Thursday 2 June 2011

Unxoring Trojan-Ransom.Win32.Xorist



Firstly, thanks to someone, (you know who you are) for the huge pack of samples concerning cryptovirus related to Gpcode :)

Here a simple Xorist, i will not detail it because it's relatively easy to understand the code.
Anyway here is some pics from the debugger

GetDrive and Xor:

Main procedure:

Xoring ~


And drop a txt as usual: Прочти Меня - как расшифровать файлы.txt
Все Ваши файлы были заблокированы!
Чтобы разблокировать Ваш компьютер Вам нужно оплатить 400р. на наш кошелек 41001473616253 в системе яндекс.деньги через любой терминал.
После оплаты скан чека вышлите на email: razblokirovkakompa@gmail.com
После получения нами денег вы получите обратно в течение 24 часов на свой e-mail инструкцию по разблокировке компьютера.
Инструкция по пополнению нашего счета:
http://money.yandex.ru/i/shop/qiwi-instruction.jpg

Также вы можете оплатить любым другим способом, после оплаты в письме на e-mail напишите каким способом вы оплатили и в какое время.

But if it just do a XOR that mean files can be recovered if we open it again :)...
Concerning the file When all files are Xored, it just do an ExitProcess, no autodestruction

Let's open it again.
This time it does an ExitProcess due to a comparison (for avoid a double 'XOR')

When patched and run... you guess it, files are back :)



---------
Some variants who change the wallpaper:



-----------
Videos:







---------
See also ~ xddd.66ghz.com and the 4B XOR Ransomware

No comments:

Post a Comment