Спецы Trend Micro выяснили, что создатели кодировщика XiaoBa поменяли свою малварь и превратили ее в криптовалютного майнера. Но из-за нескольких багов в коде вредоноса он как и раньше повреждает пользовательские файлы.
XiaoBa — один из числа тех кодировщиков, что есть уже достаточно издавна, но они неопознаны широким массам. Суть в том, что угроза никогда не становилась центром больших эпидемий и не завлекала к для себя огромного внимания, атакуя в главном китайских пользователей. Например, ИБ-спецы сообщали о XiaoBa в октябре и ноябре 2017 года.
Но сейчас спецы Trend Micro сообщат, что малварь поменялась. Им получилось найти новую версию XiaoBa, которая организована не для кодирования данных, а для распространения майнера цифровой валюты. Но специалисты выяснили, что новый вариант малвари написан с ошибками, из-за чего представляет собой даже огромную угрозу, чем уникальный кодировщик.
Суть в том, что новый XiaoBa должен заражать уже имеющиеся пользовательские файлы, внедряя в них малварь. Например, майнер XMRig должен встраиваться во все файлы EXE, COM, SCR и PIF, которые были обнаружены на компе жертвы. Создатели вредоноса желали, чтоб пуск хоть какого приложения также запускал и майнер. Но из-за багов в коде XiaoBa работает неправильно. Он вводит в каждый исполняемый файл по нескольку «копий» себя, а иногда и совсем берет одни законные файлы и неоднократно вводит их в состав остальных законных файлов.
Исследователи Trend Micro сообщают, что все описанное приводит к грустным результатам. Например, время от времени законные приложения прекращают работать совсем (заместо них запускается лишь майнер). А также, XiaoBa не делает исключений для системных директорий ОС, так что принципиальные системные файлы тоже оказываются заражены и получили повреждения, из-за чего комп просто перестает загружаться, в связи с тем, что главные составляющие Виндовс оказываются изменены майнером.
Если комп пользователя все таки каким-то чудом сохранит работоспособность, позднее можно найти, что XiaoBa вводит скрипты Coinhive во все найденные на твердых дисках файлы HTML и HTM, также по какой-то неведомой причине удаляет файлы GHO и ISO.
Исследователи с сожалением резюмируют, что равно как и в случае с инфицированием кодировщиком, вернуть данные после атаки майнера XiaoBa, вероятнее всего, получится лишь при наличии бэкапов.