Интеллигентный торрент-трекер
canvas not supported
Нас вместе: 4 315 097

Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry


Страницы:   1, 2, 3 ... 12, 13, 14  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости
Автор Сообщение
Maximus ®
Вольный стрелок
Стаж: 10 лет 10 мес.
Сообщений: 1974
Ratio: 24,796
Поблагодарили: 12122
100%
nnm-club.gif
В прошлый четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель (ransomware) XData.
Активность этого крипто-вымогателя пришлась на середину мая 2017 г.
Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Из 135 случаев инфицирования, которые были обнаружены на 19 мая текущего года, 95% случаев пришлось на украинских пользователей. (в реальности массштабы заражения намного выше)

Если сравнивать темпы распространения вымогателя XData с нашумевшим WannaCry, то окажется, что в Украине он распространяется вчетверо быстрее (в ID-Ransomware зафиксировали только 30 пострадавших от WannaCry украинцев из 200 тыс. жертв по всему миру). WannaCry уже заразила сотни тысяч систем по всему миру, но если учесть текущий уровень распространения XData-инфекции в Украине, России и Германии, глобальное влияние XData значительно превосходит WannaCry.

Зловред-вымогатель XData шифрует все файлы с помощью алгоритма AES, при этом рабочего способа расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. На данный момент курс биткоина составляет более $2100.

После шифрования все файлы имеют расширение .~xdata~
Вирус не меняет фон рабочего стола, не показывает уведомления, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files.txt, объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключи. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.

YouTube
Цитата:
Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc.

Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.

To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and Settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').

Then send it to one of following email addresses:

begins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com

Your ID: [PC-NAME]#[VICTIM_ID]

Do not worry if you did not find key file, anyway contact for support.
Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.
Отметим, что способ распространения и заражения компьютеров зловредом XData пока неизвестен, но скорее всего он попадает на компьютеры жертв путем фишинговых атак через электронные письма с зараженными вложениями, использование эксплойтов ОС, веб-инжектов, фальшивых рекламных ссылок, зараженных инсталляторов и т.д.
Среди украинских пострадавших в основном компьютерные сети компаний.
Файлы, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~

Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop
(в реальности известно что такие файлы остаются и во многих других папках, где были файлы и даже в пустых)

Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов.

Сетевые подключения и связи: См. ниже результаты анализов.

Результаты анализов: Гибридный анализ, VirusTotal анализ
Источники: BleepingComputer, ain.ua, itc.ua, id-ransomware.blogspot.com, blog.emsisoft.com
Полезные ссылки: ID Ransomware

_________________
Люди, которые читают книги, всегда будут управлять теми, кто смотрит телевизор.
www2k
Стаж: 5 лет 9 мес.
Сообщений: 127
Ratio: 9,689
7.24%
russia.gif
Представляю как один вирус зашифрует файлы, а потом другой ещё раз :)
Мега_Саня
Стаж: 5 лет 3 мес.
Сообщений: 452
Ratio: 3,546
Раздал: 1,218 TB
Поблагодарили: 470
100%
Откуда: Созв. Тельца, Альдебаран
pirates.png
Как хорошо, что мне нечего терять)))
ksаrdаs
Стаж: 6 лет 9 мес.
Сообщений: 603
Ratio: 4,729
94.52%
Откуда: Херсон
ukraine.gif
Интересно а как же аутпост например они обходят , ведь он не должен давать возможность изменения файлов
Kalex
Администратор
Стаж: 9 лет 11 мес.
Сообщений: 25845
Ratio: 38,225
Поблагодарили: 12843
100%
nnm-club.gif
Мега_Саня писал(а): Перейти к сообщению
Как хорошо, что мне нечего терять)))

Между прочим, доподлинно известно что системные desktop.ini и много чего другого он тоже шифрует, поэтому даже на свежеустановленной системе без пользовательских файлов это тоже доставляет хлопот...

