| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 19 лет 6 мес.
Сообщений: 6378
Ratio: 25.214
Поблагодарили: 13425
100%
|
В прошлый четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель (ransomware) XData. Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Из 135 случаев инфицирования, которые были обнаружены на 19 мая текущего года, 95% случаев пришлось на украинских пользователей. (в реальности массштабы заражения намного выше)Если сравнивать темпы распространения вымогателя XData с нашумевшим WannaCry, то окажется, что в Украине он распространяется вчетверо быстрее (в ID-Ransomware зафиксировали только 30 пострадавших от WannaCry украинцев из 200 тыс. жертв по всему миру). WannaCry уже заразила сотни тысяч систем по всему миру, но если учесть текущий уровень распространения XData-инфекции в Украине, России и Германии, глобальное влияние XData значительно превосходит WannaCry. Зловред-вымогатель XData шифрует все файлы с помощью алгоритма AES, при этом рабочего способа расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. На данный момент курс биткоина составляет более $2100. После шифрования все файлы имеют расширение .~xdata~Вирус не меняет фон рабочего стола, не показывает уведомления, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files.txt, объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключи. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.
 | Цитата: | Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc. Encryption was prodused using unique public key for this computer. To decrypt files, you need to obtain private key and special tool. To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension. Depending on your operation system version and personal settings, you can find it in: 'C:/', 'C:/ProgramData', 'C:/Documents and Settings/All Users/Application Data', 'Your Desktop' folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~'). Then send it to one of following email addresses: begins@colocasia.orgbilbo@colocasia.orgfrodo@colocasia.orgtrevor@thwonderfulday.combob@thwonderfulday.combil@thwonderfulday.comYour ID: [PC-NAME]#[VICTIM_ID] Do not worry if you did not find key file, anyway contact for support. |
Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д. Шифрование сделано с уникальным открытым ключом для этого компьютера. Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент. Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'. В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках: 'C:/', 'C:/ProgramData', 'C:/Documents and settings/All Users/Application Data', 'Your Desktop' (напр. 'C:/PC-TTT54M#45CD.key.~xdata~'). Затем отправьте его на один из следующих email-адресов: beqins@colocasia.orgbilbo@colocasia.orgfrodo@colocasia.orgtrevor@thwonderfulday.combob@thwonderfulday.combil@thwonderfulday.comВаш ID: ****** Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки. Отметим, что способ распространения и заражения компьютеров зловредом XData пока неизвестен, но скорее всего он попадает на компьютеры жертв путем фишинговых атак через электронные письма с зараженными вложениями, использование эксплойтов ОС, веб-инжектов, фальшивых рекламных ссылок, зараженных инсталляторов и т.д. Среди украинских пострадавших в основном компьютерные сети компаний. Файлы, подвергающихся шифрованию:Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware:msaddc.exe mscomrpc.exe msdcom.exe msdns.exe mssecsvc.exe mssql.exe HOW_CAN_I_DECRYPT_MY_FILES.txt .key.~xdata~ Расположения:C:/ C:/ProgramData C:/Documents and settings/All Users/Application Data /Desktop (в реальности известно что такие файлы остаются и во многих других папках, где были файлы и даже в пустых)Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: См. ниже результаты анализов. Результаты анализов: Гибридный анализ, VirusTotal анализ Источники: BleepingComputer, ain.ua, itc.ua, id-ransomware.blogspot.com, blog.emsisoft.comПолезные ссылки: ID Ransomware |
_________________
Миром правит не тайная ложа, а явная лажа. © В. Пелевин.
|
|
 |
XitrLIS
Стаж: 16 лет 5 мес.
Сообщений: 1501
Ratio: 4.925
100%
|
| Цитата: | Вот Вы, лично Вы, господин XitrLIS, можете утверждать что "даные бяки удаляют файлы теневого копирования" у юзверя, который сидит без админовских прав ?
Или у него были права? Вы это видели и подтверждаете ? Или это на уровне "мне тут соседка сказала" ? Или в газетах писали? |
ты как в детском саду не можешь погуглить как работал данный зловред и через какую уязвимость ОС он попадал на пк но раз ты ещё это не умееш то я тебе помогу главное не хныкай  |
|
|
|
|
gleb_khil
Стаж: 13 лет 1 мес.
Сообщений: 2
Ratio: 1.865
0.34%
|
тоже сервера предприятия пострадали от этой заразы |
|
|
|
|
СуперДруг
Стаж: 14 лет 8 мес.
Сообщений: 116
Ratio: 2.533
49.93%
|
расшифровщики то когда можно скачать? А то столько народу семейные фото видио потеряли и музыку и документы... Порабы расшифрофщики в ход пускать. А может как обычно его создать такой же хакер только пойманый и переманиный на строну СВЕТА И ДОБРА) |
|
|
|
|
veranyon
Стаж: 16 лет
Сообщений: 448
Ratio: 63.471
100%
|
Держу zfs и снимки важных датасетов, что смотрят самбой на клиентов, как уже года 4. Какой зачем вирус.
Да и даже, еслиб не вирус не представляю, как на клиентских машинах можно держать документы. |
|
|
|
|
Gladius333
Стаж: 10 лет 2 мес.
Сообщений: 27
Ratio: 8.043
0.25%
|
comtdk писал(а):  | Kali Linux forever! Ставим вайн 2.0, цапаем вирусню, реверс-иженерим, дебажим, меняем номер биткоин-кошелька, собираем, распространяем.... Профит!   |
Когда все сигнатуры их определяют? другое дело подхватить и дополнить, хотя там у всех одни инструментарий, которые кто то слил с баз анб и т.д. Ну я их понимаю, легко наживаться не на своем труде. |
|
|
|
|
veranyon
Стаж: 16 лет
Сообщений: 448
Ratio: 63.471
100%
|
| Max_Alekseyev писал(а): |
Да какой в баню Линух? Есть задачи - есть решения. Где АрхиКад, АвтоКад, Фотошоп, Иллюстратор, Синема4Д, КварЭкспресс, зД Макс, звуковой софт и т.д. под него? 10 лет человек за компом сидит, а мозгов не прибавилось. Детский сад. Еще и рассуждаем о некомпетентности, когда общее понимание ситуации базируется на древней сентенции "Виндоуз - сакс, Линукс - рулез" достойной одноклеточного.
|
os x. Ну, вместо 3д макса можно и майю пользовать. Да и со звуковым софтом не плохо. Не говоря про видео. |
|
|
|
|
Gladius333
Стаж: 10 лет 2 мес.
Сообщений: 27
Ratio: 8.043
0.25%
|
| lilolil писал(а): | | DrEn0r писал(а): | Как стра... |
у меня так 5 террабайтников WD My Passport портативные и основной террабайтник в компе, вообще не парюсь чего там залетит, основное все на портативках. За это время уже 2 жестких "погарело", а портативным хоть бы что, и да, никогда не покупайте Seagate. |
Да? -__- у меня сколько их было ни разу проблем нет, портативки. | Chypachyps13 писал(а): | Это уже не смешно. На рабочем пк месяца 2-3 назад коллеги поймали вирус, в итоге не было ни одной точки восстановления и отдали злоумышленникам ~14к рублей. Тогда курс биткойнов был что-то сродни 1бит за 70к, Сейчас курс 123к.... как-то слишком резко он скакнул... с чего бы это. Думаю вот может купить себе битов..... |
Ну это как доллар, пока есть спрос будет дорожать. | veranyon писал(а): | | Max_Alekseyev писал(а): |
Да какой в баню Линух? Есть задач.....
|
os x. Ну, вместо 3д макса можно и майю пользовать. Да и со звуковым софтом не плохо. Не говоря про видео. |
Мая труднее, чтобы его освоить надо хорошо знать 3д макс. П.С говорю так как знаю одного дизайнера он мне об этом говорил, сказал что те кто умеет ей пользоваться, можно на пальцах посчитать. Ох и запарился же, я редактировать это сообщение... Столько полезной инфы, да и время я угробил, пока редактировал половину потерял, ладно.-_0 |
|
|
|
|
Kalex
Администратор
Стаж: 18 лет 7 мес.
Сообщений: 48807
Ratio: 260.768
Поблагодарили: 16328
100%
|
| XitrLIS писал(а): | есть одна махенькая проблема даные бяки удаляют файлы теневого копирования и затирают место на накопители много кратной записью |
XData не удаляет теневые копии, судя по ноутбуку, попавшему мне в руки 18 числа. Теневые копии по умолчанию создаются не слишком часто и по умолчанию отключены на дисках, кроме системного, а если это домашний компьютер и особенно *сборка, где некоторые товарищи заботливо отключают VSS, живя мифами что это снижает быстродействие системы, то пользователь не может рассчитывать даже на это. Но не исключено что в любой момент XData будет усовершенствован и станет более агрессивным. |
|
|
|
|
Maushom
Стаж: 13 лет 10 мес.
Сообщений: 7
Ratio: 15.808
100%
|
К большому сожалению антивирус Касперского не спасет совсем( В корпоративной сети с очень жесткими ограничениями, почти все компьютеры которые были включены после 20ч оказались заражены вирусом WannaCry(((( Хорошо что их было не много. |
|
|
|
|
Aleksandriks
Стаж: 12 лет 2 мес.
Сообщений: 102
Ratio: 1.969
0%
|
| Мега_Саня писал(а): | Как хорошо, что мне нечего терять))) |
Терять всегда что есть, фото дитей, какие-то программы и тд,не критично но всё-же, я на такой случай и другие (например вылет жёсткого) хотя-бы фото синхронизирую с "облаком" |
|
|
|
|
DRE-W
Стаж: 13 лет 2 мес.
Сообщений: 32
Ratio: 6.696
12.4%
|
а саму возможность шифрования нельзя вырубить в системе?
/нет |
|
|
|
|
TREGU
Стаж: 14 лет
Сообщений: 392
Ratio: 6.767
Раздал: 5.103 TB
100%
Откуда: УКРАЇНА
|
|
|
|
veranyon
Стаж: 16 лет
Сообщений: 448
Ratio: 63.471
100%
|
Если XData основан все на той же уязвимости smb1, то хоть он XData трижды, разница? Все равно все скоро зашьются от этой дырки. Добавлено спустя 4 минуты 29 секунд: | Aleksandriks писал(а): |
Терять всегда что есть, фото дитей, какие-то программы и тд,не критично но всё-же, я на такой случай и другие (например вылет жёсткого) хотя-бы фото синхронизирую с "облаком"
|
Общался с техсаппортом всяких yandex, google. Это про облако. Там версионность снимков, вроде как, не того - не поддерживается. Если только руками синхрон делать. Но можно и косяк сделать. Случайно не заметить зашифрованные файлы, которые пойдут в облако вместо нормальных. Нормальные файлы начнут удаляться. Если только корзина сработает. В случае с web управлением файлами она да - работает. А вот при синхроне в облако. Блин. Лень пробовать заводить приложение под это дело. |
|
|
|
|
Jackzlo
Стаж: 15 лет 1 мес.
Сообщений: 295
Ratio: 2.574
54.17%
|
| Pahanblch писал(а): | если интересно что такое Linux, почитайте в безграничном интернете, там с "вирусами\прочей дрянью" в разы проще  |
Уже на Линуксе, в песочнице ковыряет: |
|
|
|
|
XitrLIS
Стаж: 16 лет 5 мес.
Сообщений: 1501
Ratio: 4.925
100%
|
| Цитата: | саму возможность шифрования нельзя вырубить в системе? |
нет так как это просто программ которая работает с повышенными правами как обычный пользователь тем более она НЕ трогает системные файлы  |
|
|
|
|
|
|
|
