прислать материал
AIN.UA » Безопасность, Коллекции, СообществоУкраинцев атакует новый вирус-вымогатель XData. Скорость распространения вчетверо выше WannaCry
 

Украинцев атакует новый вирус-вымогатель XData. Скорость распространения вчетверо выше WannaCry

16448 24

В четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель XData. Состоянием на пятницу, 19 мая, было подтверждено 135 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей. Для сравнения, в MalwareHunter утверждают, что в нашей стране они зафиксировали всего 30 пострадавших от атаковавшего более 200 000 пользователей по всему миру WannaCry. Таким образом, темпы распространения XData в четыре раза выше, но вирус пока не начал массово заражать компьютеры вне нашей страны.

На пятницу, 19 мая, XData стал вторым по количеству зафиксированных случаев зловредом. Источник: Bleepingcomputer / MalwareHunter

XData шифрует все файлы с помощью алгоритма AES. Способов расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. Курс биткоина составляет более $2 100, а значит выкуп — от 5 800 до 58 000 грн. 

Как XData распространяется и заражает компьютеры пока не известно. Стандартными путями для вирусов-вымогателей являются фишинговые атаки через электронные письма с зараженными вложениями, использование эксплойтов ОС, фальшивые рекламные ссылки, зараженные установщики и другие. Среди украинских пострадавших в основном компьютерные сети компаний.

Такое сообщение оставляют злоумышленники на зашифрованном жестком диске

После шифрования все файлы имеют расширение .~xdata~. Вирус не меняет фон рабочего стола, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files. В нем объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключа. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.

Напомним, недавно мы публиковали колонку о том, как защитить SaaS-сервисы от вирусов-вымогателей.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Также подобрали для вас

загрузить еще

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

24 комментария

по хронологии
по рейтингу сначала новые по хронологии
Odarchuk Oleksandr

Маю 2 зашифровані ПК. Різні організації/ПК/юзери ( обоє бух-и) але обоє стверджують, що сталося це після оновлення локальної версії МЕДОКа....

Автор

Олександре, а можете, будь ласка, написати мені на ФБ - fb.com/krasnomovets

Odarchuk Oleksandr

не юзаю 🙂

Автор
Anton Pukhoviy

це все M.E.Doc 100%. В суді треба грошей збити)

Waldemar Müller

Очень странно, но пользователи из двух совсем разных конторы, которые эту дрянь подцепили, тоже утверждают, что это говно случилось именно после обновления M.E.Doc. Может, конечно, это совпадение, но какое-то странное.

Ruslan Shilov

неа. Подтверждаю, такая ж хрень. Причем шифратор лежал в папке пользователя с обычными правами. *.ZBK файлы (архивы медка) не тронуты. базы 1С в топку, сам клиент медка тоже. Ну и доки/таблицы до кучи.

Автор

Руслан, можете постучать на pk@ain.ua?

Ruslan Shilov

На одному з термінальних серверів невеличкого магазину маю таку ж само ситуацію. І так само сталось після одновлення медка.

Myroslav Chumak

Подтверждаю, после апдейта медка 182 в 2х конторах прилетел xdata. При контрольной установке на виртуальной машине файлы зашифрованы не были. Во втором случае как раз после апдейта выключили свет и троян не успел все зашифровать + месяц назад 1ску перенесли на терминал (это ее и спасло)

Автор

Мирослав, можете мне написать на pk@ain.ua?

Rostyslav Karyy

У меня на сервере стоит 1 с, медок и браузер для почты gmail . Случилось все в пятницу в 12 часов. У админа ушло 11 часов на устранение этого вируса. Просидел он в офисе до 23:00 . 1 с подняли с бекапа. Медок - купили сегодня ключи за 1000+ грн (за поеративность) Попадение вируса через почту исключаю, поскольку та же почта открыта у всех менеджеров на офисных пк с виндовсом. Не подумал бы на медок, но в это время бухгалтер как раз в нем пыталась подать отчет. И тут лишний шум по поводу медка настораживает.

Anton Pukhoviy

а нашару ключі в податковій не дозволяє релігія взяти. за годину роблять.

К сожалению, в Мукачеве в податковой ключи делать не хотят, им пофиг. Ждут, что приедет представитель из обл. центра, а тот без денег не приедет. Я в прошлом году ждала бесплатные ключи месяца 4, потом плюнула и пошла купила. И так везде по малым городам, а тем более селам.

Аналогично - включила в пятницу комп, не заходила в интернет, не проверяла почту, в медке сдала отчет и через 15 минут все зашифровано. Пыталась сегодня написать об этом на форуме медка, мне в ответ написали, что я не я, и так как фото рабочего стола с вирусом предоставить не могу, то вообще все придумала.

Odarchuk Oleksandr

Якщо юзати/оновлювати медок в клієнт-серверному варіанті такої біди не спостерігається...

Аналогічна ситуація із медком.

Подтверждаю про Медок, заражение началось сразу после запуска программы бухгалтером.

У меня тоже вывод только на медок... Изолированная виртуальная машина на логическом уровне. Доступ только с ВПН сети. Работает только 1С и медок. Доступ с него только на сервер обновления медка и на почтовый сервер для затягивания квитанций (отдельный П/Я только для медка). Никаих флешек, дисков, почтовых программ и пр. По логам, подключение только к обновлению медка, больше никакой активности. Зашифровало вообще все. Им никто не пользовался длительное время (вирус попал перед выходными 18 мая в ~12-00.

Odarchuk Oleksandr

Шановний користувачу!
Вийшло нове оновлення до програмного забезпечення "M.E.Doc" - 10.01.182-10.01.183.
Завантажити його можна на цій сторінці

З любов'ю,
Команда розробників "M.E.Doc"!
звучить двояко 🙂

Svitlana Omelchuk

Вставлю своїх 5 копійок. Оновляла Медок, і з пошти gmail файл стягувала. Щось підчепило цю заразу. Думала, що пошта, але цей самий файл на інших компах відкривався нормально.
Одразу полізло на файли 1С і на звичайні доки.

Katerina Grudieva

как расшифровать фотографии?

Dmytro Korolkov

На сайте Медка - отмазы: http://www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor

Не знаю как моя бух-ша устанавливала обнову Медка, но говорит "как обычно". Кстати занятно, что проблема у украинских бухгалтеров возникла сразу же после запрета российского "1С"

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: