Выявленный в прошлый четверг, 18 мая, вирус-вымогатель XData на следующий день стал вторым по скорости распространения зловредом после WCry. Согласно данным ресурса ID-Ransomware, который помогает определить тип вируса-вымогателя, и его разработчиков MalwareHunterTeam, на пике они зафиксировали 135 уникальных обращений. Но речь идет о сотнях жертв, 96% которых – украинские предприятия. Редакция AIN.UA пообщалась с десятком пострадавших, MalwareHunterTeam, ESET и собрала все, что известно о XData на данный момент.

Большинство известных сведений базируются на словах самих пострадавших. Точных заключений по многим пунктам пока нет, поскольку они требуют времени для анализа со стороны специалистов по информационной безопасности.

Что под угрозой?

Вирус заражает ПК и сервера на базе Microsoft Windows. Встречались случаи шифрования систем на базе Windows XP и Windows 7 64-битных версий. На пострадавших серверах использовались Windows Server 2008 или 2012 x64. В MalwareHunterTeam после анализа одного из образцов вируса подтвердили AIN.UA, что он нацелен именно на 64-битные версии ОС и не должен поражать системы с архитектурой x86.

Во всех известных случаях жертвами становились бухгалтеры. То есть, вирус нацелен на корпоративный сегмент. 

Сперва казалось, что XData не распространяется по сети и шифрует только данные, к которым есть доступ у зараженного пользователя. Но в большинстве случаев у бухгалтеров оказались ограниченные права пользования, поэтому так и происходило. Если же у пострадавшего будут права администратора – может пострадать вся сеть.

Также в одном из образцов исследователи обнаружили утилиту Mimikatz. Это известный инструмент с открытым исходным кодом, который позволяет извлекать из памяти системы пароли. В случае с XData он может получить для вируса данные учетной записи администратора и распространиться на всю сеть.

Как распространяется?

Самым главным вопросом относительно вируса остается способ его распространения. Как он точно попадает в систему остается неизвестным. В словацкой антивирусной компании ESET на эту тему сообщили следующее:

“Исследователи ESET предполагают, что программа-вымогатель Win32/Filecoder.AESNI.C распространилась через украинскую систему автоматизации документооборота, которая широко используется в бухгалтерском учете. Поскольку коэффициент заражения остается низким, киберпреступники могли использовать социальную инженерию, например, вредоносные обновления программного обеспечения. Однако на данный момент исследования продолжаются и об этом еще рано говорить с абсолютной достоверностью”. 

Под системой автоматизации документооборота в ESET, скорее всего, подозревают M.E.Doc. Все опрошенные редакцией пострадавшие действительно пользовались этим ПО. Многие утверждали, что шифрование произошло после запуска его обновления, но так было не во всех случаях. Один из системных администраторов пострадавшей компании сообщил: “Обновления M.E.Doc не было. Вечером машина работала, а с утра не стартанула”. 

В самом M.E.Doc на днях выпустили официальное заявление относительно XData. Компания утверждает, что распространение вируса сразу после обновления их ПО – совпадение. Разработчик M.E.Doc “следит за безопасностью собственного кода”. Для этого компания заключила договоры с “крупными антивирусными компаниями” и предоставляет им исполняемые бинарные файлов на анализ и подтверждение безопасности. Разработчики заверили, что так происходит перед каждым обновлением.

Некоторые пострадавшие сообщили, что после очистки компьютера, повторная установка M.E.Doc с обновлениями не привела к повторному шифрованию. 

Распространение XData среди конкретного типа пользователей – бухгалтеров и почти исключительно в Украине указывает, что вероятной причиной может быть именно локальное профессиональное ПО. Но точные выводы можно сделать только после детального анализа пострадавших систем и образцов XData.

Как защититься?

Большинство популярных антивирусов уже обнаруживают вирус. Ресурс VirusTotal указывает, что XData определяют Avira, BitDefender, DrWeb, Eset, McAfee, TrendMicro, Avast, AVG, Microsoft, Malwarebytes, Symantec, украинский Zillya и другие.

Помимо антивирусной защиты стоит разделять учетные записи пользователей и администраторов, обновлять Windows и антивирусные базы, и быть осторожными с любыми вложениями в электронной почте. Но, фактически, полностью защититься от вирусов-шифровальщиков невозможно. Лучшим способом обезопасить данные – иметь их версионные резервные копии в защищенном от возможного заражения сети месте.

Что делать, если данные уже зашифрованы?

Для исследования вируса, понимания механизма его работы и поиска способа защиты от него, специалистам необходима информация с пострадавших компьютеров. Поэтому, если файлы уже зашифрованы, не стоит сразу бросаться чистить жесткий диск и восстанавливать его. Специалистам для анализа необходимы образы системы в целом, образцы вируса и лог-файлы системы.

Если вы пострадали – напишите нам на почту. Редакция сохранит конфиденциальность пострадавших и передаст образцы для исследования в антивирусные компании. Можно также самостоятельно загружать образцы на сайтах большинства крупных антивирусных вендоров. Это поможет ускорить работу над пониманием того, как работает XData. 

Пока возможности для расшифровки файлов нет. В случаях с вирусами-вымогателями она появляется не всегда. Так, для Wannacry есть некоторые инструменты, которые могут помочь расшифровать данные. Однако, они работают не во всех случаях.

Стоит также помнить, что сотрудничество с хакерами и выплата выкупа не гарантируют получения ключа для расшифровки. 

Если данные зашифрованы, с высокой вероятностью они не подлежат восстановлению. Хотя существуют такие ресурсы как NoMoreRansom, где можно найти инструменты для расшифровки данных после работы некоторых вирусов-вымогателей. 

Напомним, это не первая нацеленная на украинские компании атака. В марте на электронные адреса предпринимателей и госучреждений начали поступать сообщения якобы от ГФС. В них содержался вирус-шифровальщик.