Thursday, 2 June 2011

Unxoring Trojan-Ransom.Win32.Xorist

Firstly, thanks to someone, (you know who you are) for the huge pack of samples concerning cryptovirus related to Gpcode :)

Here a simple Xorist, i will not detail it because it's relatively easy to understand the code.
Anyway here is some pics from the debugger

GetDrive and Xor:

Main procedure:

Xoring ~

And drop a txt as usual: Прочти Меня - как расшифровать файлы.txt
Все Ваши файлы были заблокированы!
Чтобы разблокировать Ваш компьютер Вам нужно оплатить 400р. на наш кошелек 41001473616253 в системе яндекс.деньги через любой терминал.
После оплаты скан чека вышлите на email:
После получения нами денег вы получите обратно в течение 24 часов на свой e-mail инструкцию по разблокировке компьютера.
Инструкция по пополнению нашего счета:

Также вы можете оплатить любым другим способом, после оплаты в письме на e-mail напишите каким способом вы оплатили и в какое время.

But if it just do a XOR that mean files can be recovered if we open it again :)...
Concerning the file When all files are Xored, it just do an ExitProcess, no autodestruction

Let's open it again.
This time it does an ExitProcess due to a comparison (for avoid a double 'XOR')

When patched and run... you guess it, files are back :)

Some variants who change the wallpaper:


See also ~ and the 4B XOR Ransomware

No comments:

Post a Comment