(<ID>).txt
HOW_TO_UNLOCK_FILES_README_(<ID>).bmp



Содержание записки о выкупе:
All your files have been encrypted by WildFire Locker
All your files have been encrypted with an unique 32 characters long password using AES-256 CBC encryption.

The only way to get your files back is by purchasing the decryption password!
The decryption password will cost $/€299.
You have untill woensdag 6 juli 2016 UTC before the price increases to $/€999!

Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
Personal ID: [redacted]

Visit one of the websites below to purchase your decryption password!
http://exithub1.su/[***]
http://exithub2.su/[***]

If these websites don't work follow the steps below
1. Download the TOR Browser Bundle https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Install and then open the Tor Browser Bundle.
3. Inside the Tor Browser Bundle navigate to gsxrmcgsygcxfkbb.onion/[***]

Перевод на русский язык: 
Все ваши файлы зашифрованы WildFire Locker
Все ваши файлы зашифрованы с уникальными 32 символьным паролем с помощью AES-256 CBC шифрование.

Единственный способ получить файлы обратно — это купить пароль дешифровки!
Пароль дешифровки стоит $/€ 299.
У вас есть время до 6 июля 2016 по ВКВ, когда цена возрастет до $/€ 999!

Антивирусное ПО не восстановит ваши файлы! Можно восстановить файлы, только купив пароль дешифровки.
Ваш ID: [***]

Посети один из сайтов, чтобы купить ваш пароль дешифровки!
http://exithub1.su/[***]
http://exithub2.su/[***]

Если эти сайты не работают, следуй пунктам ниже
1. Загрузи браузер Tor https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Установи, а затем открой браузер Tor.
3. Из браузера Tor открой gsxrmcgsygcxfkbb.onion / [***]


Сайт уплаты выкупа с платежной информацией

Форма отправки запроса на помощь

На странице уплаты выкупа имеется ссылка на форму обратной связи с вымогателями. 

Текст на экране:
On this page you can ask questions if you want to know something or need help.
We will get back to you within 24 hours (our answers will be shown on this page)

Перевод текста:
Здесь можете задать вопросы, если хотите что-то узнать или нужна помощь.
Мы ответим вам за 24 часа (ваши ответы будут отображены на этой странице)


По данным специалистов у WildFire Locker тот же код, те же слои запутывания, те же C&C-серверы, только другие расширения и записка о выкупе. 

От атаки WildFire освобождены только ряд стран Восточной Европы: Россия, Беларусь, Украина, Латвия, Эстония и Молдова. См. отчет в блоге McAffee

Распространяется с помощью ботнета Kelihos и email-спама с вредоносным вложением. Письма оформлены на голландском языке и имитируют уведомление о недоставке груза. Получателю советуют оформить новую заявку в транспортный отдел, форму которой якобы можно скачать по указанной ссылке вместе с базовой информацией о порядке доставки.

По ссылке находится doc-файл с вредоносный макросом, для активации которого пользователю предлагается (на английском и голландском языках) включить режим редактирования, а затем активировать макросы в документе. Как показал анализ VBA-зловреда, в его исходный код включен ряд произвольных имен (TonyMontanaZRanaJakmietana, KerryMcNot, LouiseBackdone), в том числе несколько знакомых для поклонников творчества Толкина: Nazgul, MinasTirit, Gondor.

Этот загрузчик и доставляет жертве WildFire Locker. Сайт, созданный злоумышленниками для приема платежей, размещен в анонимной сети Tor. Для определения местоположения жертвы он использует специальный плагин.

Степень распространенности: низкая.
Подробные сведения собираются. 



Внимание! 
Для зашифрованных файлов есть 2 дешифровщика:
Скачать WildFire Decryptor от Kaspersky >>
Скачать McAfee Ransomware Recover (Decryption Tool) >>

© Amigo-A (Andrew Ivanov): All blog articles. 


Remove WildFire Locker Decrypt Decode Restore files Recovery data Удалить WildFire Дешифровать Расшифровать Восстановить файлы

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *