Le virus ransomware XData a été détecté hier, le 18 mai. XData est un ransomware, optant de fonctionner comme un encodeur de fichier. Selon l’analyse de la charge utile msdcom.exe, cet échantillon de ransomware spécifique pourrait être distribué avec le cheval de Troie Heur car de nombreux outils de sécurité indiquent sa présence potentielle. Le processus de cryptage que cette infection inflige aux fichiers numériques est exécutée avec l’algorithme AES. Les chercheurs semblent avoir reçu des rapports de quelques dizaines d’utilisateurs, expliquant que leurs dossiers ont été modifiés pour contenir l’extension .xdata.
Caractéristiques de ce ransomware
Dans la demande de rançon, les victimes sont chargés de trouver un fichier clé qui devrait avoir l’extension « .key ~data~ » . Il est indiqué pour être placé quelque part dans le répertoire du disque C: en fonction du système d’exploitation. Les victimes individuelles seront considérées différemment et des numéros uniques d’identification sont donnés. Il y a suffisamment de preuves contre les infections qui sont venus avant cela pour suggérer que les montants de rançon diffèrent. Ils pourraient alors être fixés en fonction du nombre de documents cryptés, des photos, du matériel vidéo et d’autres types de fichiers numériques.
Après cela, les données codées ne sont plus disponibles pour l’utilisation et les utilisateurs ne seront pas en mesure de les lancer. C’est devenu un trait dominant pour les créateurs de ransomware de ne pas indiquer la rançon exacte dans les fichiers txt, mais de fournir cette information par le biais des transactions e-mail. Plusieurs comptes de messagerie sont laissés dans le fichier HOW_CAN_I_DECRYPT_MY_FILES.txt: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected].
La charge utile de l’infection XData a été explicitement mentionnée comme le fichier msdcom.exe. Les chercheurs en sécurité indiquent que ce processus est non sollicité et que si elle est en cours d’exécution dans le Gestionnaire des tâches, vous devez réaliser son inutilité. Auparavant, cette procédure potentiellement dangereux a été incluse dans les systèmes d’exploitation par un ver W32 / Sdbot. Maintenant, ce fichier a été sélectionné pour extraire des exécutables supplémentaires et de commencer le processus principal: le cryptage de fichier. Elle couvrira également d’autres procédures, comme faire des entrées supplémentaires dans les clés de Registre Windows et la connexion aux serveurs C & C.
Ne perdez pas votre temps en communiquant avec les pirates via les adresses e-mail indiquées. Les escrocs donnent simplement des précisions sur la rançon exacte et sur quel porte-monnaie Bitcoin elle doit arriver. Même si vous respectez les règles et envoyez les droits exigés, vous ne devriez pas avoir confiance d’obtenir vos fichiers.
Les auteurs de ransomware ont tendance à disparaître après que leurs comptes soient remplis de Bitcoins. Cela signifie que vous gaspillez votre argent. Comme il n’y a pas de limite de temps pour payer la rançon, vous avez tout le temps pour décrypter vos fichiers sans craindre qu’ils soient définitivement détruits.
Comment récupérer les fichiers ?
Pour l’instant, un décrypteur original n’a pas été produit, mais il y a toujours une chance d’en sortir un. Au lieu de payer la rançon, vous devez explorer d’autres options. Par exemple, les clichés instantanés des volumes pourrait être intacte et leur restaurations sont encore possibles. De plus, vous pouvez utiliser le logiciel qui a été conçu pour récupérer des données après qu’il ait été codé. Ces deux options sont examinées plus en détail après le paragraphe sur la distribution du ransomware.
Cependant, si vous avez été assez prudent pour stocker vos fichiers dans des sauvegardes, vous devez simplement supprimer l’infection et poursuivre la récupération des données de stockage. Pour se débarrasser de toute trace de procédures malveillantes, nous vous recommandons d’utiliser Spyhunter ou Hitman pour le processus de détection et de suppression du ransomware XData.
Les méthodes potentielles de transmission de charges utiles malicieuses
Les exécutables nuisibles pourraient être mis à disposition dan des mail que vous recevez dans votre boîte de réception. Ce genre de messages de spam prétendent généralement provenir d’autorité respectables, alors qu’en réalité, leurs créateurs sont des pirates. Ne pas télécharger les fichiers qui sont inclus en pièce jointe, car ils sont très susceptibles de commencer différents types de procédures nuisibles. De plus, un ransomware pourrait arriver grâce à des sites vulnérables, des publicités souillées. Le peer-to-peer joue également un rôle énorme dans la distribution des chevaux de Troie.
