В четверг исследователи MalwareHunter, который стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель XData. Состоянием на пятницу, 19 мая, было подтверждено 135 уникальных случаев инфицирования, 95% из них пришлось на украинских пользователей.
Для сравнения, в MalwareHunter утверждают, что в нашей стране они зафиксировали всего 30 пострадавших от атаковавшего более 200 000 пользователей по всему миру WannaCry.
Таким образом, темпы распространения XData в четыре раза выше, но вирус пока не начал массово заражать компьютеры вне нашей страны.
XData шифрует все файлы с помощью алгоритма AES. Способов расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. Курс биткоина составляет более $2 100, а значит выкуп — от 5 800 до 58 000 грн.
Как XData распространяется и заражает компьютеры – пока не известно. Стандартными путями для вирусов-вымогателей являются фишинговые атаки через электронные письма с зараженными вложениями, использование эксплойтов ОС, фальшивые рекламные ссылки, зараженные установщики и другие. Среди украинских пострадавших в основном компьютерные сети компаний.
После шифрования все файлы имеют расширение .xdata. Вирус не меняет фон рабочего стола, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files. В нем объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл-ключ. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.
