While we have previously written on the now infamous XPan ransomware family, some of it’s variants are still affecting users primarily located in Brazil. Harvesting victims via weakly protected RDP (remote desktop protocol) connections, criminals are manually installing the ransomware and encrypting any files which can be found on the system.
Interestingly, this XPan variant is not necessarily new in the malware ecosystem. However, someone has chosen to keep on infecting victims with it, encouraging security researchers to hunt for samples related to the increasing number of incident reports. This sample is what could be considered as the “father” of other XPan ransomware variants. A considerable amount of indicators within the source code depict the early origins of this sample.
“Recupere seus arquivos aqui.txt” loosely translated to “recover your files here” is a phrase that not many Brazilian users are eager to see in their desktops.
The ransomware author left a message for Kaspersky in other versions and has done the same in this one, with traces to the NMoreira “CrypterApp.cpp” there’s a clear link between different variants among this malware family.
NMoreira, XPan, TeamXRat, different names but same author.
Even though many Brazilian-Portuguese strings are present upon initial analysis, there were a couple that caught our attention. Firstly, the ransomware uses a batch file which will pass a command line parameter to an invoked executable file, this parameter is “eusoudejesus” which means “I’m from Jesus”. Developers tend to leave tiny breadcrumbs of their personality behind in each one of their creations, and in this sample we found many of them.
A brief religious reference found in this XPan variant.
Secondly, a reference to a Brazilian celebrity is done, albeit indirectly. “Computador da Xuxa” was a toy computer sold in Brazil during the nineties, however it’s also a popular expression which is used to make fun of very old computers with limited power.
This is what cybercriminals think of your encrypted computer: just a toy they can control.
“Muito bichado” equals to finding a lot of problems in these type of systems, in this case meaning that the environment in which is XPan is executing is not playing fair and the execution is quite buggy.
Lastly, we have the ransomware note demanding the victim to send an email to the account ‘one@proxy.tg’. Considering that the extension for all the encrypted files in this variant is ‘.one’ this seems like a pretty straightforward naming convention for the criminals’ campaigns.
The rescue note in Portuguese.
Upon closer inspection, we discovered that this sample is nearly identical to another version of Xpan which used to be distributed back in November 2016 and used the extension “.__AiraCropEncrypted!”. Every bit of executable code remains the same, which is quite surprising, because since that time there were several newer versions of this malware with an updated encryption algorithm. Both samples have the same PE timestamp dating back to the 31st of October 2016.
The only difference between the two is the configuration block which contains the following information:
- list of target file extensions;
- ransom notes;
- commands to execute before and after encryption;
- the public RSA key of the criminals.
The decrypted configuration block of Xpan that uses the extension “.one”.
The file encryption algorithm also remains the same. For each target file the malware generates a new unique 255-byte random string S (which contains the substring “NMoreira”), turns it into a 256-bit key using the API CryptDeriveKey, and proceeds to encrypt the file contain using AES-256 in CBC mode with zero IV. The string S will be encrypted using the criminals’ RSA public key from the configuration block and stored in the beginning of the encrypted file.
According to one of the victims that contacted us, criminals were asking for 0.3 bitcoin to provide the recovery key, using the same approach as they did with before: the user sends a message to a mailbox with his unique ID and patiently awaits for further instructions.
The victims so far are small and medium businesses in Brazil: ranging from a dentist clinic to a driving school, demonstrating once again that ransomware makes no distinctions and everyone is at risk. As long as there are victims, assisting them and providing decryption tools whenever possible is necessary, no matter the ransomware family or when it was created.
Victims: we can help
This time luck is on the victims’ side! Upon thorough investigation and reverse engineering of the sample of “.one” version of Xpan, we discovered that the criminals used a vulnerable cryptographic algorithm implementation. It allowed us to break encryption as with the previously described Xpan version.
We successfully helped a driving school and a dentist clinic to recover their files for free and as usual we encourage victims of this ransomware to not pay the ransom and to contact our technical support for assistance in decryption.
Brazilian cybercriminals are focusing their efforts in creating new and local ransomware families, attacking small companies and unprotected users. We believe this is the next step in the ransomware fight: going from global scale attacks to a more localized scenario, where local cybercriminals will create new families from scratch, in their own language, and resorting to RaaS (Ransomware-as-a-service) as a way to monetize their attacks.
MD5 reference
dd7033bc36615c0fe0be7413457dccbf – Trojan-Ransom.Win32.Xpan.e (encrypted file extension: “.one”)
54217c1ea3e1d4d3dc024fc740a47757 – Trojan-Ransom.Win32.Xpan.d (encrypted file extension: “.__AiraCropEncrypted!”)
Source: Cyber Security by Kaperski Labs
Хотите собрать информацию о человеке ? Этот бот предоставит детальный отчет в режиме реального времени .
Используйте уникальные алгоритмы для поиска публичных записей в открытых источниках.
Узнайте контактные данные или активность через автоматизированный скан с гарантией точности .
глаз бога фото телеграм
Бот работает с соблюдением GDPR, обрабатывая открытые данные .
Закажите детализированную выжимку с историей аккаунтов и графиками активности .
Доверьтесь проверенному решению для исследований — результаты вас удивят !
Patek Philippe — это pinnacle часового искусства , где соединяются точность и художественная отделка.
Основанная в 1839 году компания славится авторским контролем каждого изделия, требующей сотен часов .
Инновации, такие как ключевой механизм 1842 года , сделали бренд как новатора в индустрии.
https://patek-philippe-shop.ru
Коллекции Grand Complications демонстрируют вечные календари и ручную гравировку , выделяя уникальность.
Текущие линейки сочетают инновационные материалы, сохраняя классический дизайн .
Patek Philippe — символ вечной ценности , передающий инженерную элегантность из поколения в поколение.
Перевозка товаров из КНР в РФ осуществляется через железнодорожные каналы, с таможенным оформлением на в портах назначения.
Таможенные пошлины составляют от 5% до 30% , в зависимости от категории товаров — например, сельхозпродукты облагаются по максимальной ставке.
Для ускорения процесса используют серые каналы доставки , которые быстрее стандартных методов , но связаны с дополнительными затратами.
Морская доставка груза из Китая
В случае легальных перевозок требуется предоставить паспорта на товар и декларации , особенно для сложных грузов .
Сроки доставки варьируются от нескольких дней до двух недель , в зависимости от вида транспорта и загруженности контрольных пунктов.
Общая цена включает логистику , налоги и комиссии за оформление , что требует предварительного расчёта .
For years, I assumed following instructions was enough. The system moves you along — you nod, take it, and move on. It felt clean. Eventually, it didn’t feel right.
Then the strange fog. I blamed my job. But my body was whispering something else. I watched people talk about their own experiences. The warnings were there — just buried in jargon.
generic proscar 5mg
That’s when I understood: health isn’t passive. The same treatment can heal one and harm another. Reactions aren’t always dramatic — just persistent. And still we keep swallowing.
Now I don’t shrug things off. Not because I’m paranoid. I track everything. It makes appointments awkward. This is self-respect, not defiance. The lesson that stuck most, it would be keyword.
Этот сайт размещает интересные новостные материалы на любые темы.
Здесь представлены аналитика, культуре и разных направлениях.
Информация обновляется ежедневно, что позволяет всегда быть в курсе.
Удобная структура ускоряет поиск.
https://megakazan.ru
Каждая статья написаны грамотно.
Целью сайта является объективности.
Следите за обновлениями, чтобы быть всегда информированными.
Модель Submariner от представленная в 1953 году стала первыми водонепроницаемыми часами , выдерживающими глубину до 100 метров .
Часы оснащены вращающийся безель , Triplock-заводную головку, обеспечивающие герметичность даже в экстремальных условиях.
