Ransomware XData - Come rimuoverlo?

 

Il virus ransomware XData è stato rilevato ieri, il 18 maggio. XData è un ransomware che sceglie di funzionare come File Encoder. Secondo l’analisi del payload msdcom.exe, questo specifico esempio di ransomware potrebbe essere distribuito con Heur Trojan poiché molti strumenti di sicurezza hanno indicato la sua presenza potenziale. Il processo di crittografia che questa infezione infligge nei file digitali si specifica che venga eseguito con l’algoritmo AES. I ricercatori sembrano aver ricevuto rapporti da poche decine di utenti, che spiegano che i loro file sono stati modificati per contenere l’estensione .xdata.

Caratteristiche di questo ransomware

Nella nota di riscatto, le vittime sono invitate a trovare il file chiave PC che dovrebbe contenere l’estensione “.key.~data~” Si indica che è collocato da qualche parte nel disco C: a seconda del sistema operativo. Le singole vittime verranno considerate in modo diverso, dato che vengono fornite numeri di identificazione univoci. Ci sono prove sufficienti di infezioni che sono arrivare in precedenza da suggerire che gli importi del riscatto variano. La tariffa può essere impostata in base al numero di documenti crittografati, foto, materiale video e altri tipi di file digitali.

Dopo di che, i dati codificati non sono più disponibili per l’utilizzo in quanto gli utenti non saranno in grado di lanciarli. È diventato un tratto prevalente per i creatori di ransomware il non indicare il riscatto esatto nei file .txt, ma fornire queste informazioni tramite transazioni di posta elettronica. Diversi account di posta elettronica si possono trovare nel file HOW_CAN_I_DECRYPT_MY_FILES.txt: beqins@colocasia.org, bilbo@colocasia.org, frodo@colocasia.org, trevor@thwonderfulday.com, bob@thwonderfulday.com, bil@thwonderfulday.com.

Il payload dell’infezione XData è stato esplicitamente indicato come il file msdcom.exe. I ricercatori sulla sicurezza indicano che questo è un processo non richiesto e se è in esecuzione nel Gestore Attività, dovreste capire che è inutile. In precedenza, questa procedura potenzialmente dannosa è stata inclusa nei sistemi operativi da un worm W32 / SDBOT. Ora, questo file è stato selezionato per estrarre gli eseguibili aggiuntivi e avviare il processo principale: la crittografia dei file. Coprirà anche altre procedure, come creare ulteriori voci di Registro di sistema di Windows e collegarsi ai server C & C.

Non perdete tempo contattando gli hacker tramite gli indirizzi email indicati. I truffatori semplicemente elaboreranno l’esatto riscatto e a quale portafoglio bitcoin va inviato. Anche se rispettate le regole e inviate il riscatto richiesta, non dovreste sentirvi fiduciosi di riavere i vostri file.

I creatori del ransomware hanno la tendenza a svanire dopo che i loro account sono pieni di bitcoins. Questo significa che vi hanno portato via i vostri soldi. Dal momento che non ci sono limiti di tempo per pagare il riscatto, avete tutto il tempo del mondo per decrittografare i vostri file senza temere che vengano distrutti permanentemente.

Come recuperare i file?

Per il momento, non è stato prodotto un sistema di decriptazione originale, ma c’è sempre la possibilità che venga rilasciato. Invece di pagare il riscatto, è necessario esplorare delle ulteriori opzioni. Ad esempio, i Volumi di Copie Shadow potrebbero essere intatte e il loro recupero potrebbe ancora essere possibile. Inoltre, è possibile utilizzare un software che è stato progettato per recuperare i dati dopo che sono stati codificati. Entrambe queste opzioni vengono discusse in dettaglio sotto al paragrafo sulla distribuzione del ransomware.

Tuttavia, se siete stati abbastanza cauti da memorizzare i vostri file in alcuni archivi di backup, dovete semplicemente rimuovere l’infezione e continuare con il recupero dei dati provenienti dagli archivi. Per eliminare tutte le tracce di procedure dannose, vi consigliamo di utilizzare Reimage, Spyhunter o Hitman per eseguire il processo di rilevamento e rimozione del ransomware XData.

Potenziali metodi di trasmissione dei payload maligni

I programmi eseguibili nocivi potrebbero essere resi disponibili nelle email che ricevete nella vostra casella di posta elettronica. Questo genere di messaggi di posta elettronica di solito finge di provenire da autorità rispettabili, mentre in realtà i loro creatori sono degli hacker. Non scaricate i file che sono inclusi come allegati poiché molto probabilmente avvieranno vari tipi di procedure dannose. Inoltre, il ransomware potrebbe arrivare grazie a siti vulnerabili, annunci pubblici malfamati. Anche la condivisione tra programmi peer-to-peer svolge un ruolo importante nella distribuzione dei trojan.

Come rimuovere Ransomware XData utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che XData virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di Ransomware XData

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Reimage, Spyhunter per rimuovere tutti i file malevoli collegati a XData virus.

3. Ripristino dei file corrotti da Ransomware XData utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente XData virus cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di Ransomware XData rimozione automatica

 
  Scarica Reimage per Ransomware XData rivelazioneNota: processo Reimage fornisce la rilevazione del parassita come Ransomware XData e aiuta a la sua rimozione per libero.È possibile rimuovere i file rilevati, i processi e le voci del Registro di voi stessi o acquistare una versione completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

Ransomware XData screenshots

 
           
     

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *