Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry

В прошлый четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель (ransomware) XData.
Активность этого крипто-вымогателя пришлась на середину мая 2017 г.
Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Из 135 случаев инфицирования, которые были обнаружены на 19 мая текущего года, 95% случаев пришлось на украинских пользователей. (в реальности массштабы заражения намного выше)

Если сравнивать темпы распространения вымогателя XData с нашумевшим WannaCry, то окажется, что в Украине он распространяется вчетверо быстрее (в ID-Ransomware зафиксировали только 30 пострадавших от WannaCry украинцев из 200 тыс. жертв по всему миру). WannaCry уже заразила сотни тысяч систем по всему миру, но если учесть текущий уровень распространения XData-инфекции в Украине, России и Германии, глобальное влияние XData значительно превосходит WannaCry.

Зловред-вымогатель XData шифрует все файлы с помощью алгоритма AES, при этом рабочего способа расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. На данный момент курс биткоина составляет более $2100.

После шифрования все файлы имеют расширение .~xdata~
Вирус не меняет фон рабочего стола, не показывает уведомления, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files.txt, объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключи. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.

Отметим, что способ распространения и заражения компьютеров зловредом XData пока неизвестен, но скорее всего он попадает на компьютеры жертв путем фишинговых атак через электронные письма с зараженными вложениями, использование эксплойтов ОС, веб-инжектов, фальшивых рекламных ссылок, зараженных инсталляторов и т.д.
Среди украинских пострадавших в основном компьютерные сети компаний. Источники: BleepingComputer, ain.ua, itc.ua, id-ransomware.blogspot.com, blog.emsisoft.com
Полезные ссылки: ID Ransomware

Tets писал(а):

Flying_cat писал(а): Учим матчасть - я написал, что бэкапный сервер доступен ТОЛЬКО по SSH и никакие сетевые ресурсы на нём НЕ расшарены. Стыдно, батенька... Да да, расскажи мне про матчасть Если машина заражена, то давай, подключись хоть каким угодно способом к любому хранилищу и как бы не пришлось потом самому матчасть доучивать на тему использования различных удалёнок вируснёй.

Жду захватывающего рассказа как при передаче файлов по SCP можно заразить удалённый комп, на котором в принципе нельзя запустить ни exe, ни vbs ни что-либо из мира Виндовс

Kpacotka9 писал(а):

Maximus WannaCry разве нашумевший вирус?

Нашумевший, если даже на NNM (который многие в основе пользуют для скачки фильмов) идет обсуждение и некоторые варианты превентивной защиты озвучиваются. (имхо)
P.S. Я говорю только про накал обсуждения, не затрагивая квалификацию и предпочтения одноклубников

Flying_cat писал(а):

Жду захватывающего рассказа как при передаче файлов по SCP можно заразить удалённый комп, на котором в принципе нельзя запустить ни exe, ни vbs ни что-либо из мира Виндовс

Летающий кот , я великий и ужасный якорь падающий с небес посылаю тебя в сылку на хабр , найди там статью про Ebury. , вот тебе линк(хабр линк) на хабр , почитай.

Flying_cat
Главное убедить самого себя, что винды зло - там вирусы, а пингвины добро и вирусов там нету -)
А как интересно роутеры заражаются с пингвинами на борту? Это враки наверное, они же не могут виндовые ехе и скрипты запускать :D

Max_Alekseyev писал(а):

epuckop писал(а): В то время когда они в саду при полнолунье учили руский я в яслях соберал машинки на радио управлении. Одно другое не исключает

Исключает , документация или на английском или на китайском , иногда японскийи корейский

epuckop писал(а):

Летающий кот , я великий и ужасный якорь падающий с небес посылаю тебя в сылку на хабр , найди там статью про Ebury. , вот тебе линк(хабр линк) на хабр , почитай.

Спасибо, интересно, почитал, результат:
:~$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo «System clean» || echo «System infected»
«System clean»

Не понятен механизм заражения (невнимательно читал?)
ТО есть если получить рутовые права (как?) и заменить библиотеку то оно канешна, но как не описано..

AlexiSSG Не надо выдёргивать частично сказанное.

Tets писал(а):

Flying_cat Главное убедить самого себя, что винды зло - там вирусы, а пингвины добро и вирусов там нету -) А как интересно роутеры заражаются с пингвинами на борту? Это враки наверное, они же не могут виндовые ехе и скрипты запускать :D

Ссылочку плиз на описание заражения роутеров Mikrotik.

Flying_cat писал(а):

Спасибо, интересно, почитал, результат: :~$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo «System clean» || echo «System infected» «System clean» Не понятен механизм заражения (невнимательно читал?) ТО есть если получить рутовые права (как?) и заменить библиотеку то оно канешна, но как не описано..

Баг , был пофиксен.
А вот по поводу роутеров , так большинство взломов из за дефаулт пароля.
Реже из за бэкдора в прошивке.

epuckop писал(а):

Баг , был пофиксен. А вот по поводу роутеров , так большинство взломов из за дефаулт пароля. Реже из за бэкдора в прошивке.

То есть не "выиграл а проиграл, не в покер а в преферанс и вообще это был не Рабинович" (С) анекдот

Бэкдоры в прошивках - это штатно вообще, но роутеры с Линуксом - это Mikrotik, ссылочку на взлом так и не дождался я..
Ну дефолтные пароли только эникейщики не меняют. В общем как забавный факт - таки да, но на реальную опастность - не тянет. Нет?
Напоминает анекдот про линуксовый вирус: Скачайте меня, дайте мне атрибут x, рутовые права и запустите на исполнение...

Теоретические, если вирь умеет работать с winbox api+сохраняем в профиле винбокса пароль к роутеру, то как-то можно потопить кораблик. Но, вот чего-то нет и нет таких вирусов.

veranyon писал(а):

Теоретические, если вирь умеет работать с winbox api+сохраняем в профиле винбокса пароль к роутеру, то как-то можно потопить кораблик.

Да никто такие кучерявые конструкции строить не будет.

Max_Alekseyev писал(а):

Да никто такие кучерявые конструкции строить не будет.

Этим и занимаемся (если бы у бабки был пен***, то она была бы дедушкой
P.S. Не забыть бы саму тему, по-поводу которой обсуждение

Цитата:

Этим и занимаемся (если бы у бабки был пен***, то она была бы дедушкой P.S. Не забыть бы саму тему, по-поводу которой обсуждение

Напоминаю тему - вирусы - зло, живущее сами знаете где, бэкапы (правильном образом) рулят и позволяют поднять любой сервак минут за 40-50, ну остальное - понятно - с доказухой как-то не сложилось, впрочем как всегда

Flying_cat писал(а):

Напоминаю тему - вирусы - зло, живущее сами знаете где, бэкапы (правильном образом) рулят и позволяют поднять любой сервак минут за 40-50, ну остальное - понятно - с доказухой как-то не сложилось, впрочем как всегда

Никто не отменял бэкапы, но не надо лечить про понацею - Линукс, как то и без него обходимся...Без заражений, без обнов на винду, при 6 серверах, два из них IIS и 600 хостов...