Конструкция включает светящиеся маркеры, черный керамический безель , подчеркивающие спортивный стиль.
Хронометры Ролекс Субмаринер цены
Механизм с запасом хода до 70 часов сочетается с автоматическим калибром , что делает их идеальным выбором для активного образа жизни.
За десятилетия Submariner стал эталоном дайверских часов , оцениваемым как эксперты.
La montre connectée Garmin fēnix® Chronos représente un summum de luxe avec des matériaux premium comme le titane Grade-5 et capteurs multisports.
Conçue pour les sportifs , elle allie robustesse et durabilité extrême, idéale pour les aventures en extérieur grâce à ses modes sportifs.
Avec une batterie allant jusqu’à 6 heures , cette montre s’impose comme une solution fiable , même lors de activités exigeantes.
garmin forerunner 955
Les outils de suivi incluent la surveillance du sommeil , accompagnées de conseils d’entraînement personnalisés, pour les utilisateurs exigeants.
Intuitive à utiliser, elle s’intègre à votre quotidien , avec une interface tactile réactive et synchronisation sans fil.
La gamme MARQ® de Garmin incarne l’excellence horlogère avec un design élégant et fonctionnalités GPS intégrées .
Adaptée aux activités variées, elle propose une polyvalence et durabilité extrême, idéale pour les entraînements intensifs grâce à ses outils de navigation .
Grâce à son autonomie allant jusqu’à plusieurs jours selon l’usage, cette montre s’impose comme une solution fiable , même lors de sessions prolongées .
garmin forerunner 255
Les outils de suivi incluent la fréquence cardiaque en temps réel , accompagnées de conseils d’entraînement personnalisés, pour les amateurs de fitness .
Intuitive à utiliser, elle s’intègre à votre quotidien , avec un écran AMOLED lumineux et compatibilité avec les apps mobiles .
Данный портал собирает интересные новостные материалы разных сфер.
Здесь доступны факты и мнения, технологиях и разнообразных темах.
Контент пополняется почти без перерывов, что позволяет следить за происходящим.
Удобная структура облегчает восприятие.
https://metamoda.ru
Любой материал проходят проверку.
Мы стремимся к честной подачи.
Читайте нас регулярно, чтобы быть всегда информированными.
Этот сайт собирает важные инфосообщения в одном месте.
Здесь представлены факты и мнения, культуре и многом другом.
Новостная лента обновляется в режиме реального времени, что позволяет держать руку на пульсе.
Минималистичный дизайн ускоряет поиск.
https://pitersk.ru
Любой материал оформлены качественно.
Мы стремимся к достоверности.
Присоединяйтесь к читателям, чтобы быть на волне новостей.
Zodpovědný hazard znamená kontrolu nad vlastními návyky , aby se minimalizovalo riziko závislosti a zároveň se uchovala zábavní hodnota.
Platformy umožňují nastavit denní týdenní nebo měsíční limity , což pomáhá hráčům udržet časovou míru.
Každý hráč by měl znát svá práva , jako jsou neustálé sázky ve velkých částkách .
mostbet online
Online kasina jsou povinna ověřovat věk uživatelů , aby chránila mladistvé před nežádoucím vlivem.
V případě potřeby lze využít bezplatných poradenských služeb, které pomáhají při překonání hráčské vášně.
Системы управления персоналом поддерживают бизнес-процессы, автоматизируя учёт рабочего времени сотрудников .
Современные платформы обеспечивают детальный учёт в режиме реального времени , снижая погрешности при подсчёте.
Интеграция с кадровыми системами упрощает формирование отчётов а также контроль графиками, отпусками .
автоматизация учета рабочего времени
Автоматизация процессов сокращает затраты HR-отделов, давая возможность сфокусироваться на стратегических целях .
Интуитивно понятный интерфейс обеспечивает лёгкость работы даже для новичков , сокращая период обучения .
Надёжные решения генерируют отчёты в реальном времени, помогая принимать решений на основе данных.