Шифровальщик Xorist выдает себя за другие шифровальщики

[thyrex]

Вчера на форум фан-клуба Лаборатории Касперского обратились с проблемой Вирус зашифровал файлы cerber - Уничтожение вирусов. Результаты осмотра не выявили характерных для Cerber сообщений для связи Cerber Ransomware Support and Help Topic - # DECRYPT MY FILES #.html/.txt/.vbs - Ransomware Tech Support and Help
Зато в файле HOW TO DECRYPT FILES.html была точная копия оставляемых им сообщений
Осмотр присланных файлов показал, что Cerber'а там нет и в помине, а есть старинушка Xorist. Утилитой от Emsisoft подобрал ключ и другие параметры шифрования. Но выдал пользовательнице свою утилиту, ибо не был уверен в ее способности правильно запустить подбор ключа.

Кстати, это не первый случай такого обмана. В теме на Вирусинфо Win32.Xorist.bl/Trojan.Encoder.94 [Trojan-Ransom.Win32.Xorist.bl ] (заявка № 201768) Xorist выдавал себя по расширению за шифровальщика Neitrino (который тоже не расшифровать без помощи злодеев)

 

[SNS-amigo]

Да, я тоже заметил.
Вот еще две темы: тыц и тыц, где с опознанием непонятки. Но далеко не все.
Эта тенденция началась в конце мая - начале июня. Запутывают, специально запутывают.
Вечером, если успею, опишу один такой новый по факту, старый по названию, но новый по декриптору вымогатель. Вот такая вот каша.

 

[SNS-amigo]

Пока еще, это единичные случаи.
В перспективе в Encoder Builder, который используется для генерации новых Xorist-вымогателей, можно добавить опцию шаблонов чужих вымогательских записок. Собрать их не составляет труда.

 

[thyrex]

А вот и ласточка у иностранцев похоже Cerber Ransomware Support and Help Topic - # DECRYPT MY FILES #.html/.txt/.vbs - Page 51 - Ransomware Tech Support and Help

 

[thyrex]

Да, так оно и оказалось

 

[thyrex]

Пришлось целую инструкцию сочинять Cerber Ransomware Support and Help Topic - # DECRYPT MY FILES #.html/.txt/.vbs - Ransomware Tech Support and Help

 

[thyrex]

Удалось раздобыть у иностранцев тушку и пришлось разбираться с MSIL. Такой способ распространения Xorist вижу впервые.

Сначала из ресурсов в память извлекается еще один MSIL-файл. Этот файл что-то типа конструктора. Сначала он расшифровывает конфигуратор с настройками дальнейшей работы. Детально с настройками не разбирался, но он может выдавать себя и за легальные программы (notepad.exe, svchost.exe и т.д.), и отладчик проверять, и блокировку диспетчера задач и редактора реестра, и т.д.

Сам шифратор имеет привычный вид после конструктора от Vazonez и тоже запускается вроде как прямо из памяти.

Остается неясным вопрос, почему он не может иногда менять расширения с первого захода и поэтому шифрует по несколько раз. Ну ладно с базами 1С такое может быть, но у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.

 

[SNS-amigo]

у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.

Если предположить, что они качают всё подряд и запускают на пробу - работает или нет, и в итоге у них по нескольку раз разные шифровальщики по файлам проходятся.

 

[thyrex]

Вполне возможно. Тут еще один вариант пришел на ум. Окна-то никакого на экране не появляется после запуска вируса. Вот и проверяют работу повторными запусками.
Вот и доходит до абсурда

Some are readable after the initial first pass, some require a further second pass with xorist_decrypt, and many in between all the way up to one particular .docx file required 21 passes before it was decrypted.

 

[thyrex]

Возился почти две недели еще с одним иностранцем. Если бы не обнаружил сегодня косяк в своем подборщике, то провозился бы еще неизвестно сколько времени Да и отвечал этот американец уж очень редко.

В этот раз распространялась зараза через Autoit-скрипт, похоже (исходник в итоге получить пока не удалось из-за отсутствия файла, необходимого для деобфускации). Файлы оказались пошифрованы тоже по несколько раз, а один так вообще оказался просто переименован info.txt (2.44KB) - SendSpace.com