Вірус Xdata атакує український корпоративний сектор за схемою WannaCry

 

Після масового зараження комп’ютерів по всьому світі вірусом WannaCry мережею почав поширюватись новий вірус – Xdata. Він діє за тією ж схемою – зашифровує всі файли на комп’ютері з вимогою заплатити за відновлення. Особливістю нового вірусу є те, що він наразі локалізований в Україні і вражає передусім корпоративний сектор, повідомляє «Новинарня» з посилання на експертів компанії MySpybot.

Вірус Xdata почав поширюватися 18 травня і за три дні вразив уже сотні комп’ютерів через вкладення в електронній пошті та програми-експлойти.

«Його поширення насамперед охоплює Україну, але це географічне обмеження цілком може бути пробним пуском, що передує глобальній кіберепідемії», – зазначають у MySpybot.

До 95% інфікованих вірусом Xdata комп’ютерів і серверів наразі знаходяться в Україні, що може також означати створення цієї шкідливої програми суто для нашої країни.

«Xdata атакує виключно корпоративний сектор, підприємства й бази «», і шифрує все за 15 хвилин. Розшифрувати без викупу неможливо. Вірус використовує вразливість ОС Windows через протокол SMB або, як кажуть деякі сисадміни, через “M.E.Doc”», – розповів «Новинарні» один з експертів MySpybot.

За його словами, якщо підтвердяться дані про участь у зараженні програми «M.E.Doc», це може спричинити величезні проблеми для всього українського корпоративного сектору. Адже «M.E.Doc» – популярна в Україні програма електронного документообігу, що забезпечує здачу звітів та обмін первинними документами в електронному вигляді.

Зазначається, що в результаті вірусної атаки у кожній папці із шифрованими файлами та на робочому столі з’являється файл HOW_CAN_I_DECRYPT_MY_FILES.txt, у якому зазначено: «Ваші важливі файли були зашифровані на цьому комп’ютері: документи, бази даних, фотографії, відео тощо. Шифрування було проведено з використанням унікального відкритого ключа для даного комп’ютера. Для розшифровки файлів вам необхідно отримати закритий ключ і спеціальний інструмент».

Процедура відновлення зводиться до знаходження того, що називається «ключовим файлом ПК», який має .key. ~XData~ розширення, та відправлення його на одну із вказаних адрес електронної пошти (begins@colocasia.org, bilbo@colocasia.org, frodo@colocasia.org, bil@thwonderfulday.com, bob@thwonderfulday.com або trevor@thwonderfulday.com).
Після сплати викупу зловмисники обіцяють прислати унікальний ключ для дешифрування.

Розмір викупу для кожного випадку індивідуальний – від 0,1 до 1 BTC (біткойн), при тому що зараз курс 1 біткойна перевищує 50 тис. грн.

Спеціалісти в галузі комп’ютерної безпеки радять дуже обережно ставитися до е-мейлів від незнайомих адресатів та постійно робити бекапи вмісту своїх ПК на незалежні носії.

Читайте також:
Російські комп’ютери атакує вірус VOZMEZDIE_ZA_DNR від хакерів-шахраїв




Нагадаємо, програма-вимагач WannaCry (також відомий як WannaCrypt , WCry) почала поширюватися в мережі 12 травня 2017 року з Іспанії, шифруючи всі файли на зараженому комп’тері. Цей мережевий черв’як, що міститься у вкладеннях електронної пошти, вражає тільки комп’ютери під управлінням операційної системи Microsoft Windows і вимагає викуп 300 доларів протягом трьох днів.

Протягом тижня від WannaCry постраждало більш як 200 тисяч комп’ютерів, що належать приватним особам, комерційним організаціям та урядовим установам у понад 150 країнах світу. Серед потерпілих – компанії Deutsche Bahn, Portugal Telecom, Fedex, Hitachi, МВС Росії, МЗС Румунії та десятки інших.

За кількістю заражень WannaCry у перші дні лідирували Росія, Україна та Індія, надалі епіцентр заражень зсунувся у Південно-Східну Азію та Євросоюз.

Facebook коментарі

   

підтримати новинарню 2

14 Comments

  1. Иван

    21/05/2017 00:25 at 00:25

    Попал в число “счастливчиков”. 3-й день пытаюсь найти способ восстановить, но результатов пока ноль. Пока только варианты восстановление из бекапов, но в моем случае не подходит.

    • Павел

      21/05/2017 20:00 at 20:00

      Добрый день, та же история. Ломаю голову с 19-05-2017.
      Зашёл к клиенту нашей организации посмотреть почему он не может зайти в клиент-банк и подсказать что и как запускать/переустановить.
      Пришёл, клиент говорит что ноут что-то тормозит с утра (всё туго (не )запускается/закрывается) и постоянно горит индикатор HDD.
      Запустили Диспетчер задач, посмотрел и показываю им процесс mscomrpc.exe (С:\Documents and Settings\Янтарный\Application Data), который смахивает на системный и что-то постоянно делает. Короче прибил его. Система XP немного растормозилась, проверил что у них в автозагрузке (а то в трее новогодняя ёлка). Я же ни сном ни духом, что у файлов пошли расширения ~xdata~ (на глаза не попались). Avira Free молчала (сам дома не один год пользуюсь), лицензия просрочена с декабря 2016, базы не обновлялись.
      Короче, попросил перезагрузить и если тормоза пропадут будем разбираться с клиентом-банком. НО, оказалась ПОЛНАЯ ТОРБА. Система в ауте, дальше биоса не грузится. С загрузочной флешки добрался до файловой системы, смотрю boot.ini и всё остальное в корне (и не только) зашифровано *.*.~xdata (и HOW_CAN_I_DECRYPT_MY_FILES.txt лежит).
      В системе было отключено создание точек восстановления, теневых копий, автообновление, плюс сборка винды кустарная.
      Что важного прибило – Предприниматель4, УкрСклад, Медок не затрунуло (не считая различных прог, музыки, видео). Может до него не успел добраться. Так как выше указанный процесс рубанули. Резервных копий баз нет, вообще ничего нет. Восстанавливать не из чего. Ладно систему запустил, диск подключил к другому компу, прогнал систему Avira Pro (не сочтите за рекламу, просто дома пользуюсь), а с нужными программами засада. Rakhnidecryptor, ransom_file_unlocker и ещё какие-то (со счёта сбился) ничего сделать не могут по расшифровке (возможно пока).
      Recuva, EASEUS Data Recovery Wizard Pro к сожалению ничего полезного из нужного с диска не выдают. Хотя не раз выручали, но не тот случай.
      В общем, буду завтра господам объяснять на пальцах, что нельзя так халатно относиться к ПК, на котором коммерческая информация, интернет и полный бардак, резервных копий = 0. Притом, что какой-то чувак захаживает к ним компы посмотреть (наверное же не бесплатно).
      Дам список ссылок с десяток, в том числе и на этот ресурс и пустить переваривают то, к чему они пришли.

  2. Василь

    21/05/2017 11:09 at 11:09

    Також отримав неприємності від цього винаходу. Особливість XData – не шифрує каталоги Windows і temp.

  3. Евгений

    21/05/2017 13:14 at 13:14

    Тоже попали в пятницу на этот вирус. Жду понедельника что бы с новыми силами приступить в бой. вот нашел статью как можно попробовать его победить: https://ithelpblog. pro/2017/05/virus-shifrovalshhik-vymogatel-xdata-kak-u/
    Если у кого то по ней выйдет, отпишитесь пожалуйста.

  4. Роман

    21/05/2017 21:06 at 21:06

    Сообщите когда будет решени по расшифровке

  5. Михайло

    22/05/2017 13:59 at 13:59

    Пробуйте запустить восстановление файлов после удаления!!!

  6. Алла

    22/05/2017 15:41 at 15:41

    У мене теж зашифрувався ПК (тип файлу xdata), злетіла 1С,флешка з ключами та усією інформацією та архівами БД 1с в момент збою завантажувала оновлення медку. Хто може допоможіть розшифрувати хоча б 1с.

    • Павел

      23/05/2017 23:19 at 23:19

      Алла, Вам нужен специалист (адекватный, пусть даже не “хакер”), который оценит степень повреждения системы и ПО, зачистит от вируса, если ещё это не сделано. А также проверит работали ли функции Создание контрольных точек восстановления, теневые копии файлов и т.д.. Тогда возможно будет смысл либо откатить систему к предыдущему состоянию, возможно обнаружить теневые копии важных файлов, возможно с помощью спец.ПО по восстановлению удалённых файлов выудить из недр диска что-то полезное.
      Расшифровать, увы не получится (возможно пока). Хотя, на просторах интернета встретил статью о том что есть шанс достать вторую половину ключа дешифровки из памяти компьютера, который вирус отсылает ХАЗЯИНУ (козлу) в тот момент, когда на нём свирепствует вирус. Кто-то УМНЫЙ из Франции предложил методу. Это теоретически можно сделать на ПК который при заражении не выключали и не перезагружали. Или же сознательно заразить тестовую машину, и проводить поиск второго ключа в оперативной памяти, пока работает вирус. Ссылку не помню. Но, инфу об этом можно найти. Плюс, используются спец.проги для анализа трафика и поиска в нём пакетов с нужным содержимым для создания дешифратора. Не знаю, может УМЫ этим уже занимаются. Была мысля попробовать, но нет времени, да и немного лень. И так двое суток пытался выудить полезное, в сообщение выше писал о проблеме. Просто устал, да и возможно из-за того что не пострадал от вируса мой ПК. В общем как-то так.

    • Павел

      01/06/2017 19:26 at 19:26

      Здравствуйте! Хорошая новость для тех, кто пострадал от вируса-шифровальщика XDATA. Некоторые антивирусные компании уже выпустили дешифровальщик. И то, благодаря тому неизвестному “хакеру”, который выложил ключ RSA для расшифровки. Кто ОН? На всем остаётся гадать, или он из команды тех кто придумал вирус или башковитый чувак и стырил у них этот ключ. И так… Лично проверил один декриптор (http://support. eset.com/kb6467/) на файлах с больного пациента – РАБОТАЕТ РАСШИФРОВКА!!! Самое главное, чтобы руки были прямые.

  7. Артем

    23/05/2017 11:37 at 11:37

    Все то же самое случилось 18.05.17. Зашифрованы все файлы. Слетела 1С и Медок, ключи и все базы. С компьютера не заходят в почту и не пользуются интернетом. Все случилось в момент загрузки обновления Медок. До этого компьютер вообще не включался неделю.
    Что-то с Медок не чисто, явно заражение пошло через их обновление. Вопрос теперь, как это доказать?

  8. Виталий

    25/05/2017 13:58 at 13:58

    Такая же беда, и тоже после обновления Медок 18,05.
    перепробовал все способы, ничего не могу сделать. Будем ждать, когда изобретут дешифровщик.

  9. Сергій

    26/05/2017 12:46 at 12:46

    Цікаво, чому в мене після оновлень Медка все нормально? Встановлено на робочому ноцті ТРИ медка і дома ще декілька. Все вері гуд

  10. Сергій

    26/05/2017 12:53 at 12:53

    І ще один момент: в одного з моїх клієнтів, який “схавав” цей вірус, версія медка була 174. Тобто, як мінімум з 07.04 ніхто оновлення на МЕД не встановлював. Тому питання таке: яким боком сюди можна мед приплести?

  11. Z

    01/06/2017 08:54 at 08:54

    Доброго дня усім.З податкового форуму:
    https://www.bleepingcomputer .com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/

    Тут внизу є програма-декриптор.

Залишити відгук

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *