Команда MalwareHunter развивает сервис ID-Ransomware, который позволяет пользователям отправлять образцы шифровальщиков для детального анализа. Экземпляр XData был получен с помощью сервиса.
Случаи заражения фиксируются на всей территории Украины, причем наблюдается стремительная динамика атак. XData уже занимает второе место в рейтинге самых активных вымогателей, уступая первую строчку Cerber.
XData привлекла внимание команды MalwareHunter из-за ее быстрого распространения по всей Украине, где за один день жертвами XData стало в 4 раза больше пользователей, чем за неделю активной кампании WannaCry.
Шифровальщик WannaCry заразил сотни тысяч систем по всему миру, но, если учесть текущий уровень распространения инфекции XData в России, Украине и Германии, глобальное влияние XData значительно превосходит WannaCry.
Знакомство с XData
Первоначально шифровальщик XData был обнаружен в мае 2017 года. На данный момент метод распространения угрозы неизвестен. На зараженной системе можно обнаружить следующие файлы и процессы:
mssql.exe
msdns.exe
msdcom.exe
mscomrpc.exe
XData использует алгоритм шифрования AES для шифрования файлов. После успешного ширования расширение файлов меняется на ~ xdata ~.
Например, файл с именем photo.png становится photo.png.~ xdata ~.
После завершения процессов шифрования появляется следующий текстовый документ:
К сожалению, на данном этапе нет способа дешифровать файлы, заблокированные XData. Исследователи будут продолжать изучать данную угрозу.
Мы будем держать вас в курсе любых изменений.
По материалам Emsisoft
Угрозы безопасности
• Разработчик антивируса Avast оштрафован на 16,5 млн долларов за продажу данных пользователей
• Хакеры взломали серверы AnyDesk, пользователям нужно сбросить пароли
• «Яндекс ID» предотвратил 50 млн подозрительных попыток входа в аккаунты за год
• Учетные данные 70 миллионов пользователей обнаружены в даркнете
• Уязвимость LeftoverLocals позволяет получать ИИ-данные из GPU от AMD, Apple, Qualcomm
• iShutdown – инструмент от «Лаборатории Касперского» для обнаружения шпионской программы Pegasus на iPhone