Расшифровка файлов после XData Ransomware

После успешной атаки вируса WannaCry, почти незаметной прошла аналогичная атака XData Ransomware которая почему-то затронула в основном территорию Украины и совсем немного соседей, страны СНГ и Европу.

Карта заражения XData Ransomware:

Вирус создан по такому же принципу и использовать ту же самую уязвимость в протоколе SMB v1.  XData Ransomware шифровал пользовательские файлы и вымогал за их расшифровку деньги, но в отличии от WannaCry в котором судя по всему не предусмотрен механизм расшифровки, создатели XData такой механизм предусмотрели. Атака XData Ransomware продлилась около недели, видимо из боязни быть пойманными создатели этого вируса выложили приватный ключ, с помощью которого любой пострадавший пользователь сможет расшифровать свои файлы, а специалисты из Лаборатории Касперского выпустили новую версию дешифровщика файлов.


Папка с зашифрованными файлами выглядит вот так:

В конец имени всех зашифрованных файлов дописано ~xdata~

Перед запуском расшифровщика, необходимо убедиться что нет запущенных процессов Xdata, откройте диспетчер задач и просмотрите список запущенных процессов, необходимо завершить процессы msdns.exe, mssql.exe, или mscom.exe:

Загрузите, распакуйте и запустите RakhniDecryptor:

Убедитесь что используете версию 1.20.1.0 или более новую, кликните на About в левой нижней части окна и проверьте номер версии:

Жмите Start Scan и выберите один из зашифрованных файлов, не перепутайте его с текстовым файлом в котором вирус размещает инструкции по расшифровке:

Начнется процесс сканирования и расшифровки всех зашифрованных файлов, в зависимости от производительности компьютера и количества файлов он может занять довольно много времени:

После завершения сканирования отчет будет доступен по ссылке details:

Список расшифрованных файлов:

После завершения работы, папка с файлами должна выглядеть так:
Слева расшифрованный файл, справа зашифрованный. После расшифровки все зашифрованные файлы можно удалить, проще всего это сделать запустив поиск по расширению файла, а затем убедившись что найдено именно то что нужно — переместить все в корзину.

Categories: Антивирусные утилиты Бесплатные программы Лечение вирусов