Вірус — шифрувальник файлів XData

26/05/2017

 

 

 

Шановні адміністратори та відповідальні за захист інформаційних ресурсів!

Повідомляємо Вам про масову розсилку віруса-шифрувальника файлів XData.

Найбільша кількість інфікувань спостерігалося протягом 17-22 травня. Пік заражень припав на 19 травня. На даний момент відомо, що вірус-шифрувальник був поширений через систему електронного документообігу, що використовується для бухгалтерського обліку.

За попередніми даними, зараження відбулося через завантаження оновлень системи електронного документообігу. Після першочергового зараження вірус-шифрувальник, підвантажував на комп’ютер жертви легітимне програмне забезпечення — утиліту PsExec.

Якщо вірус-шифрувальник запускався з правами адміністратора, то він використовув в подальшому программу Mimikatz для вилучення облікових даних адміністраторів мережі. Таким чином, даний вірус-шифрувальник міг розповсюджуватися в локальній мережі.

Оновлено [01.06.2016]

Антивірусні компанії випустили дешифратор для віруса-шифрувальника файлів XData!

Завантажити дешифратор можна за посиланнями:
http://support.eset.com/kb6467/
https://www.avast.com/ransomware-decryption-tools#xdata


Рекомендації CERT-UA:

  1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви; наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).

  2. Системним адміністраторам і адміністраторам безпеки слід звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.

  3. Своєчасно оновлювати операційну систему та програмні продукти.

  4. Відключити службу шифрування.

    (Пуск — Панель управління — Адміністрування — Служби – EFS)

  5. Обмежити використання програм (gpedit.msc).

  6. Використовувати облікові записи користувачів.

  7. Резервне копіювання.

  8. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

  9. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.

  10. Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.