Comment supprimer Le ransomware XData en utilisant System Restore(Restauration du système)?
1. Redémarrer votre ordinateur en Mode sans échec avec Invite de commande
Pour Windows 7 / Vista/ XP
- Démarrer → Eteindre → Redémarrer → OK.
- Appuyer sur la touche F8 de façon répétée jusqu’à ce que la fenêtre Options de démarrage avancé apparaisse.
- Choisir Mode sans échec avec Invite de commande.
Pour Windows 8 / 10
- Appuyer sur Alimentation sur l’écran de démarrage de Windows. Puis appuyer et maintenir la touche Majuscule et cliquer sur Redémarrer.
- Choisir Dépanner → Options avancées → Paramètres de démarrage et cliquer sur Redémarrer.
- Lorsque cela charge, sélectionnez Activer Mode sans échec avec Invite de commande dans la liste des Paramètres de démarrage.
Restaurer les fichiers du système et les paramètres.
- Lorsque le mode Invite de commande charge, entrer la restauration de cd et appuyer sur Entrée.
- Puis entrer rstrui.exe et appuyez à nouveau sur Entrée.
- Cliquez sur “Suivant” dans la fenêtre qui est apparue.
- Sélectionner un des Point de restauration qui sont disponibles avant que Le virus XData ait infiltré votre système puis cliquer sur “Suivant”.
- Pour démarrer la Restauration du système, cliquer sur “Oui”.
2. Compléter la suppression de Le ransomware XData
Après la restauration du système, il est recommandé d’analyser votre ordinateur avec un programme anti logiciels malveillants, comme Spyhunter et de supprimer tous les fichiers malveillants en lien avec Le virus XData.
3. Restaurer les fichiers affectés par Le ransomware XData en utilisant les copies Shadow Volume
Si vous n’utilisez pas l’option Restauration du système sur votre système d’exploitation, il y a une chance pour utiliser des copies de snapshots de fenêtres. Ils stockent les copies de vos fichiers qui pointent le temps lorsque le snapshot de restauration du système a été créé. Habituellement, Le virus XData essaie de supprimer toutes les copies Shadow Volume, donc ces méthodes peuvent ne pas fonctionner sur tous les ordinateurs. Cependant, cela pourrait échouer.
Les copies Shadow Volume sont uniquement valables avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via la copie Shadow Volume. Vous pouvez le faire en utilisant les précédentes versions de Windows ou via Shadow Explorer.
a) Précédentes versions Windows d’origineClic droit sur un fichier crypté et sélectionner Propriétés>onglet Versions précédentes. Maintenant, vous verrez toutes les copies disponibles dans ce fichier en particulier et le moment où il a été stocké dans la copie Shadow Volume. Choisir la version du fichier que vous voulez retrouver et cliquer sur Copie si vous voulez le sauvegarder dans un répertoire de votre choix, ou Restaurer si vous voulez remplacer, le fichier crypté existant. Si vous voulez voir le contenu du premier fichier, cliquer sur Ouvrir.
b) Shadow Explorer
C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez télécharger soit une version complète soit portable de Shadow Explorer. Ouvrez le programme. Dans le coin supérieur gauche, sélectionnez le lecteur où le fichier que vous cherchez est un stocké. Vous verrez tous les dossiers sur ce lecteur. Pour récupérer un dossier entier, clic-droit dessus et sélectionnez "Exporter". Ensuite, choisissez où vous voulez qu'il soit stocké.
Remarque: Dans de nombreux cas, il est impossible de restaurer les bases de données affectées par les nouveaux logiciels escrocs. Par conséquent, nous recommandons une sauvegarde sur le Cloud en précaution. Nous recommandons de retirer Carbonite, BackBlaze, CrashPlan ou Mozy Home.
Outils de suppression Malware automatique
(Win)
Note: le procès Spyhunter de détection permet de parasite comme Le Ransomware Xdata et contribue à son retrait pour libre. Essai limité disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: le procès Combo Cleaner de détection permet de parasite comme Le Ransomware Xdata et contribue à son retrait pour libre. Essai limité disponible, Terms of use, Privacy Policy, Uninstall Instructions,