Вирус-вымогатель XData. Как восстановить файлы?

Вирус распространяется быстрее WannaCry в 4 раза. Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы.

Исследователи антивирусной программы-сканера MalwareHunter обнаружили новый вирус-вымогатель XData, который распространяется вчетверо быстрее, чем поразивший недавно сотни тысяч компьютеров по всему миру вирус-вымогатель WannaCry.

«По состоянию на пятницу, 19 мая 2017 года, было подтверждено уже 135 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей. Для сравнения, в MalwareHunter утверждают, что в нашей стране они зафиксировали всего 30 пострадавших от атаковавшего более 200 тыс. пользователей по всему миру WannaCry», – говорится в сообщении.

То есть, темпы распространения XData в 4 раза выше, но вирус пока не начал массово заражать компьютеры вне нашей страны. Так, XData шифрует все файлы с помощью алгоритма AES. Способов расшифровки без оплаты выкупа пока не найдено.

Согласно информации издания, хакеры требуют от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. По нынешнему курсу биткоина, выкуп колеблется от 5,8 тыс. до 58 тыс. гривен. Среди украинских пострадавших в основном компьютерные сети компаний.

После шифрования все файлы имеют расширение .~xdata~. Вирус не меняет фон рабочего стола, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files. В нем объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов.

Вирус оставил инструкцию

Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc.

Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.

To retrieve the private key and tool find your pc key file with ‘.key.~xdata~’ extension.
Depending on your operation system version and personal settings, you can find it in:
‘C:/’,
‘C:/ProgramData’,
‘C:/Documents and Settings/All Users/Application Data’,
‘Your Desktop’
folders (eg. ‘C:/PC-TTT54M#45CD.key.~xdata~’).

Then send it to one of following email addresses:

begins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com

Your ID:

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с вирусом

  • msaddc.exe
  • mscomrpc.exe
  • msdcom.exe
  • msdns.exe
  • mssecsvc.exe
  • mssql.exe

HOW_CAN_I_DECRYPT_MY_FILES.txt

.key.~xdata~

Расположения

  • C:/
  • C:/ProgramData
  • C:/Documents and settings/All Users/Application Data
  • /Desktop

Как восстановить зашифрованные файлы ?

Как уже говорилось ранее, единственная возможность бесплатно вернуть свои файлы, которые были зашифрованы WanaDecryptor вирусом шифровальщиком — это использовать специальные программы, такие как ShadowExplorer и PhotoRec.


Добавить комментарий

Пишите полные комментарии, ответы типа "спасибо за статью" не публикуются!

Защитный код
Обновить

Главная Статьи Антивирусная защита Вирус-вымогатель XData. Как восстановить файлы?