Среда, Ноябрь 22Полезные советы и секреты в мире IT и создание сайтов, а так же новости.

Вирус шифровальщик-вымогатель ~xdata~ Как удалить?

Вирус XSata ransomware был обнаружен вчера, 18 мая. XData — это вымогатель, выбирающий функцию Encoder File. Этот конкретный образец ransomware (согласно анализу полезной нагрузки msdcom.exe) распространяется с помощью троянской программы Heur Trojan, на ее потенциальное присутствие указывали многие средства безопасности. Процесс шифрования, который вирус наносит на цифровые файлы, выполняется с помощью алгоритма AES. Вероятно, исследователи получили отчеты от нескольких десятков пользователей, объяснив, что их файлы были модифицированы и содержат расширение .xdata.

Характеристики этого вымогательства

В заметке о выкупе жертвам предлагается найти файл ключей ПК, который должен содержать расширение «.key. ~ Data ~». Указывается, что он размещается где-то на диске C: в зависимости от операционной системы. Жертвы будут рассматриваться по-разному, поскольку выдаются уникальные идентификационные номера. По предыдущему опыту можно предположить, что суммы выкупа будут разными. Плата может быть установлена по количеству зашифрованных документов, фотографий, видеоматериалов и других типов цифровых файлов.

Закодированные данные недоступны для использования, пользователи не смогут их запустить. Вымогатели не указывают точного выкупа в файлах .txt, а сообщают эту информацию посредством транзакций электронной почты. Несколько учетных записей электронной почты остаются в файле HOW_CAN_I_DECRYPT_MY_FILES.txt: beqins@colocasia.org, bilbo@colocasia.org, frodo@colocasia.org, trevor@thwonderfulday.com, bob@thwonderfulday.com, bil@thwonderfulday.com.

Ядром заражения XData является файл msdcom.exe

Ядром заражения XData является файл msdcom.exe. Исследователи безопасности указывают, что это незапрошенный процесс, и если он запущен в вашем диспетчере задач, вы должны понимать его бесполезность. Ранее эта потенциально опасная процедура была включена в операционные системы W32 / SDBOT Worm. Теперь этот файл был выбран для извлечения дополнительных исполняемых файлов и начала основного процесса: шифрование файлов. Он также будет охватывать другие процедуры, такие как создание дополнительных записей в ключах реестра Windows и подключение к серверам C & C.

Не тратьте время на то, чтобы связаться с хакерами по указанным адресам электронной почты. Crooks только расскажет о точном выкупе и о том, к какому кошельку биткойнов он должен прийти. Даже если вы соблюдаете правила и отправляете им требуемый сбор, вы не можете быть уверены в возврате своих файлов.

Авторы Ransomware имеют тенденцию к исчезновению после того, как их учетные записи заполнены биткойнами. Это означают, что вы потеряли свои деньги. Поскольку нет ограничений времени для выплаты выкупа, у вас есть много времени, чтобы расшифровать ваши файлы, не опасаясь, что они будут окончательно уничтожены.

Как восстановить файлы?

Пока оригинальный дешифратор не создан, но всегда есть шанс найти выход. Вместо того чтобы платить за выкуп, надо изучить дополнительные варианты. Например, копии теневого тома могут быть нетронутыми, и их восстановление возможно. Кроме того, вы можете использовать программное обеспечение, предназначенное для восстановления данных после их кодирования. Оба эти варианта более подробно обсуждаются.

Если Вы были достаточно осторожны и хранили файлы в хранилищах резервных копий, вам просто нужно удалить вирус и найти данные в хранилище. Чтобы избавиться от всех следов вредоносных процедур, рекомендуется использовать Reimage , Spyhunter или Hitman для обнаружения и удаления XData ransomware.

Потенциальные методы передачи вредоносных данных

Вредоносные исполняемые файлы могут быть в письмах электронной почты в Вашем почтовом ящике. Такие спам — сообщения обычно притворяются уважаемыми авторитетами, тогда как на самом деле их создатели являются хакерами. Не загружайте файлы, которые включены в качестве вложений, так как они с большой вероятностью могут запускать различные типы вредоносных процедур. Кроме того, вымогатели могли войти благодаря уязвимым веб-сайтам, испорченным рекламным объявлениям. Совместное использование равноправных узлов тоже играет огромную роль в распространении троянов.

Как восстановить зашифрованные файлы XData ransomware и удалить вирус

Шаг 1. Восстановите систему в последнее состояние, используя восстановление

Перезагрузите компьютер в безопасном режиме с помощью командной строки.
Для Windows 7 / Vista / XP

  1. Пуск → Выключение → Перезапустить → OK .
  2. Нажимайте клавишу F8, пока не появится окно «Дополнительные параметры загрузки».
  3. Выберите безопасный режим с командной строкой . 

