После успешной атаки вируса WannaCry, почти незаметной прошла аналогичная атака XData Ransomware которая почему-то затронула в основном территорию Украины и совсем немного соседей, страны СНГ и Европу.
Карта заражения XData Ransomware:
Вирус создан по такому же принципу и использовать ту же самую уязвимость в протоколе SMB v1. XData Ransomware шифровал пользовательские файлы и вымогал за их расшифровку деньги, но в отличии от WannaCry в котором судя по всему не предусмотрен механизм расшифровки, создатели XData такой механизм предусмотрели. Атака XData Ransomware продлилась около недели, видимо из боязни быть пойманными создатели этого вируса выложили приватный ключ, с помощью которого любой пострадавший пользователь сможет расшифровать свои файлы, а специалисты из Лаборатории Касперского выпустили новую версию дешифровщика файлов.
Папка с зашифрованными файлами выглядит вот так:
В конец имени всех зашифрованных файлов дописано ~xdata~
Перед запуском расшифровщика, необходимо убедиться что нет запущенных процессов Xdata, откройте диспетчер задач и просмотрите список запущенных процессов, необходимо завершить процессы msdns.exe, mssql.exe, или mscom.exe:
Загрузите, распакуйте и запустите RakhniDecryptor:
Убедитесь что используете версию 1.20.1.0 или более новую, кликните на About в левой нижней части окна и проверьте номер версии:
Жмите Start Scan и выберите один из зашифрованных файлов, не перепутайте его с текстовым файлом в котором вирус размещает инструкции по расшифровке:
Начнется процесс сканирования и расшифровки всех зашифрованных файлов, в зависимости от производительности компьютера и количества файлов он может занять довольно много времени:
После завершения сканирования отчет будет доступен по ссылке details:
Список расшифрованных файлов:
После завершения работы, папка с файлами должна выглядеть так:
Слева расшифрованный файл, справа зашифрованный. После расшифровки все зашифрованные файлы можно удалить, проще всего это сделать запустив поиск по расширению файла, а затем убедившись что найдено именно то что нужно — переместить все в корзину.