Вирус-вымогатель XData. Как восстановить файлы?

 

Вирус XData

Вирус распространяется быстрее WannaCry в 4 раза. Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы.

Исследователи антивирусной программы-сканера MalwareHunter обнаружили новый вирус-вымогатель XData, который распространяется вчетверо быстрее, чем поразивший недавно сотни тысяч компьютеров по всему миру вирус-вымогатель WannaCry.

«По состоянию на пятницу, 13 июля 2017 года, было подтверждено уже 165 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей. Для сравнения, в MalwareHunter утверждают, что в нашей стране они зафиксировали всего 30 пострадавших от атаковавшего более 200 тыс. пользователей по всему миру WannaCry», – говорится в сообщении.

 

То есть, темпы распространения XData в 4 раза выше, но вирус пока не начал массово заражать компьютеры вне нашей страны. Так, XData шифрует все файлы с помощью алгоритма AES. Способов расшифровки без оплаты выкупа пока не найдено.

 

Согласно информации издания, хакеры требуют от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. По нынешнему курсу биткоина, выкуп колеблется от 5,8 тыс. до 58 тыс. гривен. Среди украинских пострадавших в основном компьютерные сети компаний.

 

 

После шифрования все файлы имеют расширение .~xdata~. Вирус не меняет фон рабочего стола, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files. В нем объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов.

 

 

Вирус оставил инструкцию

Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc.

Encryption was prodused using unique public key for this computer.

To decrypt files, you need to obtain private key and special tool.

To retrieve the private key and tool find your pc key file with ‘.key.~xdata~’ extension.

Depending on your operation system version and personal settings, you can find it in:

‘C:/’,

‘C:/ProgramData’,

‘C:/Documents and Settings/All Users/Application Data’,

‘Your Desktop’

folders (eg. ‘C:/PC-TTT54M#45CD.key.~xdata~’).

Then send it to one of following email addresses:

begins@colocasia.org

bilbo@colocasia.org

frodo@colocasia.org

trevor@thwonderfulday.com

bob@thwonderfulday.com

bil@thwonderfulday.com

Your ID:

 

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.  Файлы, связанные с вирусом msaddc.exe mscomrpc.exe msdcom.exe msdns.exe mssecsvc.exe mssql.exe HOW_CAN_I_DECRYPT_MY_FILES.txt .key.~xdata~ Расположения C:/ C:/ProgramData C:/Documents and settings/All Users/Application Data /Desktop Как восстановить зашифрованные файлы ? Как уже говорилось ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы WanaDecryptor вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec.

 

 

 

 

 

 

 

 

 

 

 

ИТ Сервис - Харьков