Новий вірус-шифрувальник XData стрімко атакує український корпоративний сектор. Його вперше виявили фахівці кібербезпеки 18 травня 2017 року. Вірус шквально атакує українські підприємства. Як повідомляє MalwareHunterTeam, цей вірус поширюється дуже швидко і 95% заражених ПК і серверів припадає на українських користувачів. Ми розкажемо про особливості вірусу, який атакує Україну.
Можна припустити, що на українських користувачах кібер-зловмисники тестують роботу цього вірусу і, можливо, ми на порозі нової глобальної епідемії таких масштабів, як і вірус WannaCry.
Xdata – типовий шифрувальник, який використовує стійкий до самостійного розшифрування алгоритм AES.
Особливості вірусу Xdata
Цікаво, що інструкції з розшифрування для XData написані поганою англійською мовою. Йдеться про файл HOW_CAN_I_DECRYPT_MY_FILES.txt, який вірус створює в кожній теці з зашифрованими даними.
Проаналізувавши профільні антивірусні ресурси, ми прийшли до висновку, що більшість заражень припадає на корпоративний сектор – локальні мережі та сервери українських підприємств.
Повідомлення жертв шифрувальника Xdata.
Xdata потрапляє в систему, ймовірно, використовуючи ту саму вразливість різних версій ОС Windows, що й WannaCry: сканує SMB-порти, застосовує експлойт ETERNALBLUE і заражає вразливі системи без відома користувачів. У випадку з Xdata – швидкість зараження й шифрування дуже висока. Після того, як xdata шифрує дані, вірус змінює їхнє розширення на.~xdata~. Також можливим джерелом зараження спеціалісти називають фішингові атаки.
За розшифрування файлів зловмисники вимагають у жертв викуп. Ціна декриптора варіюється від 0,1 до 1 Bitcoin (від 5 800 до 58 000 грн) залежно від обсягу зашифрованої інформації та кількості інфікованих ПК у кожному конкретному випадку.
Матеріал підготував Валерій Роут спеціально для сайту InformNapalm.org.
(Creative Commons — Attribution 4.0 International — CC BY 4.0)
Тисніть репост і діліться з друзями
Підписуйтеся на сторінки спільноти InformNapalm у Фейсбук / Твіттер і оперативно отримуйте інформацію про нові матеріали.
2 коментарі to “Новий вірус XData стрімко атакує Україну. Особливості вірусу”
24.05.2017
АлександрИнформация от ESET
18.05.2017 мы обнаружили новый троянец, который шифрует файлы.
Он был добавлен под именем Win32/Filecoder.NLN trojan:
http://virusradar.com/en/Win32_Filecoder.NLN/description
внесен в базу 15437 May-18-2017, 16:30 CEST (UTC/GMT +02:00) –
LiveGrid детектировал угрозу с ~15:00
Пока зафиксировали что идет распространение только на территории Украины.
Изначальный файл называется lsm.exe
При запуске, он пытается получить пароль администратора с помощью утилиты, которую мы детектируем как Win32/RiskWare.Mimikatz.R application и Win64/Riskware.Mimikatz.O application.
После этого, создает и запускает выполняемый файл, который уже непосредственно отвечает за шифрование.
Такой файл может иметь следующие имена:
∙ mssql.exe
∙ mscomrpc.exe
∙ mscom.exe
∙ msdcom.exe
∙ mssec.exe
∙ mssecsvc.exe
∙ msdns.exe
∙ msaddc.exe
После шифрования, создается текстовый файл с инструкцией на английском языке (скриншот инструкции в приложении).
В общем-то обычный троянец-шифровальщик.
Что делает его интересным, это то, что он, скорее всего, распространяется через систему электронного документо-оборота M.E.Doc: http://www.me-doc.com.ua/
Пока что не понятно, как именно происходит распространение.
Нам удалось выяснить, что M.E.Doc (ezvit.exe) создает и запускает файл lsm.exe, который и является Win32/Filecoder.NLN trojan.
Скорее всего, это какое-то письмо внутри этой системы или извещение.
Нам не известно, происходит ли эксплуатация какой-либо уязвимости в этой системе, или же пользователь сам своими действиями запускает этот файл.
Кстати атаки с участием этого Медока были и в прошлом, например в 2015 году:
http://www.me-doc.com.ua/1111172749
23.05.2017
Трансформація маніпуляцій у соцмережах. Гібридна війна триває - InformNapalm.org (Українська)[…] […]