XiaoBa Ransomware se znovu vydal jako mince, ale podařilo se vám zničit vaše soubory

Autoři XiaoBa ransomware převedli kód škodlivého softwaru na kryptocurrency miner (coinminer).

Bohužel, i přes to, že šifrovací soubory již nejsou šifrovány, XiaoBa coinminer stále zničí data uživatelů díky řadě chyb, které především poškozují spustitelné soubory uživatele.

Historie výprodeje XiaoBa

XiaoBa ransomware je jeden z těch kmenů ransomware, který je po celé měsíce aktivní na malvérské scéně, ale o tom slyšel jen velmi málo lidí, hlavně proto, že nikdy nebyl v centru distribuční kampaně.

Výzkumníci nejprve viděli první verze XiaoBa ransomware v říjnu loňského roku a druhý, o měsíc později.

Tyto první dvě verze byly zaměřeny pouze na čínské uživatele, ale třetí verze vydané v únoru tohoto roku, obsahovaly také výkupné poznámky v angličtině, což naznačovalo, že jeho autor mohl rozšířit svou cílovou základnu.

Byla zjištěna nová (vadná) verze XiaoBa

Nyní výzkumníci společnosti Trend Micro říkají, že identifikovali to, co se zdá být upravenou verzí XiaoBa ransomware, ale kódované tak, aby fungovalo jako souborový infiktor a kryptocurrency horník.

Myslíte si, že to, že se XiaoBa přeměňuje na koinomináře, je dobrá věc. Nicméně, není tomu tak. Tento nový nástroj XiaoBa obsahuje jemný kód, který ničí uživatelské soubory a havaruje počítače.

Důvodem je to kvůli XiaoBa "infikátoru souborů", který skenuje místní souborový systém a připojuje malware XiaoBa k jiným souborům.

Podle odborníků společnosti Trend Micro bude současná verze Xinoba coinminer vstříkat kopii sebe sama a legitimní miningový software šifrovací techniky XMRig uvnitř všech souborů EXE, COM, SCR a PIF nalezených na infikovaném počítači.

Výzkumníci společnosti Trend Micro však říkají, že tato "spustitelná rutina injekcí" byla špatně kódovaná, takže XiaoBa injektuje několik verzí sebe sama do jiných spustitelných souborů a dokonce může mít legitimní spustitelné soubory a injektovat je do jiných legitimních spustitelných souborů mnohokrát.

Řetězec infekce XiaoBa

Hlavní nevýhodou tohoto vadného procesu vstřikování souborů je to, že uměle nafoukne velikost souborů a zaujímá lokální místo na disku.

Nový XiaoBa coinminer zničí spustitelné soubory, havaruje počítače

Ale to není jediný problém. Crooks vytvořil proces vstřikování souborů, aby se ujistil, že bez ohledu na to, jakou aplikaci spustí uživatel, běží i vedle něj mincovník XiaoBa. Nicméně, oni pokazili jejich kód a spustit některou z "vstřikovaných" spustitelných souborů pouze spustí coinminer, ale ne legitimní app.

Dále infikátor souborů XiaoBa také připojí mincovníku k spustitelným souborům na celém pevném disku, včetně hlavních složek operačního systému.

Vzhledem k tomu, že proces vstřikování je vadný a proces "vstřikování" se nespustí, vedou to k problémům, kdy počítače uživatelů nebudou schopny zavést systém, protože jádrové spustitelné soubory systému Windows byly náhodně vyhozeny nahromaděnou součástí injektoru souborů XiaoBa.

XiaoBa také injektuje Coinhive do místních souborů HTML

Pokud se však zázrak počítače počítače s infikovanými uživateli spustí, uživatelé si musí být vědomi toho, že XiaoBa také injektuje kopii knihovny JavaScript Coinhive do všech souborů HTML a HTM a také z neznámých důvodů odstraní všechny soubory GHO a ISO.

Pokud XiaoBa způsobí takové škody uživatelským počítačům, i když v této nové verzi XiaoBa nejsou zahrnuty žádné funkce šifrování souborů, škodlivý software je stejně nebezpečný jako první tři varianty ransomware a uživatelé mohou potřebovat z obnovení záloh obnovit smazané nebo "injektované "Soubory.

IOC a další podrobnosti o této nové variantě XiaoBa jsou k dispozici ve zprávě Trend Micro, zde.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.