1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Шифровальщик Xorist выдает себя за другие шифровальщики

Тема в разделе "Вирусы-шифровальщики", создана пользователем thyrex, 6 июл 2016.

Метки:
  1. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Вчера на форум фан-клуба Лаборатории Касперского обратились с проблемой Вирус зашифровал файлы cerber - Уничтожение вирусов. Результаты осмотра не выявили характерных для Cerber сообщений для связи Cerber Ransomware Support and Help Topic - # DECRYPT MY FILES #.html/.txt/.vbs - Ransomware Tech Support and Help
    Зато в файле HOW TO DECRYPT FILES.html была точная копия оставляемых им сообщений :)
    Осмотр присланных файлов показал, что Cerber'а там нет и в помине, а есть старинушка Xorist. Утилитой от Emsisoft подобрал ключ и другие параметры шифрования. Но выдал пользовательнице свою утилиту, ибо не был уверен в ее способности правильно запустить подбор ключа. :)

    Кстати, это не первый случай такого обмана. В теме на Вирусинфо Win32.Xorist.bl/Trojan.Encoder.94 [Trojan-Ransom.Win32.Xorist.bl ] (заявка № 201768) Xorist выдавал себя по расширению за шифровальщика Neitrino (который тоже не расшифровать без помощи злодеев)
     
    Кирилл, -SEM-, Охотник и 2 другим нравится это.
  2. SNS-amigo

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.217
    Симпатии:
    8.913
    Да, я тоже заметил.
    Вот еще две темы: тыц и тыц, где с опознанием непонятки. Но далеко не все.
    Эта тенденция началась в конце мая - начале июня. Запутывают, специально запутывают.
    Вечером, если успею, опишу один такой новый по факту, старый по названию, но новый по декриптору вымогатель. Вот такая вот каша.
     
    Охотник нравится это.
  3. SNS-amigo

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.217
    Симпатии:
    8.913
    Пока еще, это единичные случаи.
    В перспективе в Encoder Builder, который используется для генерации новых Xorist-вымогателей, можно добавить опцию шаблонов чужих вымогательских записок. Собрать их не составляет труда.
     
    Охотник нравится это.
  4. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
  5. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Да, так оно и оказалось
     
  6. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
  7. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Удалось раздобыть у иностранцев тушку и пришлось разбираться с MSIL. Такой способ распространения Xorist вижу впервые.

    Сначала из ресурсов в память извлекается еще один MSIL-файл. Этот файл что-то типа конструктора. Сначала он расшифровывает конфигуратор с настройками дальнейшей работы. Детально с настройками не разбирался, но он может выдавать себя и за легальные программы (notepad.exe, svchost.exe и т.д.), и отладчик проверять, и блокировку диспетчера задач и редактора реестра, и т.д.

    Сам шифратор имеет привычный вид после конструктора от Vazonez и тоже запускается вроде как прямо из памяти.

    Остается неясным вопрос, почему он не может иногда менять расширения с первого захода и поэтому шифрует по несколько раз. Ну ладно с базами 1С такое может быть, но у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.
     
    Последнее редактирование: 18 июл 2016
    Охотник, SNS-amigo и Кирилл нравится это.
  8. SNS-amigo

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.217
    Симпатии:
    8.913
    Если предположить, что они качают всё подряд и запускают на пробу - работает или нет, и в итоге у них по нескольку раз разные шифровальщики по файлам проходятся.
     
    Охотник нравится это.
  9. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Вполне возможно. Тут еще один вариант пришел на ум. Окна-то никакого на экране не появляется после запуска вируса. Вот и проверяют работу повторными запусками.
    Вот и доходит до абсурда
     
    Охотник и SNS-amigo нравится это.
  10. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Возился почти две недели еще с одним иностранцем. Если бы не обнаружил сегодня косяк в своем подборщике, то провозился бы еще неизвестно сколько времени :) Да и отвечал этот американец уж очень редко.

    В этот раз распространялась зараза через Autoit-скрипт, похоже (исходник в итоге получить пока не удалось из-за отсутствия файла, необходимого для деобфускации). Файлы оказались пошифрованы тоже по несколько раз, а один так вообще оказался просто переименован info.txt (2.44KB) - SendSpace.com
     
    SNS-amigo и Охотник нравится это.
Загрузка...

Поделиться этой страницей