Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry

В прошлый четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель (ransomware) XData.

----------------------<cut>----------------------

Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry

Активность этого крипто-вымогателя пришлась на середину мая 2017 г.
Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Из 135 случаев инфицирования, которые были обнаружены на 19 мая текущего года, 95% случаев пришлось на украинских пользователей. (в реальности масштабы заражения намного выше)

Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry

Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry

Если сравнивать темпы распространения вымогателя XData с нашумевшим WannaCry, то окажется, что в Украине он распространяется вчетверо быстрее (в ID-Ransomware зафиксировали только 30 пострадавших от WannaCry украинцев из 200 тыс. жертв по всему миру). WannaCry уже заразила сотни тысяч систем по всему миру, но если учесть текущий уровень распространения XData-инфекции в Украине, России и Германии, глобальное влияние XData значительно превосходит WannaCry.

Из-за распространения вируса-вымогателя Microsoft обновила даже Windows XP, которая не поддерживается с 2014 года

Microsoft выпустила обновления для операционных систем, которые уже не поддерживаются, чтобы остановить распространение вируса-вымогателя WannaCrypt. Обновление вышло, в том числе для Windows XP, операционной системы 2001 года, хотя она уже три года не поддерживается. Обновление можно скачать здесь.

В посте на сайте Microsoft выпуск обновлений для старых систем назвали «очень необычным» шагом. Действительно, о прекращении поддержки Windows XP было объявлено в апреле 2014 года. С тех пор Microsoft только один раз выпускала для нее обновление — в мае 2014 года из-за критической уязвимости в браузере Internet Explorer.

В новых версиях операционной системы уязвимость, которую использует вирус WannaCrypt, была закрыта еще раньше — в марте 2017 года. Если у пользователя установлена Windows Vista, 7, 8.1 или 10 и включены автоматические обновления, то его компьютеру вирус не угрожает.

12 мая по всему миру распространился вирус-вымогатель, который поражает компьютеры на Windows и требует 300 долларов за возвращение доступа к ПК. В России оказались заражены компьютеры как минимум «Мегафона», МВД и СК, а также, вероятно, РЖД.
Windows XP — одна из самых популярных операционных систем. Среди пользователей рунета она до сих пор занимает шестое место после Android, Windows 7, iOS, Windows 10 и Windows 8. Кроме того, на этой ОС работают многие банкоматы и другие устройства.

Зловред-вымогатель XData шифрует все файлы с помощью алгоритма AES, при этом рабочего способа расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. На данный момент курс биткоина составляет более $2100.

Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry

Обнаружен новый вирус-вымогатель (ransomware) XData. Скорость распространения выше WannaCry

После шифрования все файлы имеют расширение .~xdata~
Вирус не меняет фон рабочего стола, не показывает уведомления, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files.txt, объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключи. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.

Содержимое текстовых файлов 'How Can I Decrypt My Files.txt':

Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc.

Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.

To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and Settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').

Then send it to one of following email addresses:

begins @ colocasia.org
bilbo @ colocasia.org
frodo @ colocasia.org
trevor @ thwonderfulday.com
bob @ thwonderfulday.com
bil @ thwonderfulday.com

Your ID: [PC-NAME]#[VICTIM_ID]

Do not worry if you did not find key file, anyway contact for support.

Перевод записки на русский язык:

Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins @ colocasia.org
bilbo @ colocasia.org
frodo @ colocasia.org
trevor @ thwonderfulday.com
bob @ thwonderfulday.com
bil @ thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.

Отметим, что способ распространения и заражения компьютеров зловредом XData пока неизвестен, но скорее всего он попадает на компьютеры жертв путем фишинговых атак через электронные письма с зараженными вложениями, использование эксплойтов ОС, веб-инжектов, фальшивых рекламных ссылок, зараженных инсталляторов и т.д.
Среди украинских пострадавших в основном компьютерные сети компаний.

Особенности XData:

• Файлы, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
• Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~
• Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop
(в реальности известно что такие файлы остаются и во многих других папках, где были файлы и даже в пустых)
• Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов.
• Сетевые подключения и связи: См. ниже результаты анализов.

Результаты анализов: Гибридный анализ и VirusTotal анализ

Полезные ссылки: ID Ransomware

Дополнительно:
Новый шифровальщик XData Ransomware распространяется стремительнее WannaCry

Источники:
BleepingComputer, ain.ua, itc.ua, id-ransomware.blogspot.com, blog.emsisoft.com