В четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель XData. Состоянием на пятницу, 19 мая, было подтверждено 135 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей. Для сравнения, в MalwareHunter утверждают, что в нашей стране они зафиксировали всего 30 пострадавших от атаковавшего более 200 000 пользователей по всему миру WannaCry. Таким образом, темпы распространения XData в четыре раза выше, но вирус пока не начал массово заражать компьютеры вне нашей страны.

На пятницу, 19 мая, XData стал вторым по количеству зафиксированных случаев зловредом. Источник: Bleepingcomputer / MalwareHunter

XData шифрует все файлы с помощью алгоритма AES. Способов расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. Курс биткоина составляет более $2 100, а значит выкуп – от 5 800 до 58 000 грн. 

Как XData распространяется и заражает компьютеры пока не известно. Стандартными путями для вирусов-вымогателей являются фишинговые атаки через электронные письма с зараженными вложениями, использование эксплойтов ОС, фальшивые рекламные ссылки, зараженные установщики и другие. Среди украинских пострадавших в основном компьютерные сети компаний.

Такое сообщение оставляют злоумышленники на зашифрованном жестком диске

После шифрования все файлы имеют расширение .~xdata~. Вирус не меняет фон рабочего стола, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files. В нем объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. “Не волнуйтесь, если вы не можете найти файл ключа. В любом случае свяжитесь с поддержкой”, – заботливо пишут злоумышленники.

Напомним, недавно мы публиковали колонку о том, как защитить SaaS-сервисы от вирусов-вымогателей.