Антивирусные компании выпустили дешифратор для вируса-вымогателя XData: инструкция по дешифровке
Начиная с 18 мая украинские предприятия начали страдать от вирус-вымогателя XData. Он шифровал данные на серверах и компьютерах пользователей-бухгалтеров. Более 95% всех пострадавших от зловреда составили украинские компании. Во вторник, 30 мая, анонимный пользователь неожиданно опубликовал на форуме BleepingComputer приватный мастер-ключ для XData. Специалисты «Лаборатории Касперского» подтвердили его подлинность и добавили поддержку XData в собственное ПО дешифровки, сообщили в BleepingComputer. Дешифраторы выпустили также ESET и Avast.
Случаи заражение XData по данным сервиса ID-Ransomware
За неделю, начиная с 18 мая, XData зашифровал данные на нескольких сотнях систем украинских предприятий, после чего его активность пошла на спад. Во всех случаях пострадавшими оказывались бухгалтеры. До сих пор исследователям не удалось установить точный способ заражения компьютеров.
Для шифрования XData использует алгоритм AES. Для расшифровки файлов был необходим приватный RSA-мастерключ. Именно его в теме для пострадавших от XData выложил анонимный пользователь на форуме BleepingComputer. Наиболее вероятным является то, что пользователь — один из авторов XData. Мотивы, по которым он решил поделиться с жертвами ключом для расшифровки файлов — не ясны.
Используя мастер-ключ в «Лаборатории Касперского» обновили собственное ПО для расшифровки ArakhniDecryptor. Начиная с версии 1.20.1.0 он способен расшифровывать пострадавшие от XData файлы. Работоспособность ArakhniDecryptor AIN.UA уже подтвердил один из пострадавших.
Через некоторое время после «Касперского» возможность расшифровки также появилась в инструментах от других антивирусных компаний — ESET и Avast. Скачать утилиту от Avast можно на официальном сайте компании. Программа по дешифровке от ESET сопровождается инструкцией и доступна по следующей ссылке. Ниже редакция приводит подробную инструкцию по дешифровке для инструмента «Лаборатории Касперского», опубликованную на BleepingComputer.
Как расшифровать данные?
У пострадавших от вируса-вымогателя зашифрованные данные оказываются в формате [имяфайла].~xdata~ или [имяфайла].-xdata-.
Прежде чем приступить к расшифровке, если на зараженном компьютере еще не предпринимались никакие действия, необходимо завершить процесс вируса. Для этого необходимо открыть «Диспетчер задач» Windows с помощью комбинации Cntrl-Shift-Escape. Во вкладке «Процессы» нужно найти процессы msdns.exe, mssql.exe или mscom.exe, которые ассоциируются с вирусом. Их нужно выбрать и нажать кнопку «Завершить процесс». После можете преступать к расшифровке.
Сперва нужно скачать специальное ПО — RakhniDecryptor (ссылка на прямое скачивание). Он доступен на сайте NoMoreRansom в разделе Decryption Tools. После скачивания и распаковки архива нужно запустить файл RakhniDecryptor.exe.
Вслед за нажатием на кнопку Start scan программа попросит выбрать один зашифрованный файл. Это может быть файл Microsoft Word или Excel, PDF, музыкальный файл или изображение. Не выбирайте текстовый файл (.txt) — он не подходит для расшифровки. Выбрав файл, нажмите «Открыть».
После этого RakhniDecryptor просканинует весь компьютер и расшифрует пострадавшие файлы. Процесс расшифровки может занять длительное время. В конце появится окно, оповещающее о завершении сканирования. После дешифровки на жестком диске по-прежнему останутся и зашифрованные файлы. Их можно удалить.
Напомним, ранее мы подробно писали о том, что специалистам удалось выяснить об XData.
Комментарии | 20
Пробував відновити файли, які були «забекаплені» з пошифрованого ПК, перед тим як змінити там ОС — невозможно подобрать пароль.
Така ж сама помилка якщо рошифровувати файли з файлової шари 🙁
Охрана, отмена (с)
Забув перенести кеу-файл. З ним все розшифрувалося!
А що за key файл, де його взяти?
файл яки починається з назви ПК і має назву аля PC-02#1F4C8177B106831A934CA8130E4E1A14-#-2017518134735-120.key.~xdata~
Для Win7 лежить в C:programdata
Його треба покласти в папку з дешифровщиком?
да. я юзав консольну тулзу від ЕСЕТ. Запустив і вказав на якому диску шукати файли. він «з'їв» спочатку цей файл і далі почалась дешифрація
Надіюсь мені завтра допоможе, на двох компютерах бухгалтерів зашифрувало, образу після запуску поновлення m.e.doc
привет ключ осталься скинь мне пожалуста я попробую, а то я винду перестановил нету ключа(
а если перестановляна винда то його уже не найти?
Как вы можете пользоваться софтом от Касперского? Вы что!
є ще дешифратор від ЕСЕТ/Аваст 🙂
я переустановил винду, то уже не найти етого файла ключа в програм дата?
якщо його не зберегли — ні.
я в шоке
у мене такий файл був на робочому столі, можливо ви скопіювали всі файли з робочого столу чи бекап його зробили? У листі від хакерів ( HOW_CAN_I….) є кілька папок , де зберігався той ключ.
я винду переставил нету ево, можеш мне скинуть етот ключ что в тебя попробую может он и мне подойдет?
я б з радістю , але я той файл викинула у той же день. І вінду вже теж переставила. Можливо у бекапи зробили системи. Не думаю що підійде — за задумом хакерів ( так у листі принаймі вказано від них) він мав би бути унікальний, і назва дійсно така ж як назва компа.
в тя етого кей не осталось может он и мне подойдет?
в тебя ключа не осталось?
ключ є, але не думаю що він підійде )