Наша взаимовыгодная связь https://banwar.org/
31 Мая, 2017, 20:00
9905
Починаючи з 18 травня українські підприємства почали страждати від вірус-здирника XData. Він шифрував дані на серверах і комп'ютерах користувачів-бухгалтерів. Понад 95% всіх постраждалих від зловредів склали українські компанії. У вівторок, 30 травня, анонімний користувач несподівано опублікував на форумі BleepingComputer приватний майстер-ключ для XData. Фахівці «Лабораторії Касперського» підтвердили його справжність і додали підтримку XData в власне ПО дешифрування, повідомили в BleepingComputer. Дешифратори випустили також ESET і Avast .
Випадки зараження XData за даними сервісу ID-Ransomware
За тиждень, починаючи з 18 травня, XData зашифрував дані на кількох сотнях систем українських підприємств, після чого його активність пішла на спад. У всіх випадках потерпілими виявлялися бухгалтери. До сих пір дослідникам не вдалося встановити точний спосіб зараження комп'ютерів.
Для шифрування XData використовує алгоритм AES. Для розшифровки файлів був необхідний приватний RSA-мастерключ. Саме його в темі для постраждалих від XData виклав анонімний користувач на форумі BleepingComputer. Найбільш вірогідним є те, що користувач - один з авторів XData. Мотиви, за якими він вирішив поділитися з жертвами ключем для розшифровки файлів - не ясні.
Використовуючи майстер-ключ в «Лабораторії Касперського» оновили власне ПО для розшифровки ArakhniDecryptor. Починаючи з версії 1.20.1.0 він здатний розшифровувати постраждалі від XData файли. працездатність ArakhniDecryptor AIN.UA вже підтвердив один з постраждалих.
Через деякий час після «Касперського» можливість розшифровки також з'явилася в інструментах від інших антивірусних компаній - ESET і Avast. Завантажити утиліту від Avast можна на офіційному сайті компанії. Програма з дешифрування від ESET супроводжується інструкцією і доступна за наступною засланні . Нижче редакція приводить докладну інструкцію з дешифрування для інструменту «Лабораторії Касперського», опубліковану на BleepingComputer.
Як розшифрувати дані?
У постраждалих від вірусу-здирника зашифровані дані виявляються в форматі [имяфайла]. ~ Xdata ~ або [имяфайла] .- xdata-.
Перш ніж приступити до розшифровки, якщо на зараженому комп'ютері ще не робилися ніякі дії, необхідно завершити процес вірусу. Для цього необхідно відкрити «Диспетчер завдань» Windows за допомогою комбінації Cntrl-Shift-Escape. У вкладці «Процеси» потрібно знайти процеси msdns.exe, mssql.exe або mscom.exe, які асоціюються з вірусом. Їх потрібно вибрати і натиснути кнопку «Завершити процес». Після можете приступати до розшифровці.
Спершу потрібно завантажити спеціальне програмне забезпечення - RakhniDecryptor (Посилання на пряме скачування). Він доступний на сайті NoMoreRansom в розділі Decryption Tools . Після завантаження та розпакування архіву потрібно запустити файл RakhniDecryptor.exe.
Слідом за натисканням на кнопку Start scan програма попросить вибрати один зашифрований файл. Це може бути файл Microsoft Word або Excel, PDF, музичний файл або зображення. Не вибирайте текстовий файл (.txt) - він не підходить для розшифровки. Вибравши файл, натисніть «Відкрити».
Після цього RakhniDecryptor просканінует весь комп'ютер і розшифрує постраждалі файли. Процес розшифровки може зайняти тривалий час. В кінці з'явиться вікно, що оповіщає про завершення сканування. Після дешифрування на жорсткому диску як і раніше залишаться і зашифровані файли. Їх можна видалити.
Нагадаємо, раніше ми докладно писали про те, що фахівцям вдалося з'ясувати про XData.
Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.
Як розшифрувати дані?Як розшифрувати дані?
Помітили помилку?