Elimină virusul XData (Ghid de înlăturare) - mai 2017 actualizat
Ghid de înlăturare a viruşilor XData
Ce este Virusul de tip ransomware XData?
Ransomware-ul XData face prăpăd în Ucraina, depăşind extinderea lui WannaCry
Virusul Xdata operează ca şi un ransomware care criptează fişierele cu ajutorul algoritmului de criptare AES . Acest program maliţios pare a ataca doar Ucraina, însă există victime şi în Rusia, Estonia şi Germania . Virusul prezintă un model destul de simplu, deoarece nu lansează GUI-ul specific. În schimb, deschide HOW_CAN_I_DECRYPT_MY_FILES.txt cu instrucţiuni pentru a localiza ID-ul şi adresele de email pentru a contacta hackerii. În mod surprinzător, prezintă 6 adrese: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]. Numele domeniului sugerează că hackerii au fost într-o dispoziţie bună atunci când au lansat malware-ul, totuşi, victimele acestuia cu siguranţă nu se bucură de experienţă. Nu doar faptul că fişierele lor sunt acum marcate cu extensia de fişier .~xdata~ , însă, acestea mai sunt şi blocate. Mai mult, se pare că malware-ul este bazat pe un troian care a apărut acum câţiva ani – HEUR:Trojan.Win32.Generic. Mai mult, se pare că malware-ul utilizează peste 20 de adrese de IP pentru a-şi acoperi urmele. Până când o unealtă de decriptare va fi creată, vă recomandăm să eliminaţi XData. Pentru acest scop, FortectIntego sau Malwarebytes pot fi utile.
Nota de recompensă sugerează că malware-ul angajează o metodă de criptare normală, cu o cheie publică pentru a coda datele internauţilor. Ca şi regulă, pentru a decripta fişierele, utilizatorii trebuie să obţină cheia unică, privată. Criminalii cibernetici par a utiliza serverul de Comandă şi Control pentru a stoca cheia. Această funcţie permite mai multă flexibilitate pentru a administra mai multe domenii înregistrate, şi de asemenea, să ofere statutul de anonim. Mai mult, escrocii cer utilizatorilor să îşi găsească ID-ul localizând fişierul cu extensia .key.-xdata-. După, ar trebui să contacteze hackerii prin intermediul adreselor de email date. Nota de recompensă lăsată de ransomware-ul Xdata nu prezintă o anumită sumă. O astfel de caracteristică poate fi explicată din două perspective: fie hackerii au uitat să menţioneze suma, fie sunt dispuşi să negocieze. În orice caz, nu recomandăm contactarea criminalilor. Este de înţeles dacă decideţi să plătiţi riscând pierderea banilor, însă reţineţi că nu există vreo garanţie precum că hackerii vă vor returna fişierele . Deci, este posibil să doriţi să eliminaţi complet Xdata.
Actualizat pe 22 mai, 2017. La câteva zile după apariţia ransomware-ului Xdata, cercetătorii au observat că acest virus se răspândeşte, în principal, în Ucraina . Surprinzător, cercetătorii au raportat că doar într-o zi, virusul a reuşit să infecteze de patru ori mai multe calculatoare decât rău famatul WannaCry a reuşit într-o săptămână. Mai şocant este faptul că WannaCry a acţionat pe o scară globală, în timp ce acest virus a ţintit o singură ţară. Nu este surprinzător faptul că virusul X Data a reuşit să sară pe a doua poziţie a celor mai active familii de ransomware pe 19 mai, şi singurul virus pe care nu a reuşit să îl depăşească este Cerber.
Malware-ul XData încă se află sub investigaţie, însă cercetătorii de viruşi se aşteaptă ca acesta să fie decriptabil.
