Как расшифровать файлы, зашифрованные вирусом WildFire Locker

  Статья будет полезна пользователям подхватившим вирус-шифровальщик WildFire.
  Если Вы подхватили данный вирус, то Ваши данные (видео и фото, аудиофайлы, документы и т.д.) будут зашифрованы в файлы с расширением .wflx.
  Зашифрованы они при помощи алгоритма шифрования AES-256, который является асимметричным.
  После шифрования WildFire Locker создает 3 файла с именем "HOW_TO_UNLOCK_FILES_README_ [ID]", которые имеют расширения txt, html и bmp (текстовый документ, веб страница и изображение). В этих файлах содержится информация о выкупе и, как правило, цена выкупа составляет 299 долларов США или евро.

Перед дешифровкой файлов убедитесь что Вы полностью удалили шифровальщик со своего компьютера!!!

Дешифровка файлов .wflx
  Для расшифровки файлов, шифрованных вирусом-вымогателем Wildfire Locker нужно скачать утилиту WildFire Decryptor от Лаборатории Касперского.

• Скачиваем архив по ссылке ( http://media.kaspersky.com/utilities/VirusUtilities/RU/WildfireDecryptor.zip);
• Распаковываем архив WildfireDecryptor.zip при помощи программы-архиватора (WinRAR или 7Zip...);
• Запускаем программу WildfireDecryptor.exe;
• В программе-дешифровщике кликаем "Изменить параметры проверки" 

• Отмечаем галочками носители, на которых хотим произвести проверку и жмем ОК;

• Запускаем утилиту;
• Во всплывшем окне указываем путь к одному из зашифрованных вирусом WildFire Locker файлов.

Расшифровка файлов .wflx при помощи утилиты от Intel Security.
Данный метод только для опытных пользователей!

  Скачиваем утилиту Wildfire decrypt здесь (http://downloadcenter.mcafee.com/products/mcafee-avert/wildfiredecrypt/wildfiredecrypt.exe).
По сути это инструмент для командной строки.

Команды:
-e: -- extractid [путь к файлу] извлекает идентификатор пользователя с неизменным требованием выкупа.
-f : -- файл [путь к файлу] это файл для расшифровки.
-h : -- помощь, показывает инструкции к консоли.
-p : -- пароль [путь к файлу паролей] указывает на файл пароль для расшифровки.
-u : -- имя пользователя [ID пользователя] указывает идентификатор пользователя, чтобы найти потенциальный ключ дешифрования.

  Чтобы использовать этот инструмент, необходимо иметь доступ к ID пользователя, который находится в имени файлов о требовании выкупа. Это десятизначный буквенно-цифровой код:
"HOW_TO_UNLOCK_FILES_README_ [XXXXXXXXXX]"

Выполните команду с идентификатором пользователя:

>wildfiredecrypt.exe -u XXXXXXXXXX 

Вы получите URL-адрес выхода на консоли. Скопируйте этот URL в браузере и скачайте

текстовый файл. Если вы получите такое сообщение: "404 файл не найден" или "[ошибка] не удается найти файл", это значит что 

не удалось найти закрытый ключ, который зашифровал файлы.

  Допустим мы скачали текстовый файл с ключом XXXXXXXXXX.txt, теперь можно выполнить другую команду для расшифровки файлов.

Для примера расшифруем файл “123 DeadHand #WildFire_Locker#3615a1##.pdf.wflx"
Для выполнения задачи необходимо выполнить команду файла ключа и зашифрованного файла:

>wildfiredecrypt.exe -p XXXXXXXXXX.txt -f “123 DeadHand #WildFire_Locker#3615a1##.pdf.wflx"

Программа попытается расшифровать файл.
Удачи!

Автор: BOMBERuss

Егор Юрьевич Андреев

Полезная статья? Поделись ей с друзьями. Им будет интересно)))

Дата последнего изменения: