четверг, 18 мая 2017 г.

XData

XData Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: XData. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AES-NI (stolen code) > ☠ XData

К зашифрованным файлам добавляется расширение .~xdata~

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи уже было известно о пострадавших из Украины и в меньшей степени из России. 
Ниже в комментариях можно прочитать, как проходила атака. Для наглядности график от компании Eset. 



Записка с требованием выкупа называется: HOW_CAN_I_DECRYPT_MY_FILES.txt

Содержание записки о выкупе:
Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.

Перевод записки на русский язык:
Ваши важные файлы зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.

👉 Записка о выкупе, email и ключи очень похожи на используемые ранее AES-NI, но известно, что его разработчик не использовал XData для атаки, значит исходники были у него украдены в период с февраля по март, т.е до апрельской версии. Это подтвердилось 24-25 мая, см. статью на BC

Особенности и отличия от AES-NI:
- отсутствие региональных ограничений, имеющихся в AES-NI;
- отсутствие C&C-сервера в Tor-сети;
- отсутствие инжекта (возможности внедряться) в выполняющийся процесс;
- не пишет ИД ключа и оригинальное имя файла в зашифрованный файл.

По сути это урезанная оффлайн-версия AES-NI, но со всем рабочим функционалом.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~

Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать XDataDecrypter для дешифровки >>
Инструкция по дешифровке прилагается. 
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XData)
 Write-up (add. May 25, 2017)
 Video review 
 Thanks: 
 S! Ri
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 ESET

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

59 комментариев:

  1. Редкостная пакость... Сегодня подхватили всей офисной сетью... Кто сталкивался и получилось ли у кого декриптить?

    ОтветитьУдалить
    Ответы
    1. Наша сеть фиры вчера тоже так зашифровали. Личение пока нет.

      Удалить
  2. Заразился сервер на базе Windows 2008 через пользовательскую ограниченную учётную запись. Бухгалтер почту и соц. сети просматривала. Прав на установку не имела. Кто-нибудь дешифровал?

    ОтветитьУдалить
    Ответы
    1. Этот комментарий был удален автором.

      Удалить
  3. бъемся уже сутки. 2 волны. вторая убила все. скорость шифрования меня убила. пока результаты нулевые. слежу за вирусинфо и сам туда же выкладываю свою ветку

    ОтветитьУдалить
  4. Вчера зашифровались данные почти у всего офиса, на компьютерах под управлением Windows 7, Windows 10, Windows Server 2008 R2. Что делать и как от него защититься пока не знаем. Wana Decryptor цветочки по сравнению с ним.

    ОтветитьУдалить
    Ответы
    1. Этот комментарий был удален автором.

      Удалить
  5. Тоже вчера поймали. Как ни странно, базы 1С не пострадали, и бекапы баз тоже.

    ОтветитьУдалить
  6. SpyHunter4 поймал как зараженый Explorer(файловый менеджер). Где тем експлорером ходили -те папки и пошифровал. Спасло, что аккаунт был не админ. Остались апрельские бекапы...

    ОтветитьУдалить
  7. также запустил по комменту Николая. насыпалось много модификаторов. еще сканит.

    ОтветитьУдалить
  8. А как быть если и база 1с и бекапы зашифрованы?

    ОтветитьУдалить
  9. Сегодня словили такого же зверя. Повалил все и вся.

    ОтветитьУдалить
  10. Мне так не подойдет у меня завод(( может кто знает как расшифровать?

    ОтветитьУдалить
    Ответы
    1. Этот комментарий был удален автором.

      Удалить
  11. ВНИМАНИЕ! Сайт tipsforfixpc.com ворует информацию, не предоставляя ссылку на источник, вот даже картинку из этой статьи украл. Сайт uninstallmalwaretips.com - полная чушь по удалению. Эти два сайта рекламируют услуги Enigma и SpyHunter. Там вы никогда не найдет дешифраторов.
    Нет возможности отредактировать посты, потому ссылки и посты будут удалены.
    За помощью обращайтесь на форум
    https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

    ОтветитьУдалить
  12. Кто может подсказать чем насканить его можно, или только вручную? Десяток машин под подозрением.

    ОтветитьУдалить
    Ответы
    1. Выше есть ссылка на анализ VirusTotal. Открываете, смотрите детекты антивирусных движков. Выбирает наиболее вам подходящий или где название более понятно, например, Kaspersky, DrWeb или TrendMicro. Этим и проверяете, тем более у DrWeb и Kaspersky есть бесплатный сканер.

