четверг, 18 мая 2017 г.

XData

XData Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: XData. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AES-NI (stolen code) > XData

К зашифрованным файлам добавляется расширение .~xdata~

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи уже было известно о пострадавших из Украины и в меньшей степени из России. 
Ниже в комментариях можно прочитать, как проходила атака. Для наглядности график от компании Eset. 



Записка с требованием выкупа называется: HOW_CAN_I_DECRYPT_MY_FILES.txt

Содержание записки о выкупе:
Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.

Перевод записки на русский язык:
Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.

👉 Записка о выкупе, email и ключи очень похожи на используемые ранее AES-NI, но известно, что его разработчик не использовал XData для атаки, значит исходники были у него украдены в период с февраля по март, т.е до апрельской версии. Это подтвердилось 24-25 мая, см. статью на BC

Особенности и отличия от AES-NI:
- отсутствие региональных ограничений, имеющихся в AES-NI;
- отсутствие C&C-сервера в Tor-сети;
- отсутствие возможности внедряться в другой выполняющийся процесс;
- не пишет ИД ключа и оригинальное имя файла в зашифрованный файл.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~

Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XData)
 Write-up (add. May 25, 2017)
 Video review 
 Thanks: 
 S! Ri
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

27 комментариев:

  1. Редкостная пакость... Сегодня подхватили всей офисной сетью... Кто сталкивался и получилось ли у кого декриптить?

    ОтветитьУдалить
    Ответы
    1. Наша сеть фиры вчера тоже так зашифровали. Личение пока нет.

      Удалить
  2. Заразился сервер на базе Windows 2008 через пользовательскую ограниченную учётную запись. Бухгалтер почту и соц. сети просматривала. Прав на установку не имела. Кто-нибудь дешифровал?

    ОтветитьУдалить
    Ответы
    1. напишите на почту aes-ni@scryptmail.com
      мне нужны от вас некоторые детали.

      Удалить
  3. бъемся уже сутки. 2 волны. вторая убила все. скорость шифрования меня убила. пока результаты нулевые. слежу за вирусинфо и сам туда же выкладываю свою ветку

    ОтветитьУдалить
  4. Вчера зашифровались данные почти у всего офиса, на компьютерах под управлением Windows 7, Windows 10, Windows Server 2008 R2. Что делать и как от него защититься пока не знаем. Wana Decryptor цветочки по сравнению с ним.

    ОтветитьУдалить
    Ответы
    1. ну правильно, софт разрабатывался для атак на корпоративный сегмент сети.
      за 1-2 часа сетка будет покрыта фулл

      если у вас есть возможность отпишите на почту
      aes-ni@scryptmail.com

      Удалить
  5. Тоже вчера поймали. Как ни странно, базы 1С не пострадали, и бекапы баз тоже.

    ОтветитьУдалить
  6. SpyHunter4 поймал как зараженый Explorer(файловый менеджер). Где тем експлорером ходили -те папки и пошифровал. Спасло, что аккаунт был не админ. Остались апрельские бекапы...

    ОтветитьУдалить
  7. также запустил по комменту Николая. насыпалось много модификаторов. еще сканит.

    ОтветитьУдалить
  8. А как быть если и база 1с и бекапы зашифрованы?

    ОтветитьУдалить
  9. Сегодня словили такого же зверя. Повалил все и вся.

    ОтветитьУдалить
  10. Мне так не подойдет у меня завод(( может кто знает как расшифровать?

    ОтветитьУдалить
    Ответы
    1. дешифровка возможна только с помошью приватного RSA ключа.

      Удалить
  11. ВНИМАНИЕ! Сайт tipsforfixpc.com ворует информацию, не предоставляя ссылку на источник, вот даже картинку из этой статьи украл. Сайт uninstallmalwaretips.com - полная чушь по удалению. Эти два сайта рекламируют услуги Enigma и SpyHunter. Там вы никогда не найдет дешифраторов.
    Нет возможности отредактировать посты, потому ссылки и посты будут удалены.
    За помощью обращайтесь на форум
    https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

    ОтветитьУдалить
  12. Кто может подсказать чем насканить его можно, или только вручную? Десяток машин под подозрением.

    ОтветитьУдалить
    Ответы
    1. Выше есть ссылка на анализ VirusTotal. Открываете, смотрите детекты антивирусных движков. Выбирает наиболее вам подходящий или где название более понятно, например, Kaspersky, DrWeb или TrendMicro. Этим и проверяете, тем более у DrWeb и Kaspersky есть бесплатный сканер.

      Удалить
  13. И вся эта гадость полезла из обновлений МЕДок! Сволочи эти ещё и цену собираются с 900 грн. поднять с 1 июня до 2500 в год! Они не только себя защитить не могут, но и всех своих клиентов наказали, уроды! Как можно им доверять? А если у кого-то полная версия, с возможностью оплаты счетов через МЕДок? Это ещё цветочки, что этот гадский вирус наделал, а если бы он пароли стырил и деньги со счетов предпринимателей слизал, что бы тогда все запели?
    Нужно звонить в МЕДок и жаловаться, пусть возмещают!

    ОтветитьУдалить
    Ответы
    1. Для читателей: M.E.Doc - это программа с сайта me-doc.com.ua
      Информация об атаке:
      me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor

      Удалить
    2. Юлия, а откуда у вас такая уверенность что пришло из МЕДок?

      Удалить
  14. Ведем переписку с вымогателями, вот их биткойн счет, на который они требуют отправить деньги
    https://blockchain.info/address/1JPEhf1buksBRyEsUESEfF5QCXNXLAqzh3

    ОтветитьУдалить
    Ответы
    1. Число транзакций: 4
      Всего получено: 0.7 BTC
      Итоговый баланс: 0.7 BTC

      Удалить
    2. если есть возможность, напишите на эту почту
      aes-ni@scryptmail.com

      Удалить
  15. Пострадавшие от XData в основном из Украины: Киев, Харьков, Одесса.
    В других городах есть пострадавшие серверы и компьютерные сети?

    ОтветитьУдалить
  16. Тоде попался с xdata. Не все было в бекапах. Надеюсь будет дешифратор. 2008е и 2003е серваки покосило. 12й и 16й не тронуло.

    ОтветитьУдалить

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *