XerXes Ransomware
Android Xerxes bot
(шифровальщик-вымогатель для Android) (первоисточник)
Translation into English
Этот крипто-вымогатель для Android шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Банковский троян с дистанционным управлением и функцией программы вымогателя.
Обнаружения:
DrWeb -> Android.BankBot.2448, Android.BankBot.2482, Android.RemoteCode.6833
BitDefender -> Trojan.GenericKD.42976269
BitDefenderFalx -> Android.Trojan.Banker.OV
Avira (no cloud) -> ANDROID/Dropper.FOOZ.Gen, ANDROID/Dldr.Agent.PAE.Gen
ESET-NOD32 -> A Variant Of Android/TrojanDropper.Agent.EQH, A Variant Of Android/TrojanDropper.Agent.ESG, A Variant Of Android/TrojanDownloader.Agent.JN
Kaspersky -> HEUR:Trojan-Dropper.AndroidOS.Hqwar.ce, HEUR:Trojan-Downloader.AndroidOS.Agent.jy
Malwarebytes ->
Microsoft -> Trojan:AndroidOS/Coravin.A!MTB, HackTool:AndroidOS/Mesploit.B!MTB
Avira (no cloud) -> ANDROID/Dropper.FOOZ.Gen, ANDROID/Dldr.Agent.PAE.Gen
ESET-NOD32 -> A Variant Of Android/TrojanDropper.Agent.EQH, A Variant Of Android/TrojanDropper.Agent.ESG, A Variant Of Android/TrojanDownloader.Agent.JN
Kaspersky -> HEUR:Trojan-Dropper.AndroidOS.Hqwar.ce, HEUR:Trojan-Downloader.AndroidOS.Agent.jy
Malwarebytes ->
Microsoft -> Trojan:AndroidOS/Coravin.A!MTB, HackTool:AndroidOS/Mesploit.B!MTB
Qihoo-360 -> Trojan.Android.Gen, Other.Android.Gen
Sophos -> Andr/Banker-GZG, Android Metasploit (PUA)
Symantec -> Trojan.Gen.2, Trojan.Gen.MBTSymantec Mobile Insight -> Other:Android.Reputation.1
Tencent -> A.privacy.AnubisTrojanBanking, HackTool.Android.Metasploit.awe
TrendMicro -> Trojan.Linux.BANKER.A
© Генеалогия: Удобная ниша (CNAM) >> Cerberus Malware > XerXes
© Генеалогия: Удобная ниша (CNAM) >> Cerberus Malware > XerXes
CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств.
Я придумал этот термин, чтобы в культурной форме назвать это злачное место.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: *нет данных*.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец ноября 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
Перевод записки на русский язык:
Your phone has been blocked
Because you watched a child pornography and homosexuality directed scenes
All your contacts and files has been blocked
Send email to address for unblock it
Your unique id is:" + client_id + "
"+"
googleprotect@mail.ru
"+"
Перевод записки на русский язык:
Ваш телефон блокирован
Так как вы смотрели детское порно и сцены гомосексуального направления
Все ваши контакты и файлы блокированы
Отправьте email на адрес для разблокировки
Ваш уникальный id: "+ client_id +"
"+"
googleprotect@mail.ru
"+"
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<note> - название файла с требованием выкупа;
<random> - случайное название вредоносного файла;
CoronaVirus.apk
CoronaVirus-apps.apk
Расположения:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: googleprotect@mail.ru
\Android\ ->
\Data\ ->
\Download ->
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: googleprotect@mail.ru
BTC: -
C&C: xxxx://newbot.ug
xxxxs://facebook.com/device?user_code=%1$s&qr=1
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA> IA> + IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA> IA> + IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message + Message + Message ID Ransomware (ID as XerXes) Write-up: Cerberus Malware, Cerberus Malware *
Thanks: MalwareHunterTeam, Lukas Stefanko, Michael Gillespie et al. Andrew Ivanov (article author) Intezer Analyze to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
