четверг, 18 мая 2017 г.

XData

XData Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: XData. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .~xdata~

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи уже было известно о пострадавших из Украины и в меньшей степени из России. 
Ниже в комментариях можно прочитать, как проходила атака. Для наглядности график от компании Eset. 



Записка с требованием выкупа называется: HOW_CAN_I_DECRYPT_MY_FILES.txt

Содержание записки о выкупе:
Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.

Перевод записки на русский язык:
Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~

Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XData)
 Write-up, Topic
 Video review 
 Thanks: 
 S! Ri
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

13 комментариев:

  1. Редкостная пакость... Сегодня подхватили всей офисной сетью... Кто сталкивался и получилось ли у кого декриптить?

    ОтветитьУдалить
  2. Заразился сервер на базе Windows 2008 через пользовательскую ограниченную учётную запись. Бухгалтер почту и соц. сети просматривала. Прав на установку не имела. Кто-нибудь дешифровал?

    ОтветитьУдалить
  3. бъемся уже сутки. 2 волны. вторая убила все. скорость шифрования меня убила. пока результаты нулевые. слежу за вирусинфо и сам туда же выкладываю свою ветку

    ОтветитьУдалить
  4. Вчера зашифровались данные почти у всего офиса, на компьютерах под управлением Windows 7, Windows 10, Windows Server 2008 R2. Что делать и как от него защититься пока не знаем. Wana Decryptor цветочки по сравнению с ним.

    ОтветитьУдалить
  5. Тоже вчера поймали. Как ни странно, базы 1С не пострадали, и бекапы баз тоже.

    ОтветитьУдалить
  6. SpyHunter4 поймал как зараженый Explorer(файловый менеджер). Где тем експлорером ходили -те папки и пошифровал. Спасло, что аккаунт был не админ. Остались апрельские бекапы...

    ОтветитьУдалить
  7. также запустил по комменту Николая. насыпалось много модификаторов. еще сканит.

    ОтветитьУдалить
  8. А как быть если и база 1с и бекапы зашифрованы?

    ОтветитьУдалить
  9. Сегодня словили такого же зверя. Повалил все и вся.

    ОтветитьУдалить
  10. Мне так не подойдет у меня завод(( может кто знает как расшифровать?

    ОтветитьУдалить
  11. ВНИМАНИЕ! Сайт tipsforfixpc.com ворует информацию, не предоставляя ссылку на источник, вот даже картинку из этой статьи украл. Сайт uninstallmalwaretips.com - полная чушь по удалению. Эти два сайта рекламируют услуги Enigma и SpyHunter. Там вы никогда не найдет дешифраторов.
    Нет возможности отредактировать посты, потому ссылки и посты будут удалены.
    За помощью обращайтесь на форум
    https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

    ОтветитьУдалить
  12. Кто может подсказать чем насканить его можно, или только вручную? Десяток машин под подозрением.

    ОтветитьУдалить

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *