Xdata (.key.~xdata~) – шифровальщик, предположительно близкий к создателям или распространителям знаменитого WannaCry, о котором антивирусным лабораториям и экспертам по кибер-безопасности стало известно вечером 17 мая. Распространяется пока в Украине (около 90% всех инфицированных ПК) и России, хотя инструкции по “расшифровке” от злоумышленников, которые они оставили в файле HOW_CAN_I_DECRYPT_MY_FILES.txt – англоязычные. Алгоритм шифрования – все тот же стойкий к расшифровке AES.
Сообщение, которое авторы xdata оставляют в папках с зашифрованными файлами:
Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with ‘.key.~xdata~’ extension.
Depending on your operation system version and personal settings, you can find it in:
‘C:/’,
‘C:/ProgramData’,
‘C:/Documents and settings/All Users/Application Data’,
‘Your Desktop’
folders (eg. ‘C:/PC-TTT54M#45CD.key.~xdata~’).
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.
Распространяется посредством вложений в электронной почты (письма от контрагентов, банков, налоговой и.т.д) и посредством експлоита, которое использует уязвимость в ОС Windows. Распространяется так-же по локальным сетям, шифруя все данные на компьютерах сети (около 30 типов файлов: базы данных, документы, презентации, фото, видео…). Заражает серверы под управлением ОС Windows Server разных версий.
Расшифровщика на этот вирус пока не существует в природе. Мы настоятельно не рекомендуем платить злоумышленникам выкуп — никаких, даже малейших, гарантий того, что они расшифруют ваши данные, получив выкуп, нет.
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.
Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Программа автоматического восстановления файлов (дешифратор)
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.
Загрузить программу восстановелния данных Data Recovery Pro
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
Резервное копирование
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.
Загрузить программу для удаления вируса Xdata
К сожалению, восстановление удаленных никак не помогает, автор по всей видимости не знал о чем пишет. И шифрует он не весь файл первые мегабайт или около того. От чего не легче….
Ну прямо таки брат по несчастью…. Эта падла только появилась 17 мая, а 24 я её уже скачала вместе с обновлением программы электронной отчетности МЕДок, и это официальная лицензионная программа и автоматическая загрузка обновлений с проверенного сервера, за всё это оплачивается 900 грн. в год. Твою ж мать…. Теперь придётся тупо сидеть и ожидать пока выпустят на эту падлу дешифратор….
Аналогично, обновил МЕДок, и на тебе здравствуйте.Тех. поддержка медка отмораживается. Системник использовался только для МЕДОК, ни почты ничего лишнего не было.
Дешифратор выпустили уже, мне помог….
https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/
Большое спасибо Александр, за ссилку и секономленное время.