Обнаружен новый вирус-вымогатель (ransomware) XData. - Общение Python мододелов

Обсуждение Обнаружен новый вирус-вымогатель (ransomware) XData.

Регистрация
20 Окт 2016
Сообщения
300
Репутация
140
Спасибо
8
Монет
0
Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry​
В прошлый четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель (ransomware) XData.
Активность этого крипто-вымогателя пришлась на середину мая 2017 г.
Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Из 135 случаев инфицирования, которые были обнаружены на 19 мая текущего года, 95% случаев пришлось на украинских пользователей. (в реальности массштабы заражения намного выше)

Если сравнивать темпы распространения вымогателя XData с нашумевшим WannaCry, то окажется, что в Украине он распространяется вчетверо быстрее (в ID-Ransomware зафиксировали только 30 пострадавших от WannaCry украинцев из 200 тыс. жертв по всему миру). WannaCry уже заразила сотни тысяч систем по всему миру, но если учесть текущий уровень распространения XData-инфекции в Украине, России и Германии, глобальное влияние XData значительно превосходит WannaCry.

Зловред-вымогатель XData шифрует все файлы с помощью алгоритма AES, при этом рабочего способа расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. На данный момент курс биткоина составляет более $2100.

После шифрования все файлы имеют расширение .~xdata~
Вирус не меняет фон рабочего стола, не показывает уведомления, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files.txt, объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключи. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.


Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.

Отметим, что способ распространения и заражения компьютеров зловредом XData пока неизвестен, но скорее всего он попадает на компьютеры жертв путем фишинговых атак через электронные письма с зараженными вложениями, использование эксплойтов ОС, веб-инжектов, фальшивых рекламных ссылок, зараженных инсталляторов и т.д.
Среди украинских пострадавших в основном компьютерные сети компаний.


Особенности XData:
Файлы, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~

Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop
(в реальности известно что такие файлы остаются и во многих других папках, где были файлы и даже в пустых)

Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов.

Сетевые подключения и связи: См. ниже результаты анализов.

Результаты анализов:
VirusTotal анализ
Гибридный анализ

Источники:blog.emsisoft.com, BleepingComputer​
 
Регистрация
18 Фев 2017
Сообщения
1,147
Репутация
470
Спасибо
98
Монет
0
Опять Россия накосячила :smile:
 
Регистрация
23 Янв 2016
Сообщения
439
Репутация
269
Спасибо
33
Монет
0
надоели эти хитро прищуренные русские хакеры
 
Регистрация
23 Янв 2016
Сообщения
439
Репутация
269
Спасибо
33
Монет
0
это закономерно, надо продавать пока это хоть чего то стоит. через время это будет в свободном доступе на каждом углу
 
Регистрация
20 Май 2017
Сообщения
146
Репутация
65
Спасибо
8
Монет
0
на украине сейчас реал разнесется молнееносно..
 
Регистрация
11 Янв 2016
Сообщения
108
Репутация
44
Спасибо
5
Монет
0
Надо быть осторожней что бы его не хапнуть :pacan.gif:
 
Сверху Снизу