Нетобзор - форум про интернет

Пожалуйста, войдите или зарегистрируйтесь.


Расширенный поиск  

Автор Тема: XData Ransomware (шифровальщик-вымогатель)  (Прочитано 1757 раз)

0 Пользователей и 1 Гость просматривают эту тему.

LutykАвтор темы

  • Жизнь нужно прожить так, чтоб голубь терпел, пролетая над твоей могилой:)
  • Модератор
  • *
  • Благодарность: +1567/-0
  • Оффлайн Оффлайн
  • Сообщений: 6556
  • Город: на берегах Згара
  • Модем: Gpon zte
  • Провайдер: Omega telecom
  • Тариф: 100 Mb Unlim 150грн Down-99Mbit/ Up-99Mbit
  • Антенна: Optical viber
  • 0983833266/e-mail lutyk1999@ukr.net

 XData Ransomware
(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: XData.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .~xdata~

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи уже было известно о пострадавших из Украины и в меньшей степени из России.
Ниже в комментариях можно прочитать, как проходила атака. Для наглядности график от компании Eset.



Записка с требованием выкупа называется: HOW_CAN_I_DECRYPT_MY_FILES.txt

Содержание записки о выкупе:
Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.

Перевод записки на русский язык:
Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~


Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop

LutykАвтор темы

  • Жизнь нужно прожить так, чтоб голубь терпел, пролетая над твоей могилой:)
  • Модератор
  • *
  • Благодарность: +1567/-0
  • Оффлайн Оффлайн
  • Сообщений: 6556
  • Город: на берегах Згара
  • Модем: Gpon zte
  • Провайдер: Omega telecom
  • Тариф: 100 Mb Unlim 150грн Down-99Mbit/ Up-99Mbit
  • Антенна: Optical viber
  • 0983833266/e-mail lutyk1999@ukr.net
Re: XData Ransomware (шифровальщик-вымогатель)
« Ответ #1 : 22 Мая 2017, 19:40:06 »

Удалить XData Ransomware Вирус

Шаг 1
Перезагрузите компьютер в безопасном режиме
Шаг2
Введите msconfig в поле для поиска и нажмите enter. Появится окошко:

Startup —> Снимите отметку с записей, у которых под Производителем стоит «Неизвестен».

    Имейте в виду, что ransomware может использовать фальшивое имя Производителя. Убедитесь в том, что каждый процесс здесь настоящий.

Шаг3
Нажмите одновременно CTRL + SHIFT + ESC. Перейдите на вкладку Процессы. Попытайтесь определить, которые из них опасны. Загуглите их или спросите нас в комментариях.
ОСТОРОЖНО! ПРОЧТИТЕ ВНИМАТЕЛЬНО ПЕРЕД ТЕМ, КАК ПРОДОЛЖИТЬ!

Нажмите правой кнопкой мыши на каждый из проблемных процессов по отдельности и выбреите Открыть место хранения файла. Завершите процесс после того, как откроете папку, затем удалите директории, к которым Вас направили.



Шаг 4
Введите Regedit в поле поиска windows и нажмите Enter. Внутри нажмите одновременно кнопкиCTRL и F и введите название вируса.

Ищите ransomware  в реестрах и удалите записи. Будьте очень осторожны, та как Вы можете повредить Вашу систему, если удалите записи, не связанные с ransomware.

Ввведите каждое и следующего в поисковике Windows:

    %AppData%
    %LocalAppData%
    %ProgramData%
    %WinDir%
    %Temp%


Удалите всё в Temp. В остальном просто проверьте на наличие чего-нибудь, что было добавлено недавно.

Как дешифровать файлы, заражённые XData Ransomware

Есть только один способ убрать кодировку вируса, которая МОЖЕТ сработать (нет гарантии): вернуть файлы в предыдущее состояние.

Пройдите на официальный сайт Recuva и скачайте бесплатную версию. Скорее всего Вам нужны будут все файлы. Далее выберите место сохранения. Наверняка Вы захотите, чтобы Recuva просканировал все места.

Нажмите на окошко, чтобы активировать Deep Scan (глубокое сканирование). Программа начнёт работать и, возможно, отнимет довольно долгое время до окончания работы, поэтому наберитесь терпения и сделайте перерыв, если необходимо.

Вы получите большой список с файлами. Выберите все уместные файлы, которые Вам нужны, и нажмите Recover (Восстановить).

Источник http://virus-search.ru