      Удалить
  13. И вся эта гадость полезла из обновлений МЕДок! Сволочи эти ещё и цену собираются с 900 грн. поднять с 1 июня до 2500 в год! Они не только себя защитить не могут, но и всех своих клиентов наказали, уроды! Как можно им доверять? А если у кого-то полная версия, с возможностью оплаты счетов через МЕДок? Это ещё цветочки, что этот гадский вирус наделал, а если бы он пароли стырил и деньги со счетов предпринимателей слизал, что бы тогда все запели?
    Нужно звонить в МЕДок и жаловаться, пусть возмещают!

    ОтветитьУдалить
    Ответы
    1. Для читателей: M.E.Doc - это программа с сайта me-doc.com.ua
      Информация об атаке:
      me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor

      Удалить
    2. Юлия, а откуда у вас такая уверенность что пришло из МЕДок?

      Удалить
    3. Потому как сама запустила обновление МЕДок на автомате, даже не был открыт ни один браузер. Ничего другого в этот день не то что ни скачивала, даже в инет не выходила. Скачала обновление, всё ещё казалось нормально, а как запустила обновлённый ezvit.exe - всё слетело. Сначала повис сам МЕДок, затем первыми (за секунды прямо на глазах) слетел БУЗок, который там же лежал и в считанные секунды накрылось всё!
      У троих знакомых бухгалтеров та же фигня после запуска обновлений МЕДок! Одни даже сетевую версию обновили и вся сеть из 5 компов на работе накрылась.

      Удалить
  14. Ведем переписку с вымогателями, вот их биткойн счет, на который они требуют отправить деньги
    https://blockchain.info/address/1JPEhf1buksBRyEsUESEfF5QCXNXLAqzh3

    ОтветитьУдалить
    Ответы
    1. Число транзакций: 4
      Всего получено: 0.7 BTC
      Итоговый баланс: 0.7 BTC

      Удалить
    2. Этот комментарий был удален автором.

      Удалить
  15. Пострадавшие от XData в основном из Украины: Киев, Харьков, Одесса.
    В других городах есть пострадавшие серверы и компьютерные сети?

    ОтветитьУдалить
  16. Тоде попался с xdata. Не все было в бекапах. Надеюсь будет дешифратор. 2008е и 2003е серваки покосило. 12й и 16й не тронуло.

    ОтветитьУдалить
    Ответы
    1. Этот комментарий был удален автором.

      Удалить
  17. Принесли ноут с XDATA.
    Расширения файлов изменены на ~xdata~, в корне диска С лежит ключ, вобщем все как положено.
    Однако вcе файлы "HOW_TO_..." пустые, без текста.
    Прогнал антивирусом, потом восстанавливал файлы, извлекал из теневой копии...
    Восстановление не помогло, восстановило все, кроме того, что нужно.
    Затем открыл переименованный xls файл блокнотом, и увидел нечто похожее на нормальный
    файл. Убрал ~xdata~ - файл совершенно нормально открылся. Переименовал все остальные файлы.
    Фото, видео открываются вообще без проблем. Документы MS офиса некоторые открываются с ошибками, но после предложения восстановить выглядят совершенно нормально.
    База 1C 8.2 после переименования при запуске выдала "Ошибку потока...", которая пропала после
    восстановлеия стандартной утилитой. Насколько с ней можно работать узнаю только завтра.

    ОтветитьУдалить
    Ответы
    1. Спасибо, будем рекомендовать пробовать этот способ. Да, так бывает, иногда файлы могут быть не зашифрованы, хотя внешне выглядят как зашифрованные.

      Удалить
  18. Upd: C базой 1C работать можно.

    ОтветитьУдалить
  19. скорее всего уже делали дешифровку на ноуте.

    ОтветитьУдалить
    Ответы
    1. Если на том, что был у меня, то дешифровку точно не делали.
      Просто повезло.

      Удалить
  20. Доброго времени суток, столкнулся с этой гадкой проблемой. На предприятии заразился одни комп, Word и Excel файлы улетели, т.е, открыть и сделать с ними ничего не возможно. Пришлось удалять. Лекарства и средства его восстановления нет, по крайне мере сейчас. Пришлось формат всего переустановка. На других компьютерах полегче, заразились только лишь папка, которая была в общем доступе в сети. Посмотри в папках пользователь Public удалите там все. Сделайте бекапы, или скиньте фалйлы в облако, По крайней мере это хоть как то спасет Вас. Всем добра

    ОтветитьУдалить
    Ответы
    1. Александр, выше Сергей (28 мая) сообщил, что иногда по какой-то причине файлы могут быть не зашифрованы. Попробуйте его способ с удалением добавленного расширения.