_________________
NNMClub и IPv6/Teredo
... если преступников недостаточно, их надо создавать. Кому нужна нация, состоящая сплошь из законопослушных граждан? Какая от нее польза? А вот издайте законы, которые нельзя ни соблюдать, ни проводить в жизнь, ни объективно трактовать, и вы получите нацию нарушителей, а значит, сможете заработать на преступлениях... /Айн Рэнд, «Атлант расправил плечи»/
mesergal
Стаж: 6 лет 11 мес.
Сообщений: 45
Ratio: 4,038
3.54%
Сегодня на работе это чудо похе...л все данные. Даже антивируску. Комп находился в корпоративной сети.
kfcon​tende​r​
Стаж: 7 лет 2 мес.
Сообщений: 451
Ratio: 52,702
Поблагодарили: 1
62.39%
russia.gif
Мега_Саня писал(а): Перейти к сообщению
Как хорошо, что мне нечего терять)))

А как же цепи??? ))

_________________
Космос - это хорошо... там нет людей и воздух чище... и сингулярностей полно.
shoni13
Стаж: 7 лет 1 мес.
Сообщений: 389
Ratio: 4,307
27.87%
russia.gif
Я что-то не понял, злодей шифрует только диск С или все физические диски какие есть?
//Все!
Vlad_King
Стаж: 3 года 9 мес.
Сообщений: 567
Ratio: 4,234
Поблагодарили: 826
0.85%
Ахах, не зря сегодня впервые решил попробовать линукс, интуиция прям))
А вообще пофиг, живу без антивируса и не понимаю, где народ находит эти вирусы?

_________________
Неблагодарная свинья
RTSN
Стаж: 4 мес. 8 дней
Сообщений: 72
Ratio: 0,868
42.86%
Мега_Саня писал(а): Перейти к сообщению
Как хорошо, что мне нечего терять)))


Нищему пожар не страшен
andre​w.pri​valov​
Стаж: 7 лет 10 мес.
Сообщений: 237
Ratio: 13,518
2.12%
Откуда: Ярославль
russia.gif
mesergal писал(а): Перейти к сообщению
Сегодня на работе это чудо похе...л все данные.

Все люди делятся на два типа: Первый - те, кто делает резервные копии. Второй - те, кто БУДЕТ делать резервные копии. Вариантов закрыть от шифрования резервные копии - море. Например, монтируем диск перед резервным копированием, размонтируем после окончания копирования. Все с командной строки в астомате по расписанию.
А что бы защититься от такой глупости, как вири в почте - заблокировать запуск ЛЮБЫХ программ из темповых папок (винды и браузера). За несколько последних лет, в нескольких десятках клиентов ни одного шифровальщика.
Проблема, только с бухами со СБИС++, который обновляется (через темп), чуть ли не каждый запуск

Добавлено спустя 1 минуту 48 секунд:

shoni13 писал(а): Перейти к сообщению
Я что-то не понял, злодей шифрует только диск С или все физические диски какие есть?


Последние шифровальщики шифруют все, до чего дотягиваются. Сетевые папки тоже.
ded-fed
Стаж: 3 года 5 мес.
Сообщений: 15
Ratio: 142,519
100%
Цитата:
Первый - те, кто делает резервные копии. Второй - те, кто БУДЕТ делать резервные копии.

Это защита больше не от вируса... или на каждый день новое хранилище подключать (где бы их только столько взять)?
Цитата:
А что бы защититься от такой глупости, как вири в почте - заблокировать запуск ЛЮБЫХ программ из темповых папок (винды и браузера).

В корпоративных сетях, зачастую, нельзя т.к. большая часть ПО использует все подряд, руки бы оторвать программистам, и запрет чего либо может привести к неработоспособности ПО.
Napal​m32ru​s​
Стаж: 5 лет 9 мес.
Сообщений: 253
Ratio: 2,602
100%
guyana.gif
Боже вирус собирается украсть мою коллекцию порно ! :D Так страшно
HackBlack
Стаж: 9 мес. 26 дней
Сообщений: 6
Ratio: 2686,3
86.96%
Касперский от всех спасёт)))
sliva666
Стаж: 1 год 8 мес.
Сообщений: 34
Ratio: 26,341
76.72%
Откуда: Сочи
russia.gif
Мои сочувствия !!! :о( тех. кого не прошла эта кара...
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости Часовой пояс: GMT + 3
Страницы:   1, 2, 3 ... 12, 13, 14  След.
Страница 1 из 14