Проект No More Ransom, объединивший McAfee и «Лабораторию Касперского», а также представителей Европола и полиции Нидерландов, приносит первые плоды. Исследователи опубликовали сразу два инструмента для расшифровки данных, которые помогут жертвам вымогателя WildFire восстановить свою информацию.
Шифровальщик WildFire был впервые обнаружен в середине апреля 2016 года и также известен под названиями GNL и Zyklon. Имя WildFire вымогатель использует начиная с мая 2016 года. В июне и июле текущего года малварь «отличилась» массовыми спам-кампаниями, направленными на пользователей из Голландии и Бельгии, и в августе эти атаки по-прежнему продолжались.
Ранее детальный анализ малвари проводили исследователи Cisco OpenDNS и MalwareHunterTeam. Обе команды пришли к выводу, что вымогатель был создан русскоговорящими хакерами, так как в коде вредоноса и в старых версиях инструмента для дешифровки данных были замечены комментарии на русском языке.
Если раньше экспертам не удавалось взломать алгоритмы малвари, то теперь сотрудничество с правоохранительными органами принесло свои плоды. Судя по тому, что эксперты «Лаборатории Касперского» пишут, что им удалось получить и проанализировать коды контрольной панели ботнета, полиция арестовала серверы операторов WildFire. В результате McAfee и «Лаборатория Касперского» представили сразу два инструмента для дешифровки данных, пострадавших в результате деятельности вредоноса.
Помимо бесплатных инструментов для расшифровки файлов, были опубликованы и два (1 и 2) детальных отчета, так как специалисты получили возможность изучить не только саму малварь, но и методы работы ее операторов. Теперь исследователь подозревают, что WildFire распространяется по модели ransomware-as-a-service (RaaS), и еще раз убедились, что за вымогателем стоит группа из Восточной Европы, — были обнаружены новые комментарии на русском языке.
Также специалисты сообщают, что за последний месяц было зафиксировано более 5700 заражений WildFire, и 231 пострадавший предпочел заплатить хакерам выкуп. Хотя вымогатель требует от своих жертв выкуп в размере 1,5 биткоинов, в действительности большинству пострадавших удавалось договориться со злоумышленниками и заплатить 0,5-0,6 биткоина. В результате злоумышленники заработали 136 биткоинов (порядка €70 332) только за последние тридцать дней.