Лаборатория FortiGuard Labs недавно обнаружила новый вариант вымогательского ПО Xorist. Семейство Xorist ransomware существует в природе уже как минимум пять лет, а по некоторым данным, срок его существования приближается к десятилетию.
Xorist Ransomware
Не известно как именно новый вариант Xorist ransomware распространяется среди жертв, есть несколько подсказок. Например, исполняемый файл программы называется "Ley del Presidente y Vicepresidente de la República de Cuba.pdf.exe", что переводится как "Закон президента и вице-президента Республики Куба.pdf.exe". Еще одной подсказкой является то, что соответствующие образцы были представлены на VirusTotal 31 октября в основном с Кубы.
По совпадению, в тот же день на VirusTotal был отправлен доброкачественный PDF-файл "Ley del Presidente y Vicepresidente de la República de Cuba.pdf". Этот PDF-файл помечен как "Официальный вестник Республики Куба" о Национальной ассамблее народной власти, состоявшейся в конце 2020 года. Его родительский файл представляет собой самораспаковывающийся файл .rar, который содержит PDF-файл, но также предназначен для запуска отсутствующего приложения "You Are Hacked.exe", которое является именем файла, распространяемого образцами этого варианта Xorist ransomware. Мы полагаем, что отсутствующее приложение "You Are Hacked.exe" было удалено пользователем VirusTotal до отправки файла.
Эта информация позволяет нам предположить, что злоумышленник подготовил два типа файлов для распространения варианта Xorist: поддельный PDF-файл, который пытается обмануть жертв, думая, что они открыли законный файл, выпущенный кубинским правительством, и другой поддельный PDF-файл, который на самом деле является вредоносным исполняемым файлом.
Вариант Xorist ransomware оставляет записку с требованием выкупа на испанском языке.
Сообщение о выкупе гласит:
ВНИМАНИЕ!
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! Чтобы восстановить ваши файлы и получить к ним доступ, пожалуйста, отправьте $100 в Bitcoin на этот QR-код.ЕСЛИ ВЫ НЕ ЗАПЛАТИТЕ В ТЕЧЕНИЕ 48 ЧАСОВ, ВСЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ БЕЗВОЗВРАТНО У ВАС ЕСТЬ 5 ПОПЫТОК ВВЕСТИ ПРАВИЛЬНЫЙ КОД.
Требование выкупа составляет 100 долларов в Биткойне, что считается дешевым для предприятий.
Этих подсказок достаточно, чтобы сделать вывод, что этот вариант Xorist ransomware, скорее всего, был разработан для потребителей на Кубе.
Эта программа также заменяет обои рабочего стола сообщением о выкупе. Оно включает QR-код с адресом биткоин-кошелька злоумышленника.
Indicators of Compromise
SHA256
- 097f45297c3595c45ccf60dff0508e77cbd7b96c9f1caca172635dcccf04f7a3
- 14cdb3735feec79d1bfbbcca899bc209b20e97283e7e600ff930b0019abeaef6
- 38f226d2c7ac8a803d3d1233a234a0c60d2ce88528fcf48092223e88eedf5023
- 7d3075d8426c817154b05b695d6196e5ea977a67d0132cf552851f237c166f5e
- 95c2dd45f074296cbbbfb37c004ebdf3db4240821cb8a8bba5ce6710285e4b4d