פרויקט No More Ransom משבית את WildFire

הפשע משתלם, וכך גם שיתוף הפעולה. מעבדת קספרסקי, במסגרת פרויקט No More Ransom שהושק לפני כחודש, סייעה למשטרה ולמשרד התובע הלאומי לאתר את שרת הפיקוד והשליטה של Wildfire, אשר הושבת בעקבות כך על ידי המשטרה ומשרד התובע. בפעולה זו הוחרמו כמעט 1,600 מפתחות הצפנה של הדבקות שהתבצעו בעיקר בהולנד. כלי פתיחת ההצפנה שפותחו במיוחד לשם כך על ידי מעבדת קספרסקי ואינטל סקיוריטי מסייעים לקורבנות לשחרר את הקבצים המוצפנים שלהם מבלי לשלם דמי כופר. צפוי כי יותר מפתחות יתווספו לכלי בקרוב.

לאור העובדה כי כ-90 אחוזים מההדבקות נרשמו בהולנד, נראה כי כלי הכופר WildFire מתמקד בעיקר בהולנד. אפיק ההתקפה של WildFire דומה ל- Zyklon ו- GNLocker: הודעת ספאם בדואר אלקטרוני המגיעה בשם חברת תובלה נשלחת משרתים שנפרצו. ההודעה מציינת כי נכשל משלוח, והנמען מתבקש, באמצעות קובץ וורד להורדה, לתאם זמן חדש למשלוח. ברגע שהנמען פותח את קובץ הוורד פונקציית מקרו מופעלת, הקוד הזדוני יורד למכשיר ומותקן, ולאחר מכן WildFire מצפין את הקבצים במחשב. דרישת הכופר מתחילה בסביבות 300 דולר לקורבן, אבל אם הוא לא משולם תוך 8 ימים הסכום מוכפל.

במקביל, משטרת הולנד ומשרד התובע הלאומי פעלו להפלת שרת WildFire, כדי שקורבנות חדשים לא יפלו בפח. משלב זה, מחשבים שהודבקו ב- WildFire כבר אינם מסוגלים להתחבר לשרתי העבריינים, ובמקום זאת הם יקבלו הודעה כי הדומיין הזדוני נתפס על ידי משטרת הולנד וכי ניתן לבקר ב- NoMoreRansom.org כדי להוריד את הכלי לפתיחת ההצפנה ולשחרר את הנתונים ללא תשלום דמי כופר. פורטל No More Ransom כבר מכיל כמעט 1,600 מפתחות זמינים עבור קורבנות WildFire, ומפתחות נוספים צפויים להתווסף לכלי בקרוב. הפורטל גם מכיל חמישה כלים נוספים לפתיחת הצפנה של תוכנות כופר מסוגים אחרים, כשהאחרון שבהם פותח ביולי 2016 כנגד Shade ו- Chimera.