Шифровальщик Xorist выдает себя за другие шифровальщики

Тема в разделе "Вирусы-шифровальщики", создана пользователем thyrex, 6 июл 2016.

Метки:
  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Вчера на форум фан-клуба Лаборатории Касперского обратились с проблемой Вирус зашифровал файлы cerber - Уничтожение вирусов. Результаты осмотра не выявили характерных для Cerber сообщений для связи Cerber Ransomware Support and Help Topic - # DECRYPT MY FILES #.html/.txt/.vbs - Ransomware Tech Support and Help
    Зато в файле HOW TO DECRYPT FILES.html была точная копия оставляемых им сообщений :)
    Осмотр присланных файлов показал, что Cerber'а там нет и в помине, а есть старинушка Xorist. Утилитой от Emsisoft подобрал ключ и другие параметры шифрования. Но выдал пользовательнице свою утилиту, ибо не был уверен в ее способности правильно запустить подбор ключа. :)

    Кстати, это не первый случай такого обмана. В теме на Вирусинфо Win32.Xorist.bl/Trojan.Encoder.94 [Trojan-Ransom.Win32.Xorist.bl ] (заявка № 201768) Xorist выдавал себя по расширению за шифровальщика Neitrino (который тоже не расшифровать без помощи злодеев)
     
    Kиpилл, -SEM-, Охотник и 2 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Да, я тоже заметил.
    Вот еще две темы: тыц и тыц, где с опознанием непонятки. Но далеко не все.
    Эта тенденция началась в конце мая - начале июня. Запутывают, специально запутывают.
    Вечером, если успею, опишу один такой новый по факту, старый по названию, но новый по декриптору вымогатель. Вот такая вот каша.
     
    Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Пока еще, это единичные случаи.
    В перспективе в Encoder Builder, который используется для генерации новых Xorist-вымогателей, можно добавить опцию шаблонов чужих вымогательских записок. Собрать их не составляет труда.
     
    Охотник нравится это.
  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Да, так оно и оказалось
     
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Удалось раздобыть у иностранцев тушку и пришлось разбираться с MSIL. Такой способ распространения Xorist вижу впервые.

    Сначала из ресурсов в память извлекается еще один MSIL-файл. Этот файл что-то типа конструктора. Сначала он расшифровывает конфигуратор с настройками дальнейшей работы. Детально с настройками не разбирался, но он может выдавать себя и за легальные программы (notepad.exe, svchost.exe и т.д.), и отладчик проверять, и блокировку диспетчера задач и редактора реестра, и т.д.

    Сам шифратор имеет привычный вид после конструктора от Vazonez и тоже запускается вроде как прямо из памяти.

    Остается неясным вопрос, почему он не может иногда менять расширения с первого захода и поэтому шифрует по несколько раз. Ну ладно с базами 1С такое может быть, но у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.
     
    Последнее редактирование: 18 июл 2016
    Охотник, SNS-amigo и Kиpилл нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Если предположить, что они качают всё подряд и запускают на пробу - работает или нет, и в итоге у них по нескольку раз разные шифровальщики по файлам проходятся.
     
    Охотник нравится это.
  9. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Вполне возможно. Тут еще один вариант пришел на ум. Окна-то никакого на экране не появляется после запуска вируса. Вот и проверяют работу повторными запусками.
    Вот и доходит до абсурда
     
    Охотник и SNS-amigo нравится это.
  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Возился почти две недели еще с одним иностранцем. Если бы не обнаружил сегодня косяк в своем подборщике, то провозился бы еще неизвестно сколько времени :) Да и отвечал этот американец уж очень редко.

    В этот раз распространялась зараза через Autoit-скрипт, похоже (исходник в итоге получить пока не удалось из-за отсутствия файла, необходимого для деобфускации). Файлы оказались пошифрованы тоже по несколько раз, а один так вообще оказался просто переименован info.txt (2.44KB) - SendSpace.com
     
    SNS-amigo и Охотник нравится это.

Поделиться этой страницей