      Удалить
    2. было уже это испробовано, но результатов не дало

      Удалить
  21. могу одно сказать , те кто еще не заразился, храни вас облако и бэкап. Вирусняк шагает по всей Украине.

    ОтветитьУдалить
    Ответы
    1. А в Россию вернулся шифровальщик Ishtar, да и WanaCrypt0r и Spora еще не уходили, каждую неделю с новой силой начинают.

      Удалить
  22. Если файлы или базы больше (точно минимума обема шифрования пока не знаю) то Хдата не шифрует весь файл а только часть(и). В моем случае если файл больше 10 мб, то зашифрована только треть и пару десятков байт в конце. Соответственно нужное (>95 актуальной информации в 1с7 за последние дни восстановил )

    ОтветитьУдалить
  23. Данные из городов: Киев, Чернигов, Харьков, Полтава, Черкассы, Днепропетровск, Донецк, Кировоград, Одесса, Николаев, Херсон, Каховка, Ровно, Тернополь, Ивано-Франковск и другие.

    ОтветитьУдалить
  24. Уже в открытом доступе есть мастер ключ, и расшифровщик от касперского RakhniDecryptor,
    версия >= 1.20.1.0 (http://www.nomoreransom.org/uploads/RakhniDecryptor.zip). Щас колбасит и расшифровывает мне данные на сервере))) подробней в статье https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/

    ОтветитьУдалить
  25. уже есть расшифровшик от касперского - RakhniDecryptor 1.20.1.0 (http://www.nomoreransom.org/uploads/RakhniDecryptor.zip)
    Подробности и инструкция в статье: https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/
    У меня уже на сервере в поте лица все расшифровывает))

    ОтветитьУдалить
  26. вышла обновлённая утилита RakhniDecryptor Версия 1.20.0.0 Updated 26.05.2017
    там вроде как поддерживается расшифровка Xdata. надо бы проверить, у меня такой возможности нет.

    ОтветитьУдалить
  27. операторы ХДаты слили мастер ключ, ждите декрипт.
    либо юзайте их декрипт он тоже построены на старых исходниках АЕСНИ
    или вот инструкция
    https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/

    ОтветитьУдалить
  28. у меня утилита от касперского не работает - "cannot recover password "

    ОтветитьУдалить
  29. 15:21:28.0265 0x0984 AesNi: cannot restore session RSA keys
    15:21:28.0266 0x0984 Decryptor #0: cannot recover password

    пока декриптор не работает

    ОтветитьУдалить
  30. Из трех декрипторов avast_decryptor__xdata.exe, RakhniDecryptor, esetaesnidecryptor.exe у меня сработал только последний esetaesnidecryptor.exe от Eseta, ссылка http://support.eset.com/kb6467/ условие чтобы сработал нужно положить рядом ключ который оставляет вирус вида имя_компа#ххх.key.~xdata~

    ОтветитьУдалить
    Ответы
    1. Спасибо. Добавил информацию и ссылку на статью от ESET.
      http://decryptors.blogspot.ru/2017/05/aes-ni-xdata-decrypter.html

      Удалить
  31. Этот комментарий был удален автором.

    ОтветитьУдалить
  32. привет.
    ключ нашел, скачал есетовскую утилиту
    но эффект нулевой ( ключ говорит дешифровало и все (
    остальные файлы просто error! подскажите куда копать ?
    аваст и каспер тоже не помогли (*! http://moifotki.org/i/c26598c4b4b44de690591a00c0a93bf7

    ОтветитьУдалить
  33. Очень похоже что утилите не хватает прав, Вы cmd запускали от имени администратора ?
    Ключ лучше положить отдельно от зашифрованных файлов, его дешифровать не нужно.

    ОтветитьУдалить
    Ответы
    1. привет, да именно от Администратора (!
      по поводу ключа ! спасибо, в другое место его скину )
      спасибо !)

      Удалить
    2. Здесь мой ответ прочитали? http://decryptors.blogspot.ru/2017/05/aes-ni-xdata-decrypter.html

      Удалить
  34. расшифровал фото с помощью декрипта от ЕСЕТ, базы 1с он почему-то не осилил - тут справился аваст
    спасибо всем причастным к созданию этих утилит

    ОтветитьУдалить
  35. Удалось расшифровать все что было пошифровано этой гадостью. Наиболее адекватно отработала утилита от есет. Частично инфа таки потеряна. Но тому другие причины.

    ОтветитьУдалить

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *