Все, що відомо про вірус-вимагач XData: хто під загрозою і що робити
Виявлений 18 травня вірус-вимагач XData на наступний день став другим за швидкістю поширення зловредів після WCry. Згідно з даними ресурсу ID-Ransomware, який допомагає визначити тип вірусу-здирника, і його розробників MalwareHunterTeam, на піку вони зафіксували 135 унікальних звернень. Але мова йде про сотні жертв, 96% яких - українські підприємства. Редакція AIN.UA поспілкувалася з десятком постраждалих, MalwareHunterTeam, ESET і зібрала все, що відомо про XData на даний момент.
Більшість відомих відомостей базуються на словах самих постраждалих. Точних висновків по багатьом пунктам поки немає, оскільки вони вимагають часу для аналізу з боку фахівців з інформаційної безпеки.
Що під загрозою?
Вірус заражає ПК і сервера на базі Microsoft Windows. Зустрічалися випадки шифрування систем на базі Windows XP і Windows 7 64-бітових версій. На постраждалих серверах використовувалися Windows Server 2008 або 2012 x64. У MalwareHunterTeam після аналізу одного з зразків вірусу підтвердили AIN.UA, що він націлений саме на 64-бітові версії ОС і не повинен вражати системи з архітектурою x86.
У всіх відомих випадках жертвами ставали бухгалтери. Тобто, вірус націлений на корпоративний сегмент.
Спершу здавалося, що XData не поширюється по мережі і шифрує тільки дані, до яких є доступ у зараженого користувача. Але в більшості випадків у бухгалтерів виявилися обмежені права користування, тому так і відбувалося. Якщо ж у потерпілого будуть права адміністратора - може постраждати вся мережа.
Також в одному із зразків дослідники виявили утиліту Mimikatz. Це відомий інструмент з відкритим вихідним кодом, який дозволяє витягувати з пам'яті системи паролі. У випадку з XData він може отримати для вірусу дані облікового запису адміністратора і поширитися на всю мережу.
Як поширюється?
Найголовнішим питанням щодо вірусу залишається спосіб його поширення. Як він точно потрапляє в систему залишається невідомим. У словацькій антивірусної компанії ESET на цю тему повідомили наступне:
«Дослідники ESET припускають, що програма-вимагач Win32 / Filecoder.AESNI.C поширилася через українську систему автоматизації документообігу, яка широко використовується в бухгалтерському обліку. Оскільки коефіцієнт зараження залишається низьким, кіберзлочинці могли використовувати соціальну інженерію, наприклад, шкідливі оновлення програмного забезпечення. Однак на даний момент дослідження тривають і про це ще рано говорити з абсолютною достовірністю ».
Під системою автоматизації документообігу в ESET, швидше за все, підозрюють M.E.Doc. Всі опитані редакцією постраждалі дійсно користувалися цим ПО. Багато хто стверджував, що шифрування сталося після запуску його поновлення, але так було не завжди. Один із системних адміністраторів постраждалої компанії повідомив: «Оновлення M.E.Doc не було. Увечері машина працювала, а з ранку не стартонув ».
У самому M.E.Doc днями випустили офіційну заяву щодо XData. Компанія стверджує, що поширення вірусу відразу після поновлення їх ПО - збіг. Розробник M.E.Doc «стежить за безпекою власного коду». Для цього компанія уклала договори з «великими антивірусними компаніями» і надає їм виконувані бінарні файлів на аналіз і підтвердження безпеки. Розробники запевнили, що так відбувається перед кожним оновленням.
Деякі постраждалі повідомили, що після очищення комп'ютера, а потім встановити M.E.Doc з оновленнями не привела до повторного шифрування.
Поширення XData серед конкретного типу користувачів - бухгалтерів і майже виключно в Україні вказує, що ймовірною причиною може бути саме локальне професійне ПО. Але точні висновки можна зробити тільки після детального аналізу постраждалих систем і зразків XData.
Як захиститися?
Більшість популярних антивірусів вже виявляють вірус. Ресурс VirusTotal вказує, що XData визначають Avira, BitDefender, DrWeb, Eset, McAfee, TrendMicro, Avast, AVG, Microsoft, Malwarebytes, Symantec, український Zillya та інші.
Крім антивірусного захисту варто розділяти облікові записи користувачів і адміністраторів, оновлювати Windows і антивірусні бази, і бути обережними з будь-якими додатками в електронній пошті. Але, фактично, повністю захиститися від вірусів-шифрувальників неможливо. Кращим способом убезпечити дані - мати їх версійні резервні копії в захищеному від можливого зараження мережі місці.
Що робити, якщо дані вже зашифровані?
Для дослідження вірусу, розуміння механізму його роботи і пошуку способу захисту від нього, фахівцям необхідна інформація з постраждалих комп'ютерів. Тому, якщо файли вже зашифровані, не варто відразу кидатися чистити жорсткий диск і відновлювати його. Фахівцям для аналізу необхідні образи системи в цілому, зразки вірусу і лог-файли системи.
Якщо ви постраждали - напишіть нам на пошту. Редакція збереже конфіденційність постраждалих і передасть зразки для дослідження в антивірусні компанії. Можна також самостійно завантажувати зразки на сайтах більшості великих антивірусних вендорів. Це допоможе прискорити роботу над розумінням того, як працює XData.
Поки можливості для розшифровки файлів немає. У випадках з вірусами-вимагачами вона з'являється не завжди. Так, для Wannacry є деякі інструменти, які можуть допомогти розшифрувати дані. Однак, вони працюють не у всіх випадках.
Варто також пам'ятати, що співпраця з хакерами і виплата викупу не гарантують отримання ключа для розшифровки.
Якщо дані зашифровані, з високою ймовірністю вони не підлягають відновленню. Хоча існують такі ресурси як NoMoreRansom, де можна знайти інструменти для розшифровки даних після роботи деяких вірусів-вимагачів.
Нагадаємо, це не перша націлена на українські компанії атака. У березні на електронні адреси підприємців і держустанов почали надходити повідомлення нібито від УКРІНФОРМ. Вони містили вірус-шифрувальник.