Выберите безопасный режим с командной строкой

Windows 7 переходит в безопасный режим.

Для Windows 8/10

  1. Нажмите на завершении работы на панели пуск и удерживая кнопку Shift  на клавиатуре нажимаем на  « Перезагрузить»
    Нажмите Power на экране входа в Windows
  2. Выберите « Устранение неполадок» → « Дополнительные параметры» → « Параметры автозагрузки» и нажмите « Перезагрузить».
    Выберите « Устранение неполадок» → « Дополнительные параметры» → « Параметры автозагрузки» и нажмите « Перезагрузить»
  3. Когда он загружается, выберите « Включить безопасный режим» с помощью командной строки из списка «Параметры запуска». Windows 8-10 переходит в безопасный режим.

    Перезагрузите системные файлы и настройки.

  1.  Когда компьютер загружается в режиме командной строки, введите cd restore и нажмите Enter.

  2. Затем введите rstrui.exe и снова нажмите Enter. 
    Затем введите rstrui.exe и снова нажмите Enter. В появившихся окнах CMD Нажмите «Далее»
  3. В появившихся окнах CMD Нажмите «Далее» .
    В появившихся окнах CMD Нажмите «Далее»
  4. Выберите одну из Точек восстановления, доступных до проникновения в вашу систему вируса XData, и нажмите «Далее».
    Выберите одну из Точек восстановления, доступных до проникновения в вашу систему вируса XData, и нажмите « Далее »
  5. Чтобы запустить Восстановление системы, нажмите «Да».
    Чтобы запустить Восстановление системы, нажмите «Да»

Шаг 2. Полное удаление Xansheet ransomware

После восстановления системы рекомендуется выполнить сканирование на компьютере с помощью программы защиты от вредоносных программ, например Reimage, и удалить все вредоносные файлы, связанные с вирусом XData. 

Шаг 3. Восстановите поврежденные Xans-файлы с помощью копий теневого тома

Если вы не используете опцию System Restore в вашей операционной системе, есть шанс использовать снимки теневой копии. Они хранят копии ваших файлов в момент времени, когда был создан снимок системы. Обычно XData-вирус пытается удалить все возможные копии теневого тома, поэтому эти методы могут не работать на всех компьютерах. Однако попробовать можно.

Копии теневого тома доступны только для Windows XP с пакетом обновления 2 (SP2), Windows Vista, Windows 7 и Windows 8. Существует два способа получения файлов с помощью Shadow Volume Copy. Это можно сделать с использованием предыдущих версий Windows или через Shadow Explorer.

A) Исходные версии файла

Щелкните правой кнопкой мыши на зашифрованном файле и выберите « Свойства» → вкладка « Предыдущие версии ». Теперь вы увидите все доступные копии этого конкретного файла и время, когда оно было сохранено в Копии теневого тома. Выберите версию файла, который вы хотите получить, и нажмите «Копировать», если вы хотите сохранить его в какой-то свой собственный каталог, или «Восстановить», если вы хотите заменить существующий зашифрованный файл. Если вы хотите сначала просмотреть содержимое файла, просто нажмите «Открыть».

Исходные версии файла

Б) Shadow Explorer.

Эту программу можно найти онлайн бесплатно. Вы можете загрузить полную или портативную версию Shadow Explorer. Откройте программу. В левом верхнем углу выберите диск, где хранятся файлы, которые вы ищете. Вы увидите все папки на этом диске. Чтобы загрузить целую папку, щелкните ее правой кнопкой мыши и выберите «Экспорт». Затем выберите, где вы хотите сохранить его.

Shadow Explorer

Шаг 4. Используйте программы для восстановления данных зашифрованных XData ransomware

Существует несколько программ восстановления данных, которые также могут восстанавливать зашифрованные файлы. Это работает не во всех случаях, но вы можете попробовать следующее:

Скачате Data Recovery Pro, установите и отсканируйте недавно удаленные файлы.

Используйте программы для восстановления данных зашифрованных XData ransomware
Примечание. Во многих случаях невозможно восстановить файлы данных, подверженные влиянию современных вымогателей. Поэтому я рекомендую использовать приличное ПО для резервного копирования в облаке в качестве меры предосторожности. Мы рекомендуем проверить Carbonite, BackBlaze, CrashPlan или Mozy Home.

 

Так же мы рекомендуем ознакомится с статьей как оберечь свой компьютер о заражению любого вируса, для этого нужно выполнить несколько действий по настройки безопасности Wndows и установить надежный антивирус который справится со всеми угрозами. Боле подробно об этом читайте в нашей статье: «Защита от шифровальщиков-вымогателей«

Статья переведена с английского сайтом ITHelpBLOG.pro, оригинала на сайте: 2-viruses.com

Добавить комментарий

%d такие блоггеры, как: