根据趋势科技的说法,恶意软件开发者正通过不断改变最终有效载荷的类型以最大限度地获得利润。勒索软件XiaoBa的开发者已将他们的恶意软件代码进行了重新编写,将其修改为了一个加密货币矿工(coinminer)。
不幸的是,尽管变身为加密货币矿工的XiaoBa不再对受感染计算机文件进行加密,但由于其自身存在一系列会破坏可执行文件的BUG,使得受害者的数据仍然会遭遇丢失。
什么是XiaoBa勒索软件?
到目前为止,XiaoBa勒索软件其实已经活跃了好几个月的事件,但可能很少有人听说过它,这主要是因为它主要在一些小规模的攻击活动中出现。
MalwareHunterTeam (恶意软件猎人小组)在去年10月发现了XiaoBa勒索软件的第一个版本,而仅在一个月后,安全研究员Karsten Hahn便发现了第二个版本。
这两个版本都只针对了中国用户,但由安全研究员Michael Gillespie在今年2月发现的第三个版本还包含了一个以英文编写的赎金票据,这表明其开发者可能已经扩大了他的攻击范围。
新版本包含一个严重的BUG
趋势科技的研究人员表示,他们在最近发现了XiaoBa的另外两个变种。新的变种被增加了新的功能,包括加密货币挖掘和蠕虫功能。
也许你会认为XiaoBa被修改为加密货币矿工会是一件耗时,但事实并非如此。新版本的XiaoBa的编码非常粗糙,使得它在执行过程中会破坏受感染计算机上的文件,甚至导致操作系统崩溃。
研究人员解释说,导致这种情况的原因来自于XiaoBa的“文件感染器”,它的作用是扫描本地文件系统并将XiaoBa注入到其他文件中。具体来讲,新版本的XiaoBa会在受感染计算机上的所有EXE、COM、SCR和PIF文件中注入一个本身合法的XMRig加密货币挖掘软件。
但这种“文件注入程序”似乎编码不佳,以至于XiaoBa会将其自身多次注入这些文件中,甚至可能会将自身连带这些文件一起多次注入到其他文件中。
这个错误的文件注入过程产生的最直接影响是,它会扩大原文件的大小,占用受感染计算机的本地磁盘空间。值得注意的是,XiaoBa感染文件的大小没有限制,这包括从低至4kb的文件到100 MB以上的文件,甚至可能还包括更大的文件。
破坏系统核心文件导致死机
但这不是唯一的问题,XiaoBa的开发者还创建了一个文件注入器进程,试图确保无论受害者运行什么应用程序,XiaoBa都能伴随这个应用程序一起运行。
然而,他们搞砸了他们的代码,这导致无论受害者试图打开任何应用程序,最终运行的都只是XMRig加密货币挖掘软件,而受害者原本试图运行的合法应用程序并不会启动。
此外,XiaoBa的“文件感染器”还将错误地将XMRig加密货币挖掘软件注入到了整个硬盘上的可执行文件中,包括操作系统核心文件。由于注入过程存在问题,这会导致受害者计算机出现无法启动的情况。
还会在本地HTML文件中注入Coinhive
趋势科技的研究人员表示,如果受害者的计算机奇迹般地并没有因为感染XiaoBa而死机,那么受害者还能看到,XiaoBa会在所有HTML和HTM文件中注入Coinhive JavaScript库的副本,并且还会删除所有GHO和ISO文件。
综上所述,即使XiaoBa已经被修改为了加密货币矿工,但它所产生的破坏性并不低于前三个版本。我们也不难看出,养成随时备份重要文件的好习惯是多么的重要,哪怕是有一天勒索软件不再流行,我们的文件也同样会受到其他类型恶意软件的威胁。