Специалисты Trend Micro обнаружили, что авторы шифровальщика XiaoBa изменили свою малварь и превратили ее в криптовалютного майнера. Однако из-за нескольких багов в коде вредоноса он по-прежнему повреждает пользовательские файлы.

XiaoBa — один из тех шифровальщиков, что существуют уже довольно давно, однако они неизвестны широким массам. Дело в том, что угроза никогда не становилась центром крупных эпидемий и не привлекала к себе большого внимания, атакуя в основном китайских пользователей. К примеру, ИБ-специалисты писали о XiaoBa в октябре и ноябре 2017 года.

Однако теперь специалисты Trend Micro сообщают, что малварь изменилась. Им удалось обнаружить новую версию XiaoBa, которая создана не для шифрования данных, а для распространения майнера криптовалюты. Однако эксперты обнаружили, что новый вариант малвари написан с ошибками, из-за чего представляет собой даже большую угрозу, чем оригинальный шифровальщик.

Дело в том, что новый XiaoBa должен заражать уже существующие пользовательские файлы, внедряя в них малварь. Так, майнер XMRig должен интегрироваться во все файлы EXE, COM, SCR и PIF, обнаруженные на компьютере жертвы. Авторы вредоноса хотели, чтобы запуск любого приложения также запускал и майнер. Однако из-за багов в коде XiaoBa работает некорректно. Он  внедряет в каждый исполняемый файл по нескольку «копий» себя, а порой и вовсе берет одни легитимные файлы и многократно внедряет их в состав других легитимных файлов.

Исследователи Trend Micro пишут, что все описанное приводит к печальным последствиям. Так, иногда легитимные приложения перестают работать вовсе (вместо них запускается только майнер). Кроме того, XiaoBa не делает исключений для системных директорий ОС, так что важные системные файлы тоже оказываются заражены и повреждены, из-за чего компьютер попросту перестает загружаться, так как ключевые компоненты Windows оказываются заменены майнером.

Если компьютер пользователя все же каким-то чудом сохранит работоспособность, позже можно обнаружить, что XiaoBa  внедряет скрипты Coinhive во все найденные на жестких дисках файлы HTML и HTM, а также по какой-то неизвестной причине удаляет файлы GHO и ISO.

Исследователи с сожалением констатируют, что равно как и в случае с заражения шифровальщиком, восстановить информацию после атаки майнера XiaoBa, скорее всего, удастся только при наличии бэкапов.



Оставить мнение