• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Шифровальщик Xorist выдает себя за другие шифровальщики

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,801
Реакции
2,398
Вчера на форум фан-клуба Лаборатории Касперского обратились с проблемой Вирус зашифровал файлы cerber - Уничтожение вирусов. Результаты осмотра не выявили характерных для Cerber сообщений для связи Cerber Ransomware Support and Help Topic - # DECRYPT MY FILES #.html/.txt/.vbs - Ransomware Tech Support and Help
Зато в файле HOW TO DECRYPT FILES.html была точная копия оставляемых им сообщений :)
Осмотр присланных файлов показал, что Cerber'а там нет и в помине, а есть старинушка Xorist. Утилитой от Emsisoft подобрал ключ и другие параметры шифрования. Но выдал пользовательнице свою утилиту, ибо не был уверен в ее способности правильно запустить подбор ключа. :)

Кстати, это не первый случай такого обмана. В теме на Вирусинфо Win32.Xorist.bl/Trojan.Encoder.94 [Trojan-Ransom.Win32.Xorist.bl ] (заявка № 201768) Xorist выдавал себя по расширению за шифровальщика Neitrino (который тоже не расшифровать без помощи злодеев)
 
Да, я тоже заметил.
Вот еще две темы: тыц и тыц, где с опознанием непонятки. Но далеко не все.
Эта тенденция началась в конце мая - начале июня. Запутывают, специально запутывают.
Вечером, если успею, опишу один такой новый по факту, старый по названию, но новый по декриптору вымогатель. Вот такая вот каша.
 
Пока еще, это единичные случаи.
В перспективе в Encoder Builder, который используется для генерации новых Xorist-вымогателей, можно добавить опцию шаблонов чужих вымогательских записок. Собрать их не составляет труда.
 
Удалось раздобыть у иностранцев тушку и пришлось разбираться с MSIL. Такой способ распространения Xorist вижу впервые.

Сначала из ресурсов в память извлекается еще один MSIL-файл. Этот файл что-то типа конструктора. Сначала он расшифровывает конфигуратор с настройками дальнейшей работы. Детально с настройками не разбирался, но он может выдавать себя и за легальные программы (notepad.exe, svchost.exe и т.д.), и отладчик проверять, и блокировку диспетчера задач и редактора реестра, и т.д.

Сам шифратор имеет привычный вид после конструктора от Vazonez и тоже запускается вроде как прямо из памяти.

Остается неясным вопрос, почему он не может иногда менять расширения с первого захода и поэтому шифрует по несколько раз. Ну ладно с базами 1С такое может быть, но у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.
 
Последнее редактирование:
у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.
Если предположить, что они качают всё подряд и запускают на пробу - работает или нет, и в итоге у них по нескольку раз разные шифровальщики по файлам проходятся.
 
Вполне возможно. Тут еще один вариант пришел на ум. Окна-то никакого на экране не появляется после запуска вируса. Вот и проверяют работу повторными запусками.
Вот и доходит до абсурда
Some are readable after the initial first pass, some require a further second pass with xorist_decrypt, and many in between all the way up to one particular .docx file required 21 passes before it was decrypted.
 
Возился почти две недели еще с одним иностранцем. Если бы не обнаружил сегодня косяк в своем подборщике, то провозился бы еще неизвестно сколько времени :) Да и отвечал этот американец уж очень редко.

В этот раз распространялась зараза через Autoit-скрипт, похоже (исходник в итоге получить пока не удалось из-за отсутствия файла, необходимого для деобфускации). Файлы оказались пошифрованы тоже по несколько раз, а один так вообще оказался просто переименован info.txt (2.44KB) - SendSpace.com
 
Назад
Сверху Снизу