Начиная с 18 мая украинские предприятия начали страдать от вирус-вымогателя XData. Он шифровал данные на серверах и компьютерах пользователей-бухгалтеров. Более 95% всех пострадавших от зловреда составили украинские компании. Во вторник, 30 мая, анонимный пользователь неожиданно опубликовал на форуме BleepingComputer приватный мастер-ключ для XData. Специалисты “Лаборатории Касперского” подтвердили его подлинность и добавили поддержку XData в собственное ПО дешифровки, сообщили в BleepingComputer. Дешифраторы выпустили также ESET и Avast.
За неделю, начиная с 18 мая, XData зашифровал данные на нескольких сотнях систем украинских предприятий, после чего его активность пошла на спад. Во всех случаях пострадавшими оказывались бухгалтеры. До сих пор исследователям не удалось установить точный способ заражения компьютеров.
Для шифрования XData использует алгоритм AES. Для расшифровки файлов был необходим приватный RSA-мастерключ. Именно его в теме для пострадавших от XData выложил анонимный пользователь на форуме BleepingComputer. Наиболее вероятным является то, что пользователь – один из авторов XData. Мотивы, по которым он решил поделиться с жертвами ключом для расшифровки файлов – не ясны.
Используя мастер-ключ в “Лаборатории Касперского” обновили собственное ПО для расшифровки ArakhniDecryptor. Начиная с версии 1.20.1.0 он способен расшифровывать пострадавшие от XData файлы. Работоспособность ArakhniDecryptor AIN.UA уже подтвердил один из пострадавших.
Через некоторое время после “Касперского” возможность расшифровки также появилась в инструментах от других антивирусных компаний – ESET и Avast. Скачать утилиту от Avast можно на официальном сайте компании. Программа по дешифровке от ESET сопровождается инструкцией и доступна по следующей ссылке. Ниже редакция приводит подробную инструкцию по дешифровке для инструмента “Лаборатории Касперского”, опубликованную на BleepingComputer.
Как расшифровать данные?
У пострадавших от вируса-вымогателя зашифрованные данные оказываются в формате [имяфайла].~xdata~ или [имяфайла].-xdata-.
Прежде чем приступить к расшифровке, если на зараженном компьютере еще не предпринимались никакие действия, необходимо завершить процесс вируса. Для этого необходимо открыть “Диспетчер задач” Windows с помощью комбинации Cntrl-Shift-Escape. Во вкладке “Процессы” нужно найти процессы msdns.exe, mssql.exe или mscom.exe, которые ассоциируются с вирусом. Их нужно выбрать и нажать кнопку “Завершить процесс”. После можете преступать к расшифровке.
Сперва нужно скачать специальное ПО – RakhniDecryptor (ссылка на прямое скачивание). Он доступен на сайте NoMoreRansom в разделе Decryption Tools. После скачивания и распаковки архива нужно запустить файл RakhniDecryptor.exe.
Вслед за нажатием на кнопку Start scan программа попросит выбрать один зашифрованный файл. Это может быть файл Microsoft Word или Excel, PDF, музыкальный файл или изображение. Не выбирайте текстовый файл (.txt) – он не подходит для расшифровки. Выбрав файл, нажмите “Открыть”.
После этого RakhniDecryptor просканинует весь компьютер и расшифрует пострадавшие файлы. Процесс расшифровки может занять длительное время. В конце появится окно, оповещающее о завершении сканирования. После дешифровки на жестком диске по-прежнему останутся и зашифрованные файлы. Их можно удалить.
Напомним, ранее мы подробно писали о том, что специалистам удалось выяснить об XData.