22 мая 2017, fdlx.com / Исследователи MalwareHunter, которым принадлежит сервис ID-Ransomware, обнаружили новый вирус-вымогатель XData.
![](data:image/svg+xml;charset=utf-8,<svg height="496" width="700" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Уже подтверждено более 100 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей. Для сравнения, в MalwareHunter утверждают, что в Украине они зафиксировали всего 30 пострадавших от атаковавшего более 200 000 пользователей по всему миру WannaCry.
Таким образом, темпы распространения XData в четыре раза выше, но вирус пока не начал массово заражать компьютеры вне нашей страны.
XData шифрует все файлы с помощью алгоритма AES. Способов расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткойна в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. Курс биткойна составляет более $2 100, а значит выкуп — от 5 800 до 58 000 гривен.
Как XData распространяется и заражает компьютеры пока не известно. Стандартными путями для вирусов-вымогателей являются фишинговые атаки через электронные письма с зараженными вложениями, использование эксплойтов ОС, фальшивые рекламные ссылки, зараженные установщики и другие. Среди украинских пострадавших в основном компьютерные сети компаний.
После шифрования все файлы имеют расширение .~xdata~. Вирус не меняет фон рабочего стола, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files. В нем объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов.
«Не волнуйтесь, если вы не можете найти файл ключи. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.
![](data:image/svg+xml;charset=utf-8,<svg height="394" width="700" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Источник: AIN