Интернет безопасность по-русски
  • twitter
  • flickr
  • facebook
  • vimeo
  • Главная
  • Новости
  • Удаление вирусов
  • Спам
  • Написать нам

Шифровальщик XData. Удаление вируса и восстановление файлов.

Xdata (.key.~xdata~) – шифровальщик,  предположительно близкий к создателям или распространителям знаменитого WannaCry, о котором антивирусным лабораториям и экспертам по кибер-безопасности стало известно вечером 17 мая. Распространяется пока в Украине (около 90% всех инфицированных ПК) и России, хотя инструкции по “расшифровке” от злоумышленников, которые они оставили в файле HOW_CAN_I_DECRYPT_MY_FILES.txt – англоязычные.  Алгоритм шифрования – все тот же стойкий к расшифровке AES.

Сообщение, которое авторы xdata оставляют в папках с зашифрованными файлами:

Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with ‘.key.~xdata~’ extension.
Depending on your operation system version and personal settings, you can find it in:
‘C:/’,
‘C:/ProgramData’,
‘C:/Documents and settings/All Users/Application Data’,
‘Your Desktop’
folders (eg. ‘C:/PC-TTT54M#45CD.key.~xdata~’).
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.

Распространяется посредством вложений в электронной почты (письма от контрагентов, банков, налоговой и.т.д) и посредством експлоита, которое использует уязвимость в ОС Windows. Распространяется так-же по локальным сетям, шифруя все данные на компьютерах сети (около 30 типов файлов: базы данных, документы, презентации, фото, видео…). Заражает серверы под управлением ОС Windows Server разных версий.

HOW_CAN_ID_DECRYPT_MY_FILES.txt

HOW_CAN_ID_DECRYPT_MY_FILES.txt

Расшифровщика на этот вирус пока не существует в природе. Мы настоятельно не рекомендуем платить злоумышленникам выкуп — никаких, даже малейших, гарантий того, что они расшифруют ваши данные, получив выкуп, нет.

Удалить шифровальщик Xdata с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

  1. Загрузить программу для удаления вируса Xdata. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления шифровальщика Xdata.
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.Data Recovery Pro

Загрузить программу восстановелния данных Data Recovery Pro

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

  • Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.previous-versions
  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).Shadow Explorer

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя Xdata

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Загрузить программу для удаления вируса Xdata

Похожее

5 Comments

  1. Владимир
    23.05.2017 at 22:26

    К сожалению, восстановление удаленных никак не помогает, автор по всей видимости не знал о чем пишет. И шифрует он не весь файл первые мегабайт или около того. От чего не легче….

    reply
  2. Лола
    25.05.2017 at 20:13

    Ну прямо таки брат по несчастью…. Эта падла только появилась 17 мая, а 24 я её уже скачала вместе с обновлением программы электронной отчетности МЕДок, и это официальная лицензионная программа и автоматическая загрузка обновлений с проверенного сервера, за всё это оплачивается 900 грн. в год. Твою ж мать…. Теперь придётся тупо сидеть и ожидать пока выпустят на эту падлу дешифратор….

    reply
  3. Алексей
    30.05.2017 at 23:38

    Аналогично, обновил МЕДок, и на тебе здравствуйте.Тех. поддержка медка отмораживается. Системник использовался только для МЕДОК, ни почты ничего лишнего не было.

    reply
  4. Александр
    31.05.2017 at 13:38

    Дешифратор выпустили уже, мне помог….
    https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/

    reply
  5. Орест
    08.06.2017 at 11:40

    Большое спасибо Александр, за ссилку и секономленное время.

    reply

Leave a Reply Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Искать на сайте

Мы в Твиттере

Follow @it_bezopasnost

Свежие записи

  • Как удалить вирус Temposearch в Chrome, Firefox, IE, Safari
  • Как удалить Win Tonic вирус в Windows
  • Удаление decrypthelp@qq.com и восстановление зашифрованных файлов .java
  • Шифровальщик hola@all-ransomware.info (расширение .fairytail и другие)
  • Удаление браузерного вируса Newtab.today

Мы Вконтакте

Мы в Фейсбуке

Интернет Безопасность

Мы в Однокласниках

back up
© Copyright 2023 Интернет безопасность по-русски
 

Загружаются Комментарии...