两款针对WildFire勒索软件的免费解密工具已上线（

两款针对WildFire勒索软件的免费解密工具已上线（

第一，前面写的字

据国外媒体最新消息，McAfee和NortonAntivirusLab公布了两款完全免费的解密工具。如果用户感染了WildFire勒索软件，用户可以免费试用这两款解密工具，修复数据加密的文档。

目前用户可以浏览NoMoreRansom的网站下载这两款解密工具。

-英特尔安全McAfee:[单击此处下载]

-诺顿防病毒实验室:[单击此处下载]

注:NoMoreRansom网站由诺顿杀毒软件实验室、英特尔安全迈克菲、西班牙警方及其欧洲特别警察署欧洲网络欺诈管理中心联合创建。

第二，关于野火勒索软件的那些事

科研权威专家在2016年4月中下旬来到野火勒索软件。当时这个勒索软件的名字是“GNL”，后来改名为更好的“Zyklon”。直到5月底，这个勒索软件改名为“野火”，一直沿用至今。

2020年6月至7月底期间，WildFire的开发者刚刚开始按照大规模推送垃圾短信的方式传播这种勒索病毒，敏感用户大多位于西班牙。

MalwareHunterTeam安全科学研究权威专家在接受Softpedia采访时表示，野火勒索病毒的故意攻击主题已经到了8月。根据Softpedia从MalwareHunterTeam获得的数据，推断出这种新型恶意程序变异背后的开发者应该是一名乌克兰网络黑客。

在其最初的版本号中，这个勒索软件当时的名字还是“Zyklon”。攻击者应用了“nlmail22”的主题活动ID，即“Netherlandsmail[number]”，这很可能是攻击者常用来跟踪不同垃圾短信的。在WildFire勒索软件中，攻击者还应用了不同的主题活动ID来标记受感染的用户。在最新版本的WildFire勒索软件样本版本中，这个主题活动ID变成了“email_spread_w27”，其中“w27”很可能表示一个自增标识符，即“WildFire27th日”。

3.Kelihos拒绝服务攻击帮助WildFire勒索软件传播。

分析显示，Kelihos拒绝服务攻击可能帮助攻击者传播了这一勒索软件。数据显示，当受害者的服务器感染WildFire后，会继续尝试与四个网站域名进行通信:exithub1.su、exithub2.su、exithub-pql.su和exithub-xuq.su下图显示了该网站域名收到的请求总数:

大多数报告来自西班牙用户。如果我们向这个网站查询域名推送请求的来源，你会发现95%的请求来自西班牙。

别担心，野火会告诉你如何支付保释金。

当用户的电脑感染WildFire时，它会对系统中的所有文档进行加密。然后，这个勒索病毒会使用典型的“勒索病毒通知网页”来通知用户。这里有一个有趣的区域，勒索病毒的支付页面是由互联网技术和TorInternet管理的。一般情况下，故意攻击者总是利用Tor来维持自己的群体极化，但现在这种情况居然出现了。所以感觉如果这个攻击者对托管这个网页的系统软件不是太有信心，或者不方便的话，“TA”根本不在乎匿名的问题。

5.西班牙警方已经交出野火勒索软件的C&c网络服务器

据科研权威专家介绍，当时发现这个恶意程序的时候，大家普遍认为这个勒索软件是无法破译的，因为它选择了非常强大的数据加密系统。现在人们能经常得到这两个解密工具是因为当时WildFire的开发者决定申请注册西班牙网站的域名，并申请西班牙的网络服务器托管这个勒索软件。他们的决定显然是一个不正确的决定，这给了安全科学的权威专家调查分析这个勒索软件的机会。

诺顿反病毒实验室(NortonAntivirusLab)的乔恩特·范德维尔(JorntvanderWiel)表示:“在这件事上，我们与警方进行了密切合作，现阶段我们已经收集了大量有价值的数据。”有了这种数据信息，安全科学权威专家成功开发设计了两个完全免费的WildFire解密程序流程。另外，因为警方已经交出了野火勒索软件的C&c网络服务器，安全科学研究人员可以从中获取网络服务器的数据统计。安全研究人员分析了这类数据后发现，在过去的31天里，WildFire勒索软件感染了5309台电子计算机，其中236名用户支付了数据保释金。《野火》的创作者共获利136BTC，使用价值约7.9万美元。

下图是诺顿防病毒实验室公布的解密工具，而迈克菲公布的解密程序流是命令行工具。对于非电脑用户来说，可能有些太高档了。

六、解密工具的使用

(关键！常见问题解答:请确保您已经彻底清除了系统软件中的WildFire勒索病毒，否则它仍然会在您解密文件后锁定您的系统软件并再次加密您的文件。现阶段大部分知名杀毒软件都可以帮你消除这个勒索病毒，这里就不做过多解释了。

(1)如何使用诺顿杀毒软件的WildFire解密工具——【专用工具下载】

1.使用类似于7zip的解压工具打开泄压，下载获得的WildfireDecryptor.zip文档。

2.双击鼠标左键并单击WildfireDecryptor.exe。

3.在卡巴斯基野火解密器解密工具的对话框中，选择必须在其中开发扫描仪的文件夹名称:单击“更改参数”按钮。

4.在“设置”对话框中，可以看到“要扫描的对象”标志，在正下方选择必须扫描的磁盘驱动器。如果您必须在成功解密后删除数据加密文档，您可以在“附加选项”中启用它。

5.设置完成后，不要忘记点击“确定”按钮。

6.在卡巴斯基野火解密器解密工具的主对话框中，单击“开始扫描”按钮。

7.在“指定一个加密文件的路径”对话框中选择一个必须解密的文档，然后单击“打开”按钮。

8.扫描仪运行后，您可以单击“详细信息”选项来查询扫描仪日常任务的详细信息。

9.如果需要查询任务执行的历史数据，可以点击程序流程主对话框右上方的“报告”按钮进行查询。

(II)英特尔安全McAfeeWildFire解密工具的使用-[特殊工具下载]

这个由McAfee开发设计的WildFire解密程序进程是一个命令行工具，每个人都可以应用这个特殊的工具来修复这些被WildFire勒索软件家族的数据加密的文档。

应用以下说明:

-

-e:-提取ID[文件路径](获取用户ID)

-f:-file[文件路径](设置必须解密的文件路径)

-h:-help(在控制面板中输出特殊工具的帮助信息)

-p:-password[密码文件路径](设置要解密的密码文件)

-u:-userID[userID](设置用户ID，根据用户ID准确定位解密密钥)

特定应用指南:

-

在应用这个特殊工具之前，你必须获得勒索软件样本版本形成的用户ID。用户ID是由英文字母和数据组成的字符串数组(长度为10个标识符)。你可以在勒索软件向用户显示的警告信息内容中找到这些信息内容。大多数情况下，这些数据存储在一个文本文档中，这个文件的默认设置会存储在被感染服务器的桌面上(比如“how_to_unlock_files_readme_(2a321BD202))。txt”)。当然，你也可以根据专用工具呈现的“获取指令”自动获取用户ID。将显示以下说明:

>wildfiredecrypt.exe –e HOW_TO_UNLOCK_FILES_README_(2a321bd202).txt

1.使用用户ID作为输入数据信息，并 *** 作以下指令:

>wildfiredecrypt.exe -u 2a321bd202

*** 作后，您会在控制面板中看到一个输出数据信息的URL。复制这个网址，复制到你的电脑浏览器里，然后下载相关的文本文档。如果计算机浏览器显示类似“404文件未找到”或“[[错误]找不到文件”的错误信息，则意味着专用工具没有在寻找解密文档的公钥。

在您的示例中，您已经下载了公钥文档(2a321bd202.txt)。现在，您还可以运行另一条指令来解密文档。让我们假设您需要解密的文档是:

“2016 Taxes #WildFire_Locker#3615a1##.pdf.wflx"

2. *** 作以下指令，将您的公钥文件和必须解密的文件作为指令的主要参数:

>wildfiredecrypt.exe -p 2a321bd202.txt -f “2016 Taxes #WildFire_Locker#3615a1##.pdf.wflx”

解密工具可能会尝试修复文档内容和原始文件夹名称。如果文件解密成功，解密工具可以将修复的文件存储在相同的文件夹名称中。

欢迎分享，转载请注明来源：内存溢出

原文地址:https://54852.com/zz/771710.html