В начале прошлой недели эксперты сервиса ID-Ransomware обнаружили новый вирус-вымогатель XData, который инфицировал преимущественно ПК, размещенные на территории Украины.
Интересная деталь — заражению и последующему шифрованию данных подвергались преимущественно компьютеры пользователей-бухгалтеров украинских предприятий.
Отметим, что из 135 случаев инфицирования, зафиксированных на 19 мая текущего года, 95% случаев пришлось на украинских пользователей. Если сравнивать темпы распространения вымогателя XData с нашумевшим WannaCry, то окажется, что в Украине он распространяется вчетверо быстрее (в ID-Ransomware зафиксировали только 30 пострадавших от WannaCry украинцев из 200 тыс. жертв по всему миру).
По не совсем понятной причине вчера, 30 мая 2017 года, анонимный пользователь «guest0987654321» опубликовал на форуме BleepingComputer приватный RSA мастер-ключ, необходимый для расшифровки данных, закодированных вирусом XData по алгоритму AES. Утечка скорее всего исходит от одного из авторов вируса (проснулась совесть?) или же от пожелавшего остаться неизвестным специалиста по кибербезопасности, который мог получить ключ в результате утечки из «хакерской среды».
Эксперты практически сразу подтвердили подлинность ключа, а несколько крупных компаний в области кибербезопасности добавили на его основе поддержку XData в собственное ПО дешифровки. В частности, такое ПО выпустили ESET и Avast, соответствующие утилиты доступны по следующим ссылкам, там же можно найти инструкции по дешифровке:
- ESET — ESET AES-NI decryptor
- Avast — Ransomware Decryption Tools
