• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Шифровальщик Xorist выдает себя за другие шифровальщики

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,367
Симпатии
2,442
#1
Вчера на форум фан-клуба Лаборатории Касперского обратились с проблемой Вирус зашифровал файлы cerber - Уничтожение вирусов. Результаты осмотра не выявили характерных для Cerber сообщений для связи Cerber Ransomware Support and Help Topic - # DECRYPT MY FILES #.html/.txt/.vbs - Ransomware Tech Support and Help
Зато в файле HOW TO DECRYPT FILES.html была точная копия оставляемых им сообщений :)
Осмотр присланных файлов показал, что Cerber'а там нет и в помине, а есть старинушка Xorist. Утилитой от Emsisoft подобрал ключ и другие параметры шифрования. Но выдал пользовательнице свою утилиту, ибо не был уверен в ее способности правильно запустить подбор ключа. :)

Кстати, это не первый случай такого обмана. В теме на Вирусинфо Win32.Xorist.bl/Trojan.Encoder.94 [Trojan-Ransom.Win32.Xorist.bl ] (заявка № 201768) Xorist выдавал себя по расширению за шифровальщика Neitrino (который тоже не расшифровать без помощи злодеев)
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,193
Симпатии
8,511
#2
Да, я тоже заметил.
Вот еще две темы: тыц и тыц, где с опознанием непонятки. Но далеко не все.
Эта тенденция началась в конце мая - начале июня. Запутывают, специально запутывают.
Вечером, если успею, опишу один такой новый по факту, старый по названию, но новый по декриптору вымогатель. Вот такая вот каша.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,193
Симпатии
8,511
#3
Пока еще, это единичные случаи.
В перспективе в Encoder Builder, который используется для генерации новых Xorist-вымогателей, можно добавить опцию шаблонов чужих вымогательских записок. Собрать их не составляет труда.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,367
Симпатии
2,442
#7
Удалось раздобыть у иностранцев тушку и пришлось разбираться с MSIL. Такой способ распространения Xorist вижу впервые.

Сначала из ресурсов в память извлекается еще один MSIL-файл. Этот файл что-то типа конструктора. Сначала он расшифровывает конфигуратор с настройками дальнейшей работы. Детально с настройками не разбирался, но он может выдавать себя и за легальные программы (notepad.exe, svchost.exe и т.д.), и отладчик проверять, и блокировку диспетчера задач и редактора реестра, и т.д.

Сам шифратор имеет привычный вид после конструктора от Vazonez и тоже запускается вроде как прямо из памяти.

Остается неясным вопрос, почему он не может иногда менять расширения с первого захода и поэтому шифрует по несколько раз. Ну ладно с базами 1С такое может быть, но у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.
 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,193
Симпатии
8,511
#8
у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.
Если предположить, что они качают всё подряд и запускают на пробу - работает или нет, и в итоге у них по нескольку раз разные шифровальщики по файлам проходятся.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,367
Симпатии
2,442
#9
Вполне возможно. Тут еще один вариант пришел на ум. Окна-то никакого на экране не появляется после запуска вируса. Вот и проверяют работу повторными запусками.
Вот и доходит до абсурда
Some are readable after the initial first pass, some require a further second pass with xorist_decrypt, and many in between all the way up to one particular .docx file required 21 passes before it was decrypted.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,367
Симпатии
2,442
#10
Возился почти две недели еще с одним иностранцем. Если бы не обнаружил сегодня косяк в своем подборщике, то провозился бы еще неизвестно сколько времени :) Да и отвечал этот американец уж очень редко.

В этот раз распространялась зараза через Autoit-скрипт, похоже (исходник в итоге получить пока не удалось из-за отсутствия файла, необходимого для деобфускации). Файлы оказались пошифрованы тоже по несколько раз, а один так вообще оказался просто переименован info.txt (2.44KB) - SendSpace.com
 
Сверху Снизу