Антивирусные компании выпустили дешифратор для вируса-вымогателя XData: инструкция по дешифровке

Начиная с 18 мая украинские предприятия начали страдать от вирус-вымогателя XData. Он шифровал данные на серверах и компьютерах пользователей-бухгалтеров. Более 95% всех пострадавших от зловреда составили украинские компании. Во вторник, 30 мая, анонимный пользователь неожиданно опубликовал на форуме BleepingComputer приватный мастер-ключ для XData. Специалисты «Лаборатории Касперского» подтвердили его подлинность и добавили поддержку XData в собственное ПО дешифровки, сообщили в BleepingComputer. Дешифраторы выпустили также ESET и Avast. , пишут AIN.UA

Случаи заражение XData по данным сервиса ID-Ransomware

За неделю, начиная с 18 мая, XData зашифровал данные на нескольких сотнях систем украинских предприятий, после чего его активность пошла на спад. Во всех случаях пострадавшими оказывались бухгалтеры. До сих пор исследователям не удалось установить точный способ заражения компьютеров.

Для шифрования XData использует алгоритм AES. Для расшифровки файлов был необходим приватный RSA-мастерключ. Именно его в теме для пострадавших от XData выложил анонимный пользователь на форуме BleepingComputer. Наиболее вероятным является то, что пользователь — один из авторов XData. Мотивы, по которым он решил поделиться с жертвами ключом для расшифровки файлов — не ясны.

Используя мастер-ключ в «Лаборатории Касперского» обновили собственное ПО для расшифровки ArakhniDecryptor. Начиная с версии 1.20.1.0 он способен расшифровывать пострадавшие от XData файлы. Работоспособность ArakhniDecryptor AIN.UA уже подтвердил один из пострадавших.

Через некоторое время после «Касперского» возможность расшифровки также появилась в инструментах от других антивирусных компаний — ESET и Avast. Скачать утилиту от Avast можно на официальном сайте компании. Программа по дешифровке от ESET сопровождается инструкцией и доступна по следующей ссылке. Ниже редакция приводит подробную инструкцию по дешифровке для инструмента «Лаборатории Касперского», опубликованную на BleepingComputer.

Как расшифровать данные?

У пострадавших от вируса-вымогателя зашифрованные данные оказываются в формате [имяфайла].~xdata~ или [имяфайла].-xdata-.

Прежде чем приступить к расшифровке, если на зараженном компьютере еще не предпринимались никакие действия, необходимо завершить процесс вируса. Для этого необходимо открыть «Диспетчер задач» Windows с помощью комбинации Cntrl-Shift-Escape. Во вкладке «Процессы» нужно найти процессы msdns.exe, mssql.exe или mscom.exe, которые ассоциируются с вирусом. Их нужно выбрать и нажать кнопку «Завершить процесс». После можете преступать к расшифровке.

Сперва нужно скачать специальное ПОRakhniDecryptor (ссылка на прямое скачивание). Он доступен на сайте NoMoreRansom в разделе Decryption Tools. После скачивания и распаковки архива нужно запустить файл RakhniDecryptor.exe.

Вслед за нажатием на кнопку Start scan программа попросит выбрать один зашифрованный файл. Это может быть файл Microsoft Word или Excel, PDF, музыкальный файл или изображение. Не выбирайте текстовый файл (.txt) — он не подходит для расшифровки. Выбрав файл, нажмите «Открыть».

После этого RakhniDecryptor просканинует весь компьютер и расшифрует пострадавшие файлы. Процесс расшифровки может занять длительное время. В конце появится окно, оповещающее о завершении сканирования. После дешифровки на жестком диске по-прежнему останутся и зашифрованные файлы. Их можно удалить.


Павел Красномовец, AIN

Коды для вставки в блог\форум




Интересные новости
На Mac с процессором Apple M1 запустили Windows 10 для ARM. И в ней даже работают x86-приложенияНа Mac с процессором Apple M1 запустили Windows 10 для ARM. И в ней даже работают x86-приложения
Проект Латте: стало известно, как Microsoft позволит Android-приложениям работать в Windows 10Проект Латте: стало известно, как Microsoft позволит Android-приложениям работать в Windows 10
Блок рекламы


Похожие новости

Safari на iOS отправляет данные китайской компании TencentSafari на iOS отправляет данные китайской компании Tencent
Как украинские IT-компании нанимают джуниоров: исследованиеКак украинские IT-компании нанимают джуниоров: исследование
Разработчики Google выпустили бесплатное приложение для изучения JavaScriptРазработчики Google выпустили бесплатное приложение для изучения JavaScript
Украинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работуУкраинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работу
Крымские и роSSийские компании покупают программы Microsoft в обход санкцийКрымские и роSSийские компании покупают программы Microsoft в обход санкций
Cтало доступным обновление MacOS High Sierra от компании AppleCтало доступным обновление MacOS High Sierra от компании Apple
В компании «M.E.Doc» признались в факте своего взлома и распространения вируса PetyaВ компании «M.E.Doc» признались в факте своего взлома и распространения вируса Petya
Разработчик M.E.Doc отрицает причастность к распространению вируса-вымогателяРазработчик M.E.Doc отрицает причастность к распространению вируса-вымогателя
Все, что известно про вирус-вымогатель XData: кто под угрозой и что делатьВсе, что известно про вирус-вымогатель XData: кто под угрозой и что делать
Что делать клиентам 1С после санкций: комментарий компании
Последние новости

Подгружаем последние новости