XData Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: XData.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: AES-NI (stolen code) > ☠ XData
К зашифрованным файлам добавляется расширение .~xdata~
Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи уже было известно о пострадавших из Украины и в меньшей степени из России.
Ниже в комментариях можно прочитать, как проходила атака. Для наглядности график от компании Eset.
Записка с требованием выкупа называется: HOW_CAN_I_DECRYPT_MY_FILES.txt
Содержание записки о выкупе:
Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.
Перевод записки на русский язык:
Ваши важные файлы зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.
👉 Записка о выкупе, email и ключи очень похожи на используемые ранее AES-NI, но известно, что его разработчик не использовал XData для атаки, значит исходники были у него украдены в период с февраля по март, т.е до апрельской версии. Это подтвердилось 24-25 мая, см. статью на BC.
Особенности и отличия от AES-NI:
- отсутствие региональных ограничений, имеющихся в AES-NI;
- отсутствие C&C-сервера в Tor-сети;
- отсутствие инжекта (возможности внедряться) в выполняющийся процесс;
- не пишет ИД ключа и оригинальное имя файла в зашифрованный файл.
По сути это урезанная оффлайн-версия AES-NI, но со всем рабочим функционалом.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~
Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Внимание! Для зашифрованных файлов есть декриптер Скачать XDataDecrypter для дешифровки >> Инструкция по дешифровке прилагается.
Read to links: Tweet on Twitter ID Ransomware (ID as XData) Write-up (add. May 25, 2017) Video review
Thanks: S! Ri Michael Gillespie MalwareHunterTeam GrujaRS ESET
© Amigo-A (Andrew Ivanov): All blog articles.
ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.
Редкостная пакость... Сегодня подхватили всей офисной сетью... Кто сталкивался и получилось ли у кого декриптить?
ОтветитьУдалитьНаша сеть фиры вчера тоже так зашифровали. Личение пока нет.
УдалитьЗаразился сервер на базе Windows 2008 через пользовательскую ограниченную учётную запись. Бухгалтер почту и соц. сети просматривала. Прав на установку не имела. Кто-нибудь дешифровал?
ОтветитьУдалитьЭтот комментарий был удален автором.
Удалитьбъемся уже сутки. 2 волны. вторая убила все. скорость шифрования меня убила. пока результаты нулевые. слежу за вирусинфо и сам туда же выкладываю свою ветку
ОтветитьУдалитьВчера зашифровались данные почти у всего офиса, на компьютерах под управлением Windows 7, Windows 10, Windows Server 2008 R2. Что делать и как от него защититься пока не знаем. Wana Decryptor цветочки по сравнению с ним.
ОтветитьУдалитьЭтот комментарий был удален автором.
УдалитьТоже вчера поймали. Как ни странно, базы 1С не пострадали, и бекапы баз тоже.
ОтветитьУдалитьБазы 1C v7 пострадали
УдалитьSpyHunter4 поймал как зараженый Explorer(файловый менеджер). Где тем експлорером ходили -те папки и пошифровал. Спасло, что аккаунт был не админ. Остались апрельские бекапы...
ОтветитьУдалитьтакже запустил по комменту Николая. насыпалось много модификаторов. еще сканит.
ОтветитьУдалитьА как быть если и база 1с и бекапы зашифрованы?
ОтветитьУдалитьСегодня словили такого же зверя. Повалил все и вся.
ОтветитьУдалитьМне так не подойдет у меня завод(( может кто знает как расшифровать?
ОтветитьУдалитьЭтот комментарий был удален автором.
УдалитьВНИМАНИЕ! Сайт tipsforfixpc.com ворует информацию, не предоставляя ссылку на источник, вот даже картинку из этой статьи украл. Сайт uninstallmalwaretips.com - полная чушь по удалению. Эти два сайта рекламируют услуги Enigma и SpyHunter. Там вы никогда не найдет дешифраторов.
ОтветитьУдалитьНет возможности отредактировать посты, потому ссылки и посты будут удалены.
За помощью обращайтесь на форум
https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/
Кто может подсказать чем насканить его можно, или только вручную? Десяток машин под подозрением.
ОтветитьУдалитьВыше есть ссылка на анализ VirusTotal. Открываете, смотрите детекты антивирусных движков. Выбирает наиболее вам подходящий или где название более понятно, например, Kaspersky, DrWeb или TrendMicro. Этим и проверяете, тем более у DrWeb и Kaspersky есть бесплатный сканер.
УдалитьИ вся эта гадость полезла из обновлений МЕДок! Сволочи эти ещё и цену собираются с 900 грн. поднять с 1 июня до 2500 в год! Они не только себя защитить не могут, но и всех своих клиентов наказали, уроды! Как можно им доверять? А если у кого-то полная версия, с возможностью оплаты счетов через МЕДок? Это ещё цветочки, что этот гадский вирус наделал, а если бы он пароли стырил и деньги со счетов предпринимателей слизал, что бы тогда все запели?
ОтветитьУдалитьНужно звонить в МЕДок и жаловаться, пусть возмещают!
Для читателей: M.E.Doc - это программа с сайта me-doc.com.ua
УдалитьИнформация об атаке:
me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor
Юлия, а откуда у вас такая уверенность что пришло из МЕДок?
УдалитьПотому как сама запустила обновление МЕДок на автомате, даже не был открыт ни один браузер. Ничего другого в этот день не то что ни скачивала, даже в инет не выходила. Скачала обновление, всё ещё казалось нормально, а как запустила обновлённый ezvit.exe - всё слетело. Сначала повис сам МЕДок, затем первыми (за секунды прямо на глазах) слетел БУЗок, который там же лежал и в считанные секунды накрылось всё!
УдалитьУ троих знакомых бухгалтеров та же фигня после запуска обновлений МЕДок! Одни даже сетевую версию обновили и вся сеть из 5 компов на работе накрылась.
Ведем переписку с вымогателями, вот их биткойн счет, на который они требуют отправить деньги
ОтветитьУдалитьhttps://blockchain.info/address/1JPEhf1buksBRyEsUESEfF5QCXNXLAqzh3
Число транзакций: 4
УдалитьВсего получено: 0.7 BTC
Итоговый баланс: 0.7 BTC
Этот комментарий был удален автором.
УдалитьНаписал
УдалитьПострадавшие от XData в основном из Украины: Киев, Харьков, Одесса.
ОтветитьУдалитьВ других городах есть пострадавшие серверы и компьютерные сети?
Тоде попался с xdata. Не все было в бекапах. Надеюсь будет дешифратор. 2008е и 2003е серваки покосило. 12й и 16й не тронуло.
ОтветитьУдалитьЭтот комментарий был удален автором.
УдалитьПринесли ноут с XDATA.
ОтветитьУдалитьРасширения файлов изменены на ~xdata~, в корне диска С лежит ключ, вобщем все как положено.
Однако вcе файлы "HOW_TO_..." пустые, без текста.
Прогнал антивирусом, потом восстанавливал файлы, извлекал из теневой копии...
Восстановление не помогло, восстановило все, кроме того, что нужно.
Затем открыл переименованный xls файл блокнотом, и увидел нечто похожее на нормальный
файл. Убрал ~xdata~ - файл совершенно нормально открылся. Переименовал все остальные файлы.
Фото, видео открываются вообще без проблем. Документы MS офиса некоторые открываются с ошибками, но после предложения восстановить выглядят совершенно нормально.
База 1C 8.2 после переименования при запуске выдала "Ошибку потока...", которая пропала после
восстановлеия стандартной утилитой. Насколько с ней можно работать узнаю только завтра.
Спасибо, будем рекомендовать пробовать этот способ. Да, так бывает, иногда файлы могут быть не зашифрованы, хотя внешне выглядят как зашифрованные.
УдалитьUpd: C базой 1C работать можно.
ОтветитьУдалитьскорее всего уже делали дешифровку на ноуте.
ОтветитьУдалитьЕсли на том, что был у меня, то дешифровку точно не делали.
УдалитьПросто повезло.
Доброго времени суток, столкнулся с этой гадкой проблемой. На предприятии заразился одни комп, Word и Excel файлы улетели, т.е, открыть и сделать с ними ничего не возможно. Пришлось удалять. Лекарства и средства его восстановления нет, по крайне мере сейчас. Пришлось формат всего переустановка. На других компьютерах полегче, заразились только лишь папка, которая была в общем доступе в сети. Посмотри в папках пользователь Public удалите там все. Сделайте бекапы, или скиньте фалйлы в облако, По крайней мере это хоть как то спасет Вас. Всем добра
ОтветитьУдалитьАлександр, выше Сергей (28 мая) сообщил, что иногда по какой-то причине файлы могут быть не зашифрованы. Попробуйте его способ с удалением добавленного расширения.
Удалитьбыло уже это испробовано, но результатов не дало
Удалитьмогу одно сказать , те кто еще не заразился, храни вас облако и бэкап. Вирусняк шагает по всей Украине.
ОтветитьУдалитьА в Россию вернулся шифровальщик Ishtar, да и WanaCrypt0r и Spora еще не уходили, каждую неделю с новой силой начинают.
УдалитьЕсли файлы или базы больше (точно минимума обема шифрования пока не знаю) то Хдата не шифрует весь файл а только часть(и). В моем случае если файл больше 10 мб, то зашифрована только треть и пару десятков байт в конце. Соответственно нужное (>95 актуальной информации в 1с7 за последние дни восстановил )
ОтветитьУдалитьДанные из городов: Киев, Чернигов, Харьков, Полтава, Черкассы, Днепропетровск, Донецк, Кировоград, Одесса, Николаев, Херсон, Каховка, Ровно, Тернополь, Ивано-Франковск и другие.
ОтветитьУдалитьУже в открытом доступе есть мастер ключ, и расшифровщик от касперского RakhniDecryptor,
ОтветитьУдалитьверсия >= 1.20.1.0 (http://www.nomoreransom.org/uploads/RakhniDecryptor.zip). Щас колбасит и расшифровывает мне данные на сервере))) подробней в статье https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/
уже есть расшифровшик от касперского - RakhniDecryptor 1.20.1.0 (http://www.nomoreransom.org/uploads/RakhniDecryptor.zip)
ОтветитьУдалитьПодробности и инструкция в статье: https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/
У меня уже на сервере в поте лица все расшифровывает))
вышла обновлённая утилита RakhniDecryptor Версия 1.20.0.0 Updated 26.05.2017
ОтветитьУдалитьтам вроде как поддерживается расшифровка Xdata. надо бы проверить, у меня такой возможности нет.
операторы ХДаты слили мастер ключ, ждите декрипт.
ОтветитьУдалитьлибо юзайте их декрипт он тоже построены на старых исходниках АЕСНИ
или вот инструкция
https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/
у меня утилита от касперского не работает - "cannot recover password "
ОтветитьУдалить15:21:28.0265 0x0984 AesNi: cannot restore session RSA keys
ОтветитьУдалить15:21:28.0266 0x0984 Decryptor #0: cannot recover password
пока декриптор не работает
Из трех декрипторов avast_decryptor__xdata.exe, RakhniDecryptor, esetaesnidecryptor.exe у меня сработал только последний esetaesnidecryptor.exe от Eseta, ссылка http://support.eset.com/kb6467/ условие чтобы сработал нужно положить рядом ключ который оставляет вирус вида имя_компа#ххх.key.~xdata~
ОтветитьУдалитьСпасибо. Добавил информацию и ссылку на статью от ESET.
Удалитьhttp://decryptors.blogspot.ru/2017/05/aes-ni-xdata-decrypter.html
RakhniDecryptor работает
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьОчень похоже что утилите не хватает прав, Вы cmd запускали от имени администратора ?
ОтветитьУдалитьКлюч лучше положить отдельно от зашифрованных файлов, его дешифровать не нужно.
привет, да именно от Администратора (!
Удалитьпо поводу ключа ! спасибо, в другое место его скину )
спасибо !)
не получается (
УдалитьЗдесь мой ответ прочитали? http://decryptors.blogspot.ru/2017/05/aes-ni-xdata-decrypter.html
Удалитьспасибо !
Удалитьрасшифровал фото с помощью декрипта от ЕСЕТ, базы 1с он почему-то не осилил - тут справился аваст
ОтветитьУдалитьспасибо всем причастным к созданию этих утилит
Удалось расшифровать все что было пошифровано этой гадостью. Наиболее адекватно отработала утилита от есет. Частично инфа таки потеряна. Но тому другие причины.
ОтветитьУдалить