Metode ilegale utilizate pentru a distribui ransomware
Pentru a multiplica numărul de calculatoare infectate, dezvoltatorii pot folosi mai multe metode de distribuţie. Cea mai populară este prin ţintirea utilizatorilor cu email-uri de tip spam. Reţineţi că email-urile care vă informează despre pachete nelivrate, facturi sau alte documente importante pot fi false şi pot ascunde un virus problematic. Deci, prin deschiderea unui astfel de fişier, puteţi permite ransomware-ului XData sau unui alt ransomware să vă infecteze calculatorul. Ransomware-ul începe aceste procese în gazda infectată – msaddc.exe, mscomrpc.exe, msdcom.exe, msdns.exe, mssecsvc.exe, mssql.exe şi msdcom.exe. Pentru a scădea riscul de infectare, o aplicaţie de securitate, adecvată ar trebui instalată. Dacă deja aveţi una şi tocmai a trimis în carantină una dintre următoarele detecţii – Trojan.Heur.TP.E72C6B, Gen:Trojan.Heur.TP.eqW@baZ37zo sau Ransom_XDATA.A, ar trebui să ştiţi că virusul Xdata tocmai a încercat să vă cripteze fişierele din sistemul dumneavoastră.
Eliminarea ransomware-ului XData
Când vine vorba de ransomware, utilizatorii ar trebui să opteze pentru metoda de eliminare automată a lui Xdata. Doar dacă nu sunteţi un specialist în IT, ar fi inutil să urmăriţi toate fişierele malware-ului care s-au răspândit prin întregul sistem. Doar după ce eliminaţi virusul Xdata, puteţi trece prin instrucţiunile de recuperare date. Unele dintre ele pot fi utile pentru dumneavoastră. În cele din urmă, dacă sunteţi pe punctul de a activa extensii de browser noi sau să instalaţi noi aplicaţii atunci când mesajul UAC vă cere să permiteţi instalarea unor noi fişiere, atenţie la fişierele executabile menţionate mai sus. Dacă programul descărcat de pe website-uri de divertisment vă cere să activaţi msaddc.exe sau msdcom.exe, ar trebui să fiţi în alertă.
Manual de înlăturare a virusului XData
Înlăturaţi XData utilizând Safe Mode with Networking
Această opţiune ar trebui să vă ajute să recâştigaţi controlul asupra dispozitivului, în cazul în care malware-ul închide uneltele antivirus şi previne eliminarea prin alte metode.
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
-
Select Safe Mode with Networking from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
-
Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings.
-
Pasul 2: Înlătură XData
Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi FortectIntego sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui XData.
În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.
Înlăturaţi XData utilizând System Restore
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
-
Select Command Prompt from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
-
Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings.
-
Pasul 2: Resetaţi fişierele şi setările sistemului
-
Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter.
-
Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter..
-
Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui XData. După ce veţi face acest lucru, apăsaţi Next.
-
Acum apăsaţi pe Yes pentru a începe restaurarea sistemului.
-
Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter.
Bonus: Recuperaţi-vă datele
Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi XData din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.Dacă fişierele dumneavoastră au fost criptate de către XData, puteţi utiliza diverse metode pentru a le recupera:
Opţiunea Data Recovery Pro
Este promovată ca şi unealtă capabilă să recupereze fişierele avariate şi chiar să recupereze email-urile pierdute.
- Descărcare Data Recovery Pro;
- Urmaţi paşii din setările Data Recovery şi instalaţi programul în calculatorul dumneavoastră;
- Lansaţi-l şi scanaţi-vă calculatorul pentru fişierele criptate de către ransomware-ul XData;
- Recuperaţi-le.
Beneficiile lui ShadowExplorer
Există şansa de a vă recupera fişierele dacă utilizaţi acest program. Foloseşte shadow volume copies ca şi şabloane pentru a recrea fişierele dorite.
- Descarcă Shadow Explorer (http://shadowexplorer.com/);
- Urmaţi setarea de instalare Shadow Explorer şi instalaţi această aplicaţie în calculatorul dumneavoastră.
- Lansaţi programul şi treceţi prin meniul sus-jos din colţul stânga sus pentru a selecta diskul cu datele criptate. Verificaţi ce dosare se află acolo.
- Apăsaţi dreapta pe dosarul pe care doriţi să îl recuperaţi şi selectaţi “Export”. De asemenea, puteţi selecta locul unde doriţi să îl stocaţi.
Momentan, nu există metode cunoscute de a decripta fişierele blocate de către ransomware-ul XData.
În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de XData precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum FortectIntego, SpyHunter 5Combo Cleaner sau Malwarebytes.
Dacă acest ghid gratuit de înlăturare v-a ajutat şi sunteţi satisfăcut de serviciile noastre, vă rugăm să luaţi în considerare a face o donaţie pentru a menţine acest serviciu în viaţă. Chiar şi o sumă mică va fi apreciată.