Украинцев атакует новый вирус-вымогатель XData. Скорость распространения вчетверо выше WannaCry
В четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель XData. Состоянием на пятницу, 19 мая, было подтверждено 135 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей. Для сравнения, в MalwareHunter утверждают, что в нашей стране они зафиксировали всего 30 пострадавших от атаковавшего более 200 000 пользователей по всему миру WannaCry. Таким образом, темпы распространения XData в четыре раза выше, но вирус пока не начал массово заражать компьютеры вне нашей страны.
На пятницу, 19 мая, XData стал вторым по количеству зафиксированных случаев зловредом. Источник: Bleepingcomputer / MalwareHunter
XData шифрует все файлы с помощью алгоритма AES. Способов расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. Курс биткоина составляет более $2 100, а значит выкуп — от 5 800 до 58 000 грн.
Как XData распространяется и заражает компьютеры пока не известно. Стандартными путями для вирусов-вымогателей являются фишинговые атаки через электронные письма с зараженными вложениями, использование эксплойтов ОС, фальшивые рекламные ссылки, зараженные установщики и другие. Среди украинских пострадавших в основном компьютерные сети компаний.
Такое сообщение оставляют злоумышленники на зашифрованном жестком диске
После шифрования все файлы имеют расширение .~xdata~. Вирус не меняет фон рабочего стола, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files. В нем объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключа. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.
Напомним, недавно мы публиковали колонку о том, как защитить SaaS-сервисы от вирусов-вымогателей.
Команда AIN.UA спільно з фондом Group 35 збирає 608 800 грн на мобільний діджитал-штаб для підрозділу 148 ОБР ДШВ. Штаб інтегрує системи роботизованої аеророзвідки та передає стріми на відеостіну. Це дозволяє командуванню ефективніше планувати операції, зберігаючи життя захисників та захисниць, і збільшуючи шанси місій на успіх. Більше деталей у Facebook AIN.UA.
Комментарии | 24
Маю 2 зашифровані ПК. Різні організації/ПК/юзери ( обоє бух-и) але обоє стверджують, що сталося це після оновлення локальної версії МЕДОКа….
Олександре, а можете, будь ласка, написати мені на ФБ — fb.com/krasnomovets
не юзаю 🙂
Ок, а на пошту [email protected]? 🙂
це все M.E.Doc 100%. В суді треба грошей збити)
Очень странно, но пользователи из двух совсем разных конторы, которые эту дрянь подцепили, тоже утверждают, что это говно случилось именно после обновления M.E.Doc. Может, конечно, это совпадение, но какое-то странное.
неа. Подтверждаю, такая ж хрень. Причем шифратор лежал в папке пользователя с обычными правами. *.ZBK файлы (архивы медка) не тронуты. базы 1С в топку, сам клиент медка тоже. Ну и доки/таблицы до кучи.
Руслан, можете постучать на [email protected]?
На одному з термінальних серверів невеличкого магазину маю таку ж само ситуацію. І так само сталось після одновлення медка.
Подтверждаю, после апдейта медка 182 в 2х конторах прилетел xdata. При контрольной установке на виртуальной машине файлы зашифрованы не были. Во втором случае как раз после апдейта выключили свет и троян не успел все зашифровать + месяц назад 1ску перенесли на терминал (это ее и спасло)
Мирослав, можете мне написать на [email protected]?
Коментар Медока http://www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor
У меня на сервере стоит 1 с, медок и браузер для почты gmail . Случилось все в пятницу в 12 часов. У админа ушло 11 часов на устранение этого вируса. Просидел он в офисе до 23:00 . 1 с подняли с бекапа. Медок — купили сегодня ключи за 1000+ грн (за поеративность) Попадение вируса через почту исключаю, поскольку та же почта открыта у всех менеджеров на офисных пк с виндовсом. Не подумал бы на медок, но в это время бухгалтер как раз в нем пыталась подать отчет. И тут лишний шум по поводу медка настораживает.
а нашару ключі в податковій не дозволяє релігія взяти. за годину роблять.
К сожалению, в Мукачеве в податковой ключи делать не хотят, им пофиг. Ждут, что приедет представитель из обл. центра, а тот без денег не приедет. Я в прошлом году ждала бесплатные ключи месяца 4, потом плюнула и пошла купила. И так везде по малым городам, а тем более селам.
Аналогично — включила в пятницу комп, не заходила в интернет, не проверяла почту, в медке сдала отчет и через 15 минут все зашифровано. Пыталась сегодня написать об этом на форуме медка, мне в ответ написали, что я не я, и так как фото рабочего стола с вирусом предоставить не могу, то вообще все придумала.
Якщо юзати/оновлювати медок в клієнт-серверному варіанті такої біди не спостерігається…
Аналогічна ситуація із медком.
Подтверждаю про Медок, заражение началось сразу после запуска программы бухгалтером.
У меня тоже вывод только на медок… Изолированная виртуальная машина на логическом уровне. Доступ только с ВПН сети. Работает только 1С и медок. Доступ с него только на сервер обновления медка и на почтовый сервер для затягивания квитанций (отдельный П/Я только для медка). Никаих флешек, дисков, почтовых программ и пр. По логам, подключение только к обновлению медка, больше никакой активности. Зашифровало вообще все. Им никто не пользовался длительное время (вирус попал перед выходными 18 мая в ~12-00.
Шановний користувачу!
Вийшло нове оновлення до програмного забезпечення «M.E.Doc» — 10.01.182-10.01.183.
Завантажити його можна на цій сторінці
З любов'ю,
Команда розробників «M.E.Doc»!
звучить двояко 🙂
Вставлю своїх 5 копійок. Оновляла Медок, і з пошти gmail файл стягувала. Щось підчепило цю заразу. Думала, що пошта, але цей самий файл на інших компах відкривався нормально.
Одразу полізло на файли 1С і на звичайні доки.
как расшифровать фотографии?
На сайте Медка — отмазы: http://www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor
Не знаю как моя бух-ша устанавливала обнову Медка, но говорит «как обычно». Кстати занятно, что проблема у украинских бухгалтеров возникла сразу же после запрета российского «1С»