XD Locker

XD Locker Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XD Locker. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.MulDrop8.721
BitDefender -> Gen:Variant.Ulise.107709
ESET-NOD32 -> A Variant Of Generik.GZTCIFL
Malwarebytes -> Malware.AI.4150062690
Microsoft -> Trojan:Win32/Ymacco.AAEE

Qihoo-360 -> Generic/Trojan.db9
Rising -> Trojan.Generic@ML.99 (RDML:eA*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ulise.Pdcp
TrendMicro -> Ransom.Win32.XDLOCKER.THAABBA
---

© Генеалогия: ??? >> XD Locker

Изображение — логотип статьи

Файлы переименовываются случайным образом, а затем к им добавляется расширение: .XL

Заданный формат для файлов: %RANDOM%.XL

Примеры таких файлов: 

31726.XL

11484.XL

1037.XL

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в начале января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Выглядит неудачной попыткой вымогательства или злой шуткой.

Записки с требованием выкупа называются: 

Oops1.txt 

Oops2.txt

Запиской с требованием выкупа также является экран блокировки (сообщение PowerShell): 

Содержание текста на экране:

Administrator:  XD Locker

---

Ooops your file have been encrypted

The encrypted files

.zip .rar .gif .ink .txt .pdf 

.vbs .doc .mp4 .mp3 .wav .docx 

.jpg .png .htm .url .html

++++++++++++++++++++++++++++

+XD Locker encrypt file XD +

++++++++++++++++++++++++++++

============time============+

+                          90                              +

++++++++++++++++++++++++++++

Send $ 0.9 Bitcoin worth of Bitcoin to this address:

Ur183IenOeJVZX5OeBMewJn55Lo

Press any key to continue . . . 

Перевод текста на русский язык:

Администратор: XD Locker

---

Ой, ваш файл был зашифрован

Зашифрованные файлы

.zip .rar .gif .ink .txt .pdf

.vbs .doc .mp4 .mp3 .wav .docx

.jpg .png .htm .url .html

+++++++++++++++++++++++++++++

+ XD Locker зашифровал файл XD +

+++++++++++++++++++++++++++++

============время============+

+                          90                              +

++++++++++++++++++++++++++++

Отправьте $ на 0.9 биткойн в биткойн на этот адрес:

Ur183IenOeJVZX5OeBMewJn55Lo

Нажмите любую клавишу для продолжения . . .

Технические детали

Известно, что распространяется с фальшивыми (перепакованными, заражёнными, пиратскими) инсталляторами приложений MS Office, в частности это файл Microsoft Word 2010.exe или какой-то другой.  

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:

.zip, .rar, .gif, .ink, .txt, .pdf, .vbs, .doc, .mp4, .mp3, .wav, .docx, .jpg, .png, .htm, .url, .html

Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, html-файлы образов, архивы. ярлыки и пр.

Файлы, связанные с этим Ransomware:

Oops1.txt, Oops2.txt - названия файлов с требованием выкупа

CAS5AY8X.bat - командный вредоносный файл

Tr0MJ09gRmWhPOHs.exe - вредоносный файл

<random>.exe - случайное название вредоносного файла

Microsoft Word 2010.exe - распространяемый вредоносный файл

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\5P5NRG~1\AppData\Local\Temp\CAS5AY8X.bat

C:\Users\5p5NrGJn0jS HALPmcxz\Desktop\Tr0MJ09gRmWhPOHs.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: Ur183IenOeJVZX5OeBMewJn55Lo - фиктивный
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Emmanuel_ADC-Soft
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.