Обнаружено, что в Корее распространяется программа-вымогатель Koxic. Впервые она была выявлена в начале этого года, а недавно команда обнаружила, что файл с измененным внешним видом и внутренней запиской о выкупе был обнаружен и заблокирован через инфраструктуру ASD.
Koxic Ransomware
При заражении к именам зашифрованных файлов добавляется расширение ".KOXIC_[произвольная строка]", а в каждом каталоге генерируется записка с выкупом в формате TXT. Имя файла записки о выкупе выглядит следующим образом.
Записка о выкупе в недавно собранном образце похожа на записку BlueCrab (Sodinokibi, REvil) ransomware, которая когда-то активно распространялась в Корее.
BlueCrab имел собственный веб-сайт и указывал, что пользователи должны заходить на него через браузер TOR. В отличие от BlueCrab, Koxic ransomware направляет контакт через электронную почту.
Среди образцов Koxic ransomware, собранных в прошлом, были образцы с совершенно разными выкупами и те, которые были почти в том же формате, что и BlueCrab. Похоже, что между этими двумя программами нет прямой связи, поскольку в их кодах нет сходства.
В примечании о выкупе этого образца содержится угрожающее сообщение, в котором читателю говорится, что его важные файлы были загружены, и если он не придет к соглашению, эти данные будут утечены, однако этого никогда не происходило.
Еще одна особенность, которую следует отметить, заключается в том, что названия разделов были намеренно изменены, чтобы скрыть упаковку UPX. Эта техника, получившая название UPX Trick, является широко используемым методом, когда файлы, упакованные UPX, модифицируются, чтобы затруднить анализ или обойти автоматическую распаковку антивирусными программами.
Indicators of Compromise
MD5
- 01a4208ab9d4b2cfa87ffbdef2f8ab78
- 3c4fa896e819cb8fada88a6fdd7b2cc7
- e9fdad2df8f8b95398f3c8f27e940f5d