прислать материал
AIN.UA » СообществоАнтивирусные компании выпустили дешифратор для вируса-вымогателя XData: инструкция по дешифровке

Антивирусные компании выпустили дешифратор для вируса-вымогателя XData: инструкция по дешифровке

8304 20

Начиная с 18 мая украинские предприятия начали страдать от вирус-вымогателя XData. Он шифровал данные на серверах и компьютерах пользователей-бухгалтеров. Более 95% всех пострадавших от зловреда составили украинские компании. Во вторник, 30 мая, анонимный пользователь неожиданно опубликовал на форуме BleepingComputer приватный мастер-ключ для XData. Специалисты «Лаборатории Касперского» подтвердили его подлинность и добавили поддержку XData в собственное ПО дешифровки, сообщили в BleepingComputer. Дешифраторы выпустили также ESET и Avast

Случаи заражение XData по данным сервиса ID-Ransomware

За неделю, начиная с 18 мая, XData зашифровал данные на нескольких сотнях систем украинских предприятий, после чего его активность пошла на спад. Во всех случаях пострадавшими оказывались бухгалтеры. До сих пор исследователям не удалось установить точный способ заражения компьютеров. 

Для шифрования XData использует алгоритм AES. Для расшифровки файлов был необходим приватный RSA-мастерключ. Именно его в теме для пострадавших от XData выложил анонимный пользователь на форуме BleepingComputer. Наиболее вероятным является то, что пользователь — один из авторов XData. Мотивы, по которым он решил поделиться с жертвами ключом для расшифровки файлов — не ясны. 

Используя мастер-ключ в «Лаборатории Касперского» обновили собственное ПО для расшифровки ArakhniDecryptor. Начиная с версии 1.20.1.0 он способен расшифровывать пострадавшие от XData файлы. Работоспособность ArakhniDecryptor AIN.UA уже подтвердил один из пострадавших.

Через некоторое время после «Касперского» возможность расшифровки также появилась в инструментах от других антивирусных компаний — ESET и Avast. Скачать утилиту от Avast можно на официальном сайте компании. Программа по дешифровке от ESET сопровождается инструкцией и доступна по следующей ссылке. Ниже редакция приводит подробную инструкцию по дешифровке для инструмента «Лаборатории Касперского», опубликованную на BleepingComputer.

Как расшифровать данные?

У пострадавших от вируса-вымогателя зашифрованные данные оказываются в формате [имяфайла].~xdata~ или [имяфайла].-xdata-.

Прежде чем приступить к расшифровке, если на зараженном компьютере еще не предпринимались никакие действия, необходимо завершить процесс вируса. Для этого необходимо открыть «Диспетчер задач» Windows с помощью комбинации Cntrl-Shift-Escape. Во вкладке «Процессы» нужно найти процессы msdns.exe, mssql.exe или mscom.exeкоторые ассоциируются с вирусом. Их нужно выбрать и нажать кнопку «Завершить процесс». После можете преступать к расшифровке.

Сперва нужно скачать специальное ПО — RakhniDecryptor (ссылка на прямое скачивание). Он доступен на сайте NoMoreRansom в разделе Decryption Tools. После скачивания и распаковки архива нужно запустить файл RakhniDecryptor.exe.

Вслед за нажатием на кнопку Start scan программа попросит выбрать один зашифрованный файл. Это может быть файл Microsoft Word или Excel, PDF, музыкальный файл или изображение. Не выбирайте текстовый файл (.txt) — он не подходит для расшифровки. Выбрав файл, нажмите «Открыть».

После этого RakhniDecryptor просканинует весь компьютер и расшифрует пострадавшие файлы. Процесс расшифровки может занять длительное время. В конце появится окно, оповещающее о завершении сканирования. После дешифровки на жестком диске по-прежнему останутся и зашифрованные файлы. Их можно удалить.

Напомним, ранее мы подробно писали о том, что специалистам удалось выяснить об XData. 

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Также подобрали для вас

Загрузить еще

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

20 комментариев

по хронологии
по рейтингу сначала новые по хронологии
Odarchuk Oleksandr

Пробував відновити файли, які були "забекаплені" з пошифрованого ПК, перед тим як змінити там ОС - невозможно подобрать пароль.
Така ж сама помилка якщо рошифровувати файли з файлової шари 🙁

Odarchuk Oleksandr

Охрана, отмена (с)
Забув перенести кеу-файл. З ним все розшифрувалося!

shakh.pavlo

А що за key файл, де його взяти?

Odarchuk Oleksandr

файл яки починається з назви ПК і має назву аля PC-02#1F4C8177B106831A934CA8130E4E1A14-#-2017518134735-120.key.~xdata~
Для Win7 лежить в C:programdata

mrcrazyalex

а если перестановляна винда то його уже не найти?

shakh.pavlo

Його треба покласти в папку з дешифровщиком?

Odarchuk Oleksandr

да. я юзав консольну тулзу від ЕСЕТ. Запустив і вказав на якому диску шукати файли. він "з'їв" спочатку цей файл і далі почалась дешифрація

shakh.pavlo

Надіюсь мені завтра допоможе, на двох компютерах бухгалтерів зашифрувало, образу після запуску поновлення m.e.doc

mrcrazyalex

привет ключ осталься скинь мне пожалуста я попробую, а то я винду перестановил нету ключа(

Anton Tolstoy

Как вы можете пользоваться софтом от Касперского? Вы что!

Odarchuk Oleksandr

є ще дешифратор від ЕСЕТ/Аваст 🙂

mrcrazyalex

я переустановил винду, то уже не найти етого файла ключа в програм дата?

Odarchuk Oleksandr

якщо його не зберегли - ні.

mrcrazyalex

в тебя ключа не осталось?

Odarchuk Oleksandr

ключ є, але не думаю що він підійде )

mrcrazyalex

в тя етого кей не осталось может он и мне подойдет?

mrcrazyalex

я в шоке

у мене такий файл був на робочому столі, можливо ви скопіювали всі файли з робочого столу чи бекап його зробили? У листі від хакерів ( HOW_CAN_I....) є кілька папок , де зберігався той ключ.

mrcrazyalex

я винду переставил нету ево, можеш мне скинуть етот ключ что в тебя попробую может он и мне подойдет?

я б з радістю , але я той файл викинула у той же день. І вінду вже теж переставила. Можливо у бекапи зробили системи. Не думаю що підійде - за задумом хакерів ( так у листі принаймі вказано від них) він мав би бути унікальний, і назва дійсно така ж як назва компа.

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: