Как расшифровать файлы зашифрованные вирусом




Статья будет полезна пользователям подхватившим вирус-шифровальщик WildFire.
Если Вы подхватили данный вирус, то Ваши данные (видео и фото, аудиофайлы, документы и т.д.) будут зашифрованы в файлы с расширением .wflx .
Зашифрованы они при помощи алгоритма шифрования AES-256, который является асимметричным.
После шифрования WildFire Locker создает 3 файла с именем HOW_TO_UNLOCK_FILES_README_ [ID] . которые имеют расширения txt, html и bmp (текстовый документ, веб страница и изображение). В этих файлах содержится информация о выкупе и, как правило, цена выкупа составляет 299 долларов США или евро.


Перед дешифровкой файлов убедитесь что Вы полностью удалили шифровальщик со своего компьютера.

Дешифровка файлов .wflx
Для расшифровки файлов, шифрованных вирусом-вымогателем Wildfire Locker нужно скачать утилиту WildFire Decryptor от Лаборатории Касперского.


  • Скачиваем архив по ссылке ( http://media.kaspersky.com/utilities/VirusUtilities/RU/WildfireDecryptor.zip);
  • Распаковываем архив WildfireDecryptor.zip при помощи программы-архиватора (WinRAR или 7Zip. );
  • Запускаем программу WildfireDecryptor.exe;
  • В программе-дешифровщике кликаем Изменить параметры проверки


  • Отмечаем галочками носители, на которых хотим произвести проверку и жмем ОК;

  • Запускаем утилиту;
  • Во всплывшем окне указываем путь к одному из зашифрованных вирусом WildFire Locker файлов.


Расшифровка файлов .wflx при помощи утилиты от Intel Security.
Данный метод только для опытных пользователей!

Скачиваем утилиту Wildfire decrypt здесь (http://downloadcenter.mcafee.com/products/mcafee-avert/wildfiredecrypt/wildfiredecrypt.exe).
По сути это инструмент для командной строки.

Команды:
-e: -- extractid [путь к файлу] извлекает идентификатор пользователя с неизменным требованием выкупа.
-f. -- файл [путь к файлу] это файл для расшифровки.
-h. -- помощь, показывает инструкции к консоли.
-p. -- пароль [путь к файлу паролей] указывает на файл пароль для расшифровки.
-u. -- имя пользователя [ID пользователя] указывает идентификатор пользователя, чтобы найти потенциальный ключ дешифрования.

Чтобы использовать этот инструмент, необходимо иметь доступ к ID пользователя, который находится в имени файлов о требовании выкупа. Это десятизначный буквенно-цифровой код:
HOW_TO_UNLOCK_FILES_README_ [ XXXXXXXXXX ]
Выполните команду с идентификатором пользователя:
wildfiredecrypt.exe -u XXXXXXXXXX
  • Вы получите URL-адрес выхода на консоли. Скопируйте этот URL в браузере и скачайте
  • текстовый файл. Если вы получите такое сообщение: 404 файл не найден или [ошибка] не удается найти файл , это значит что
  • не удалось найти закрытый ключ, который зашифровал файлы.


    Допустим мы скачали текстовый файл с ключом XXXXXXXXXX.txt, теперь можно выполнить другую команду для расшифровки файлов.

    Для примера расшифруем файл #8220;123 DeadHand #WildFire_Locker#3615a1##.pdf.wflx
    Для выполнения задачи необходимо выполнить команду файла ключа и зашифрованного файла:
    wildfiredecrypt.exe -p XXXXXXXXXX .txt -f #8220;123 DeadHand #WildFire_Locker#3615a1##.pdf.wflx Программа попытается расшифровать файл.
    Удачи!


    Автор: BOMBERuss Егор Юрьевич Андреев

    Полезная статья? Поделись ей с друзьями. Им будет интересно)))


    Дата последнего изменения:

    Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder?

    ***
    И сказал вирусописатель вирусам: Плодитесь и размножайтесь. .
    (Компьютерные байки)

    Что за зверь Trojan. Encoder?
    13 августа 2008 г. компания Доктор Веб сообщила о появлении троянской программы-вымогателя, которая шифрует пользовательские файлы, после чего вирус самоликвидируется, оставляя в корне диска c:\ текстовый файл crypted.txt с требованием заплатить 10 $ (варианты: 30 , 89 $) за программу-расшифровщик.

    Какие файлы зашифровывает вирус
    Троян шифрует файлы с расширениями. jpg. jpeg. psd. cdr. dwg. max. mov. m2v. 3gp. asf. doc. docx. xls. xlsx. ppt. pptx. rar. zip. db. mdb. dbf. dbx. h. c. pas. php. mp3. cer. p12. pfx. kwm. pwm. sol. jbc. txt. p.

    Зашифрованные файлы можно различить по расширению .crypt.

    Пути распространения вируса
    Вирус распространяется через зараженные сайты, пользуясь уязвимостями интернет-браузеров.

    Классификация вируса
    В классификации компании Доктор Веб троянская программа получила название Trojan.Encoder.19 .
    В начале сентября 2008 г. появилась новая версия трояна Trojan.Encoder.20. в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.

    Примерное содержимое файла crypted.txt.

    Your files have been encrypted!
    The decryption utility costs 10 $!
    More:
    decryptor.******
    E-mail: decryptor2008@******
    ICQ: *******
    S/N BF3 -pUChT$+bm5
    Do not delete or modify the file.

    Как расшифровать файлы, зашифрованные вирусом Trojan. Encoder?
    По ссылке ftp://ftp.drweb.com/pub/drweb/windows/te19decrypt.exe скачайте бесплатную утилиту для расшифровки файлов (233КБ );
    — запустите файл te19decrypt.exe ;
    — в окне утилиты нажмите Продолжить ;
    — если появится окно Error с сообщением Не могу получить ключевой файл c:\crypted.txt. Вы хотите указать его расположение вручную? . нажмите OK ;
    — в окне Открыть укажите расположение файла crypted.txt ;
    — утилита расшифрует зашифрованные файлы.

    Примечания
    1. Не удаляйте файл crypted.txt (на инфицированном ПК расположен в корне диска c:\). Удаление crypted.txt может сделать невозможной расшифровку файлов.

    2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус? ) с регулярно (не менее одного раза в неделю!) обновляемыми базами.

    3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации? ).

    4. Есть мнение, что появление вируса и утилиты-расшифровщика — это маркетинговый ход компании Доктор Веб

    Статью прочитал с большим интересом и даже пользой для себя. Ставлю 5++.

    Почаще давайте такие статьи. Сам я, считаю, от таких подарков, хоть и не на 100%, защищён хорошо, стоит браузер Opera и тройная защита.

    Пока пользовался седьмым IE мой Ad-Aware периодически кроме кукисов выгребал и из реестра и из системных файлов всякие Win32 и прочую гадость, да и Nod32 иногда возмущался. После установки Opera всё прекратилось, и только Zone Alarm иногда скажет что что то там заблокировал.

    Оценка статьи: 5

    С овершенно верно,Опера класс, но учтите в 9.51 Cидит троян, я его вычисляю Spyware Doctor, удаляю и работаю спокойно, но совсем не нужно расслабляться, вир-писатели не дремлют, кстати, точно такой же троян я нашел на одном сайте. бесплатном,,-он свои программы предлагает бесплатно, но там сидит точно такой же троян, как и в Опера..Наверное он декомпилирует бесплатную Оперу и вставляет туда троянчика, а настоящие производители могут и не знать этого, получается. подстава,,
    Ie броузером не советую пользоваться, он задуман, как шпион-агент. (могу ошибаться)
    Александр Ягдаров,

    Популярные видео

    Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder?

    И сказал вирусописатель вирусам: «Плодитесь и размножайтесь. ».

    Что за зверь Trojan.Encoder ?

    13 августа 2008 г. компания «Доктор Веб» сообщила о появлении троянской программы-вымогателя, которая шифрует пользовательские файлы, после чего вирус самоликвидируется, оставляя в корне диска C:\ текстовый файл crypted.txt с требованием заплатить 10$ (варианты: 30€, 89$) за программу-расшифровщик.

    Какие файлы зашифровывает вирус

    Зашифрованные файлы можно различить по расширению .crypt.

    Пути распространения вируса

    Вирус распространяется через заражённые сайты, пользуясь уязвимостями интернет-браузеров.

    В классификации компании «Доктор Веб» троянская программа получила название Trojan.Encoder.19.

    В начале сентября 2008 г. появилась новая версия трояна Trojan.Encoder.20. в которой по сравнению с Trojan.Encoder.19 изменен механизм шифрования и генерации ключа.

    Примерное содержимое файла crypted.txt.

    Your files have been encrypted!

    The decryption utility costs 10$!

    Do not delete or modify the file.

    Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder ?

    – запустите файл te19decrypt.exe ;

    – в окне утилиты нажмите Продолжить ;

    – если появится окно Error с сообщением «Не могу получить ключевой файл c:\crypted.txt. Вы хотите указать его расположение вручную?». нажмите OK ;

    – в окне Открыть укажите расположение файла crypted.txt ;

    – утилита расшифрует зашифрованные файлы.

    В конце декабря 2009 г. началось распространение новой версии Trojan.Encoder. Вредоносная программа использует алгоритм шифрования AES-256. который очень устойчив к взлому. Оригинальный файл после создания его «запароленной » копии удаляется.

    Специалисты компании «Доктор Веб» расшифровали пароль, который использует Trojan.Encoder для архивации и шифрования файлов. Достаточно разархивировать архив, созданный Trojan.Encoder. любым архиватором и ввести следующий пароль:

    1. Не удаляйте файл crypted.txt (на инфицированном ПК расположен в корне диска c:\ ). Удаление crypted.txt может сделать невозможной расшифровку файлов.

    2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус? ) с регулярно (не менее одного раза в неделю!) обновляемыми базами.

    3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации? ).

    Источники: http://bomberuss.ru//08/wildfire-locker-decryptor.html, http://shkolazhizni.ru/computers/articles/20455/, http://netler.ru/pc/trojan-encoder.htm




    Комментариев пока нет!

    Поделитесь своим мнением

  •