Степен на сериозност:  
  (96/100)

Рансъмуерният вирус XData. Как да премахнем? (Ръководство за деинсталиране)

от Гейбриъл Е. Хол - - | Тип: Рансъмуер
12

Рансъмуерът XData всява хаос в Украйна, задминавайки по размери WannaCry

Вирусът XData работи като рансъмуер, криптиращ файлове с AES алгоритъм. Зловредната програма изглежда атакува главно Украйна, въпреки че има жертви в Русия, Естония и Германия. Вирусът има обикновен дизайн, като не пуска графичен интерфейс, а отваря HOW_CAN_I_DECRYPT_MY_FILES.txt, съдържащ инструкции за това как да намерите ID и да се свържете с хакерите посредством имейл. Изненадващо, хакерите предоставят 6 мейла: beqins@colocasia.org, bilbo@colocasia.org, frodo@colocasia.org, trevor@thwonderfulday.com, bob@thwonderfulday.com, bil@thwonderfulday.com. Имената на домейните подсказват, че хакерите са били в добро настроение при генериране на малуера, но жертвите на вируса чувстват далеч по-различни чувства от радост. Не само файловете им са маркирани с файлово разширение .~xdata~, но също така са заключени. На всичкото отгоре изглежда малуерът е базиран на троянец, който се появи преди няколко години – HEUR:Trojan.Win32.Generic. Още повече изглежда, че малуерът използва повече от 20 IP-адреса, за да прикрие следите си. Докато не бъде създаден инструмент за декриптиране, препоръчваме да премахнете Xdata. За тази цел може да ползвате Reimage или Malwarebytes Anti Malware.The image displaying XData virus

Бележката за откуп гласи, че малуерът използва обикновен метод за криптиране, или по-точно публичен ключ, за да кодира потребителски данни. Като правило, за да декриптират файловете си, потребителите трябва да получат уникален личен ключ. Кибер престъпниците изглежда използват контролен сървър, за да пазят ключа. Тази функция гарантира повече гъвкавост при управлението на няколко регистрирани домейна, както и по-голяма анонимност. Хакерите искат от потребителите да намерят своето ID, намиращо се във файла с разширение .key.~xdata~, след което да се свържат с хакерите чрез посочените имейл адреси. Бележката за откуп, оставена от рансъмуера Xdata не предоставя определена сума за откуп. Подобна подробност може да бъде обяснена по два начина: или хакерите са забравили да предоставят такава, или са готови да преговарят. Във всеки случай не препоръчваме да се свързвате с престъпниците. Разбираемо е, ако решите да рискувате и платите парите, но имайте предвид, че няма гаранция, че хакерите ще Ви върнат файловете. Затова може би е по-добре да премахнете Xdata изцяло.

Обновено на 22 май 2017. Няколко дни след първоначалната поява на рансъмуера xData изследователи са забелязали, че вирусът главно се разпространява в Украйна. Само за един ден вирусът е успял да инфектира четири пъти повече компютри отколкото WannaCry е супял за цяла седмица. Още по-шокиращо е, че WannaCry е действал в световен мащаб, докато новият компютърен вирус е насочен само към една държава. Не е изненадващо, че вирусът X Data е успял да се нареди на второ място по активност сред рансъмуерните семейства на 19 май, като единственият вирус, който не е задминал още, е Cerber

Нелегални методи за разпространение на рансъмуера

За да увеличат броя на инфектирани компютри, разработчиците може да ползват различни методи за разпространение. Най-известният от тях е чрез спам мейли. Имайте предвид, че имейли, които съобщават за недоставени пратки, фактури или други важни документи, може да са фалшиви и да крият проблемни вируси. Затова отваряйки подобен файл може да позволите на рансъмуера XData или друг такъв, за да инфектират компютъра Ви. Рансъмуерът започва тези процеси на инфектирания хост – msaddc.exe, mscomprpc.exe, msdcom.exe, msdns.exe, mssecsvc.exe, mssql.exe и msdcom.exe. За да намалите риска от инфекция, трябва да си инсталирате надеждно приложение за сигурност. Ако вече имате такова и е сложило под карантина едно от следните – Trojan.Heur.TP.E72C6B, Gen:Trojan.Heur.TP.eqW@baZ37zo или Ransom_XDATA.A, знайте, че XData е опитал да криптира файловете на системата Ви.

Премахване на рансъмуера XData

Когато става дума за рансъмуер, потребителите трябва да използват автоматичния метод за премахване на XData. Освен ако не става дума за специалист по IT-сигурност, би било невъзможно да намерите всички малуерни файлове, разположени в системата Ви. Само след премахването на вируса XData можете да продължите с инструкциите за възстановяване. Някои от тях може да са Ви полезни. На последно място, ако смята те да пускате нови браузърни екстензии или да си инсталирате нови приложения, когато се появи UAC съобщението, питайки Ви за потвърждение при инсталиране на нови файлове, внимавайте за гореспоменатите изпълними файлове. Ако програмата е свалена от сайт за развлечения, който иска да пуснете msaddc.exe или msdcom.exe, трябва да сте нащрек.

Възможно е да сме свързани с продукт, който препоръчваме на този сайт. Пълно оповестяване в нашето „Споразумение за ползване“ Чрез свалянето на всякакъв предоставен софтуер против спайуер за премахването на Рансъмуерният вирус XData, Вие се съгласявате с нашата декларация за поверителност и споразумение за ползване.
действай сега!
Свали
Reimage (инструмент за премахване) Гарантирана
Удовлетвореност
Свали
Reimage (инструмент за премахване) Гарантирана
Удовлетвореност
Съвместим с Microsoft Windows Съвместим с OS X
Какво да правим, ако не успеем с премахването?
Ако не успеете да премахнете дадена инфекция с Reimage, изпратете запитване на екипа ни по поддръжка и дайте подробна информация за проблема.
Reimage е препоръчан за изтриването на Рансъмуерният вирус XData. Безплатния скенер ви позволява да проверите дали компютърът Ви е заразен или не. Ако трябва да премахнете малуер, трябва да купите лицензирана версия на Reimage malware removal tool.

Повече информация за тази програма можете да намерите в Reimage отзив.

Повече информация за тази програма можете да намерите в Reimage отзив.
Медийни споменавания за Reimage
Медийни споменавания за Reimage

Упътване за ръчно премахване на XData вируси:

Премахнете XData, използвайки Safe Mode with Networking

Reimage е инструмент за засичане на малуер.
Трябва да купите пълната версия, за да премахнете инфекции.
Повече информация за Reimage.

Тази опция трябва да Ви помогне да възстановите устройството си в случай, че малуерът спре антивирусната Ви и предотврати премахването си по всякакъв друг начин.

  • Стъпка 1: Рестартирайте компютъра си, за да Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Натиснете Start Shutdown Restart OK.
    2. Когато компютърър Ви се активира, натиснете F8 няколко пъти, докато видите прозореца Advanced Boot Options
    3. Изберете Safe Mode with Networking от списъка Изберете 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Натиснете Power в Windows логин екран. Сега натиснете и задръжте Shift, което е на клавиатурата Ви, и след това натиснете Restart..
    2. Сега изберете Troubleshoot Advanced options Startup Settings и накрая натиснете Restart.
    3. След като компютърът Ви е активен, изберете Enable Safe Mode with Networking в Startup Settings прозореца. Изберете 'Enable Safe Mode with Networking'
  • Стъпка 2: Премахнете XData

    Влезте в заразения си акаунт и пуснете браузъра. Свалете Reimage или друга добра програма за анти спайуер. Обновете я преди цялостно сканиране на системата и премахнете зловредните файлове от Вашия рансъмуер и така завършете премахването на XData.

Ако Вашият рансъмуер блокира Safe Mode with Networking, опитайте другия метод.

Премахнете XData, използвайки System Restore

Reimage е инструмент за засичане на малуер.
Трябва да купите пълната версия, за да премахнете инфекции.
Повече информация за Reimage.

  • Стъпка 1: Рестартирайте компютъра си, за да Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Натиснете Start Shutdown Restart OK.
    2. Когато компютърър Ви се активира, натиснете F8 няколко пъти, докато видите прозореца Advanced Boot Options
    3. Изберете Command Prompt от списъка Изберете 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Натиснете Power в Windows логин екран. Сега натиснете и задръжте Shift, което е на клавиатурата Ви, и след това натиснете Restart..
    2. Сега изберете Troubleshoot Advanced options Startup Settings и накрая натиснете Restart.
    3. След като компютърът Ви е активен, изберете Enable Safe Mode with Command Prompt в Startup Settings прозореца. Изберете 'Enable Safe Mode with Command Prompt'
  • Стъпка 2: Рестартирайте системните си файлове и настройки
    1. След като се появи Command Prompt прозорец, въведете cd restore и кликнете Enter. Въведете 'cd restore' без кавички и натиснете 'Enter'
    2. Сега напишете rstrui.exe и натиснете Enter отново.. Въведете 'rstrui.exe' без кавички и натиснете 'Enter'
    3. Когато се появи нов екран, натиснете Next и изберете Вашия restore point преди инфекцията с XData. След това натиснете Next. Когато се появи 'System Restore' прозорец, изберете 'Next' Изберете своя restore point и натиснете 'Next'
    4. Сега кликнете Yes, за да започни system restore. Натиснете 'Yes' и започнете system restore
    Веднъж щом върнете системата си до предишна верия, свалете и сканирайте компютъра си с Reimage и се уверете, че премахването на XData е извършено успешно.

Бонус: Възстановяване на информацията

Представеното по-горе ръководство има за цел да ви помогне да премахнете XData от компютъра си. За да възстановите криптираните си файлове ви препоръчваме използването на подробно ръководство, изготвено от специалистите по компютърна сигурност на virusi.bg?

Ако файловете ви са криптирани от XData, може да използвате няколко начина за тяхното възстановяване:

Опцията с Data Recovery Pro

Промотира се като инструмент, способен да възстанови повредени файлове и дори загубени имейли.

  • Изтегляне на Data Recovery Pro (https://virusi.bg/download/data-recovery-pro-setup.exe)
  • Следвайте стъпките за инсталиране на Data Recovery и инсталирайте програмата на компютъра си;
  • Стартирайте и сканирайте компютъра за криптирани файлове от рансъмуер вируса XData;
  • Възстановете ги.

Предимствата на ShadowExplorer

Има добър шанс да възстановите файловете си, ако използвате тази програма. Използва shadow volume копията като шаблон за възстановяване на желани файлове. 

  • Изтегляне на Shadow Explorer (http://shadowexplorer.com/)
  • Следвайте Инсталационния помощник на Shadow Explorer и инсталирайте приложението на компютъра си;
  • Стартирайте програмата и разгледайте падащото меню в горния ляв ъгъл, за да изберете диска с криптирана информация. Проверете какви папки има там;
  • Кликнете с десния бутон на мишката върху папката, която искате да възстановите и изберете “Export”. Може, също така, да изберете и мястото,където желаете да бъде съхранена.

В момента няма известни начини за декриптиране на файлове, заключени от рансъмуера XData

Накрая, винаги трябва да мислите за защита от крипто-рансъмуери. За да защитите компютъра си от XData и други рансъмуери, използвайте добър анти спайуер, като например Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware

За автора

Gabriel E. Hall
Gabriel E. Hall

Ако това безплатно упътване за премахване Ви е помогнало и сте доволни от нашата услуга, моля подкрепете ни, като направите дарение, за да продължим да поддържаме услугата. Дори най-малката сума ще бъде оценена.