Расшифровка файлов .vindows после шифрования вирусом VindowsLocker

  Обнаруженный недавно вирус VindowsLocker использует шифрование AES-256 для кодирования файлов пользователя.
  При попадании и запуске на ПК жертвы VindowsLocker получает контроль над учетной записью пользователя. После шифрования файлов вирус не направит пострадавшего в теневой интернет и не попросить там оплату биткоинами, а предложит пользователю машины поболтать с технической поддержкой Microsoft, которая является фейком.
  Во время звонка фальшивый оператор подключается к компьютеру жертвы через удаленный доступ, открывает страницу службы поддержки MicroSoft, после чего быстро подменяет адрес в
браузере на на короткую ссылку, которая ведет на JotForm и как две капли воды похожа на майкрософтовскую. Это делается для того, чтобы похитить разного рода данные о жертве, в том числе и данные о его банковской карте (тип карты, номер карты, CVV код и срок действия...).

  Сам вирус VindowsLocker после шифрования файлов добавляет после расширения файла дополнительно расширение .vindows и данный файл уже невозможно открыть какими-либо программами.
 Так же шифровальщик оставляет послание с просьбой выкупа ключа для расшифровки за 349.99 американских долларов:

Специалисты говорят что что оплата данной суммы не приведет к желаемому результату и расшифровать файлы .vindows не удастся.

Сам троянец запакован в экзешник vindows.exe, а ниже скрин результата проверки данного файла по VirusTotal:

Ниже приведена статистика пострадавших операционных систем Windows от шифровальщика VindowsLocker:

Расшифровка файлов .vindows после шифрования VindowsLocker:

Для дешифровки файлов с расширением .vindows можно использовать утилиту от Malwarebytes.

• Скачиваем утилиты здесь;
• Используем VindowsKeygen.exe через командную строку (cmd);
• Вставляем через терминал в VindowsKeygen.exe зашифрованную версию файла и его не шифрованную копию.

Таким образом мы выявим ключ шифрования для данного компьютера.
Пример команды в терминал:

VindowsKeygen.exe photo.jpg.vindows photo.jpg

Ключ может генерироваться несколько минут, после чего будет записан в текстовый файл vinndows_key.txt.
После получения ключа скопируйте его и вставьте через командную строку в VindowsDecryptor.exe, например:

VindowsDecryptor.exe cs2VlRwL8pU6Q4gjvG&в!ХС=jIx59BT1a

Ждем пока файлы будут расшифрованы.

Дешифровка файлов с расширение .vindows при помощи утилиты от TheWack0lian:

1. Скачиваем утилиту тут;
2. Распаковываем архив в любое место архиватором;
3. Запускаем VindowsUnlocker.exe;
4. Нажимаем кнопку "Decrypt".

Ждем пока файлы расшифруются.

Утилита сама пытается расшифровать файлы, находящиеся в каталогах, которые указаны в исходном коде вируса по умолчанию и именно там шифруются.

Перед дешифровкой любой утилитой убедитесь что Вы избавили свой компьютер от данного вируса!

Автор: BOMBERuss

Егор Юрьевич Андреев

Полезная статья? Поделись ссылкой в соц.сети:

Дата апдейта текста: