Вірус XSata ransomware був виявлений вчора, 18 травня. XData — це вимагач, вибирає функцію Encoder File. Цей конкретний зразок ransomware (згідно аналізу корисного навантаження msdcom.exe) поширюється за допомогою троянської програми Heur Trojan, на її потенційне присутність вказували багато засоби безпеки. Процес шифрування, який вірус наносить на цифрові файли, виконується за допомогою алгоритму AES. Ймовірно, дослідники отримали звіти від декількох десятків користувачів, пояснивши, що їх файли були модифіковані і містять розширення .xdata.

Характеристики цього здирства

У замітці про викуп жертвам пропонується знайти файл ключів ПК, який повинен містити розширення «.key. ~ Data ~». Вказується, що він розміщується десь на диску C: в залежності від операційної системи. Жертви будуть розглядатися по-різному, оскільки видаються унікальні ідентифікаційні номери. З попереднього досвіду можна припустити, що суми викупу будуть різними. Плата може бути встановлена за кількістю зашифрованих документів, фотографій, відеоматеріалів та інших типів цифрових файлів.

Закодовані дані недоступні для використання користувачі не зможуть їх запустити. Вимагачі не вказують точної викупу у файлах .txt, а повідомляють цю інформацію за допомогою транзакцій електронної пошти. Кілька облікових записів електронної пошти залишаються у файлі HOW_CAN_I_DECRYPT_MY_FILES.txt: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]

Ядром заражения XData является файл msdcom.exe

Ядром зараження XData є файл msdcom.exe. Дослідники безпеки вказують, що це незапитаний процес, і якщо він запущений у вашому диспетчері задач, ви повинні розуміти його марність. Раніше ця потенційно небезпечна процедура була включена в операційні системи W32 / SDBOT Worm. Тепер цей файл був обраний для вилучення додаткових виконуваних файлів і початку основного процесу: шифрування файлів. Він також буде охоплювати інші процедури, такі як створення додаткових записів в ключах реєстру Windows та підключення до серверів C & C.

Не витрачайте час на те, щоб зв’язатися з хакерами за вказаними адресами електронної пошти. Crooks тільки розповість про точний викуп і про те, до якого гаманця біткойнів він повинен прийти. Навіть якщо ви дотримуєтеся правила і відправляєте їм необхідний збір, ви не можете бути впевнені в поверненні своїх файлів.

Автори Ransomware мають тенденцію до зникнення після того, як їх облікові записи заповнені біткойнами. Це означає, що ви втратили свої гроші. Оскільки немає обмежень часу для виплати викупу, у вас є багато часу, щоб розшифрувати ваші файли, не побоюючись, що вони будуть остаточно знищені.

Як відновити файли?

Поки оригінальний дешифратор не створений, але завжди є шанс знайти вихід. Замість того щоб платити за викуп, треба вивчити додаткові варіанти. Наприклад, копії тіньового тома можуть бути недоторканими, і їх відновлення можливо. Крім того, ви можете використовувати програмне забезпечення, призначене для відновлення даних після їх кодування. Обидва ці варіанти більш докладно обговорюються.

Якщо Ви були досить обережні і зберігали файли у сховищах, резервних копій, вам просто потрібно видалити вірус і знайти дані в сховищі. Щоб позбутися від усіх слідів шкідливих процедур, рекомендується використовувати Spyware , Spyhunter або Hitman для виявлення і видалення XData ransomware.

Потенційні методи передачі шкідливих даних

Шкідливі виконувані файли можуть бути в листах електронної пошти у Вашій поштовій скриньці. Такі спам — повідомлення зазвичай прикидаються шанованими авторитетами, тоді як насправді їх творці є хакерами. Не завантажуйте файли, які включені в якості вкладень, так як вони з великою ймовірністю можуть запускати різні типи шкідливих процедур. Крім того, зловмисники могли увійти завдяки вразливим веб-сайтів, зіпсованим рекламним оголошенням. Спільне використання рівноправних вузлів теж відіграє величезну роль у поширенні троянів.

Як відновити зашифровані файли XData ransomware і видалити вірус

Крок 1. Необхідно відновити систему в останній стан, використовуючи відновлення

Перезавантажте комп’ютер у безпечному режимі з допомогою командного рядка.
Для Windows 7 / Vista / XP

  • Пуск → Вимикання → Перезапустити → OK .
  • Натискайте клавішу F8, поки не з’явиться вікно «Додаткові параметри завантаження».
  • Виберіть безпечний режим з командного рядка .
  • Выберите безопасный режим с командной строкойВыберите безопасный режим с командной строкой

    Windows 7 переходить в безпечний режим.

    Для Windows 8/10

  • Натисніть на завершення роботи на панелі пуск і утримуючи кнопку Shift на клавіатурі натискаємо на « Перезавантажити»
    Нажмите Power на экране входа в WindowsНажмите Power на экране входа в Windows
  • Виберіть « Усунення неполадок» → « Додаткові параметри» → « Параметри автозавантаження» і натисніть кнопку « Перезавантажити».
    Выберите « Устранение неполадок» → « Дополнительные параметры» → « Параметры автозагрузки» и нажмите « Перезагрузить»Выберите « Устранение неполадок» → « Дополнительные параметры» → « Параметры автозагрузки» и нажмите « Перезагрузить»
  • Коли він завантажується, виберіть « Включити безпечний режим» з допомогою командного рядка зі списку «Параметри запуску». Windows 8-10 переходить в безпечний режим.

    Перезавантажте системні файли та настройки.

  • Коли комп’ютер завантажується в режимі командного рядка, введіть cd restore і натисніть Enter.

  • Потім введіть rstrui.exe і знову натисніть Enter.
    Затем введите rstrui.exe и снова нажмите Enter. В появившихся окнах CMD Нажмите «Далее» Затем введите rstrui.exe и снова нажмите Enter. В появившихся окнах CMD Нажмите «Далее»
  • В вікнах CMD, Натисніть «Далі» .
    В появившихся окнах CMD Нажмите «Далее» В появившихся окнах CMD Нажмите «Далее»
  • Виберіть одну з Точок відновлення, доступних до проникнення у вашу систему вірусу XData, та натисніть «Далі».
    Выберите одну из Точек восстановления, доступных до проникновения в вашу систему вируса XData, и нажмите « Далее »Выберите одну из Точек восстановления, доступных до проникновения в вашу систему вируса XData, и нажмите « Далее »
  • Щоб запустити Відновлення системи, натисніть кнопку «Так».
    Чтобы запустить Восстановление системы, нажмите «Да»Чтобы запустить Восстановление системы, нажмите «Да»
  • Крок 2. Повне видалення Xansheet ransomware

    Після відновлення системи рекомендується виконувати сканування на комп’ютері за допомогою програми захисту від шкідливих програм, наприклад Spyware, і видалити всі шкідливі файли, пов’язані з вірусом XData.

    Крок 3. Відновити пошкоджені Xans-файли за допомогою копій тіньового тома

    Якщо ви не використовуєте опцію System Restore у вашій операційній системі, є шанс використовувати знімки тіньової копії. Вони зберігають копії ваших файлів в момент часу, коли був створений знімок системи. Зазвичай XData-вірус намагається видалити всі можливі копії тіньового тома, тому ці методи не можуть працювати на всіх комп’ютерах. Однак спробувати можна.

    Копії тіньового тома доступні тільки для Windows XP з пакетом оновлень 2 (SP2), Windows Vista, Windows 7 і Windows 8. Існує два способи отримання файлів з допомогою Volume Shadow Copy. Це можна зробити з використанням попередніх версій Windows або через Shadow Explorer.

    A) Вихідні версії файлу

    Клацніть правою кнопкою миші на зашифрованому файлі і виберіть « Властивості» → вкладка « Попередні версії ». Тепер ви побачите всі доступні копії цього конкретного файлу і час, коли воно було збережено Копії тіньового тома. Виберіть версію файлу, який ви хочете отримати, та натисніть «Копіювати», якщо ви хочете зберегти його в якийсь свій власний каталог, або «Відновити», якщо ви хочете замінити існуючий зашифрований файл. Якщо ви хочете спочатку переглянути вміст файлу, просто натисніть кнопку «Відкрити».

    Исходные версии файлаИсходные версии файла

    Б) Shadow Explorer.

    Цю програму можна знайти онлайн безкоштовно. Ви можете завантажити повну або портативну версію Shadow Explorer. Відкрийте програму. У лівому верхньому куті виберіть диск, де зберігаються файли, які ви шукаєте. Ви побачите всі папки на цьому диску. Щоб завантажити цілу папку, клацніть її правою кнопкою миші та виберіть «Експорт». Виберіть, де ви хочете зберегти його.

    Shadow ExplorerShadow Explorer

    Крок 4. Використовуйте програми для відновлення зашифрованих даних XData ransomware

    Існує кілька програм відновлення даних, які також можуть відновлювати зашифровані файли. Це працює не у всіх випадках, але ви можете спробувати наступне:

    Скачате Data Recovery Pro, встановіть і відскануйте недавно видалені файли.

    Используйте программы для восстановления данных зашифрованных XData ransomwareИспользуйте программы для восстановления данных зашифрованных XData ransomware
    Примітка. У багатьох випадках неможливо відновити файли даних, що піддаються впливу сучасних здирників. Тому я рекомендую використовувати пристойна для резервного копіювання в хмарі в якості запобіжного заходу. Ми рекомендуємо перевірити Carbonite, BackBlaze, CrashPlan або Mozy Home.

    Так само ми рекомендуємо ознайомиться з статтею як оберегти свій комп’ютер про зараження будь-якого вірусу, для цього потрібно виконати кілька дій з налаштування безпеки Wndows і встановити надійний антивірус який впорається з усіма загрозами. Більш детально про це читайте в нашій статті: «Захист від шифрувальників-вимагачів«

    Стаття перекладена з англійської сайтом ITHelpBLOG.pro, оригіналу на сайті: 2-viruses.com