{
	"id": "1a963fd7-4beb-4948-88fe-d4d98a8638b8",
	"created_at": "2026-04-06T00:20:18.731601Z",
	"updated_at": "2026-04-10T13:12:33.687347Z",
	"deleted_at": null,
	"sha1_hash": "04b2845ec1a142d174a73eee6afb4c91d6e3dd88",
	"title": "XiaoBa",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 330165,
	"plain_text": "XiaoBa\r\nArchived: 2026-04-05 18:38:07 UTC\r\nXiaoBa Ransomware\r\n(шифровальщик-вымогатель, деструктор)\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в\r\n1200 юаней = 180,81$ в BTC, чтобы вернуть файлы. Оригинальное название: XiaoBa. На файле\r\nнаписано: xiaoba.exe. Написан на языке FlyStudio. \r\n© Генеалогия: XiaoBa \u003e XiaoBa 2.0\r\nК зашифрованным файлам добавляются расширения от .XiaoBa1 до .XiaoBa34\r\nАктивность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на\r\nкитайских пользователей, что не мешает распространять его по всему миру.\r\nЗаписки с требованием выкупа называются:\r\n_@XiaoBa@_.bmp\r\n_@Explanation@_.hta\r\nСодержание записки о выкупе:\r\nOoops, your important files have been encrypted!\r\n！------ 重要加密 ------ ！\r\n你柏所有文件已被 RSA-2048 AES-128 算法進行了加密\r\n請硕縦破解  , 因為您無  眷破解文件可能導致文壊 這可能會損害他們\r\nhttps://id-ransomware.blogspot.com/2017/10/xiaoba-ransomware.html\r\nPage 1 of 6\n\n只有我們的解密辦捕解密您的文件\r\n如果您看到這個壁紙卻看不到 “XiaoBa” 窗口 , 那麼就是您的防病毒軟件    \r\n刪除了此解密軟件或葡恣從計算機中刪除了它\r\n如果您需要您的文件I必須運行解密軟件\r\n請找到解密軟件或從防病毒軟件隔雜區還原\r\n運行解密軟件 , 並按照說明進行操作\r\n請向指定地址發送約1200元人民幣=180.81$的比特幣\r\n比特幣錢包：1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB\r\n想獲取更多信息請點擊桌面的 _@Explanation@_.hta\r\nE-mail:B32588601@163.com\r\nПеревод записки на русский язык:\r\nУпс, все ваши важные файлы зашифрованы!\r\n！------ Важные файлы зашифрованы ------ ！\r\nВсе файлы зашифрованы с алгоритмами RSA-2048 AES-128\r\nПопробуйте взломать, но вы не вернете файлы, это приведет к тому, что текст может быть повреждён.\r\nТолько наше дешифрование может вернуть ваши файлы. \r\nЕсли вы видите эти обои, но не видите окно \"XiaoBa\", то ваша антивирусная программа поместила эту\r\nпрограмму в карантин или удалила с компьютера.\r\nЕсли вам нужны файлы, то вы должны заново запустить нашу программу для дешифрования.\r\nНайдите нашу программу для дешифрования или восстановите её из карантина антивируса.\r\nЗапустите программу дешифрования и следуйте инструкциям.\r\nПожалуйста, отправьте около 1200 юаней = 180,81$ в биткоинах на указанный адрес BTC-кошелька: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB\r\nДля получения информации найдите на рабочем столе файл _@Explanation@_.hta\r\nE-mail: B32588601@163.com\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений,\r\nперепакованных и заражённых инсталляторов. См. также \"Основные способы распространения\r\nкриптовымогателей\" на вводной странице блога.\r\n➤ Создает множество процессов. \r\n➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки, удаляет точки восстановления командой:\r\ncmd /c vssadmin delete shadow /all /quiet \u0026 wmic shadowcopy delete \u0026 bcdedit /set {default} boostatuspolicy\r\nignoreallfailures \u0026 bcdedit /set {default} recoveryenabled no \u0026 wbadmin delete catalog -quiet\r\n➤ Зашифрованные файлы повреждаются. Уплата выкупа бесполезна!\r\nhttps://id-ransomware.blogspot.com/2017/10/xiaoba-ransomware.html\r\nPage 2 of 6\n\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n_@XiaoBa@_.bmp\r\n_@Explanation@_.hta\r\nxiaoba.exe\r\nAutoRunApp.vbs\r\nРасположения:\r\n\\Desktop\\_@Explanation@_.hta\r\nC:\\AutoRunApp.vbs\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nURL: http://baidu.com\r\nhttp://tieba.baidu.com\r\nhttp://wenku.baidu.com\r\nhttp://xueshu.baidu.com\r\nhttp://zhidao.baidu.com и другие\r\nEmail: B32588601@163.com\r\nBTC: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nГибридный анализ \u003e\u003e\r\nVirusTotal анализ \u003e\u003e  VT+\r\nДругой анализ \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно.\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 4 ноября 2017:\r\nhttps://id-ransomware.blogspot.com/2017/10/xiaoba-ransomware.html\r\nPage 3 of 6\n\nСумма выкупа: 250 RMB (китайские юани) = $37.696 в BTC\r\nEmail: B32588601@163.com\r\nBTC: 1NodpehhyEnJZUE3vsGXHm8RYLfydMZkv4\r\nЭкран пользователь блокируется. \r\nРезультаты анализов: HA+ VT\r\n\u003c\u003c Скриншот с требованиями выкупа\r\nОбновление от 18 ноября 2017:\r\nПост в Твиттере \u003e\u003e\r\nСумма выкупа: 0.1 BTC\r\nEmail: TheYuCheng@yeah.net\r\nBTC: 17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6\r\nРезультаты анализов: VT\r\n\u003c\u003c Скриншот с требованиями выкупа\r\nСм. статью Want Money Ransomware \u003e\u003e\r\nОбновление от 24-27 февраля 2018:\r\nПост в Твиттере \u003e\u003e + Tweet\r\nРасширение: .Encrypted[BaYuCheng@yeah.net].XiaBa\r\nЗаписка: _XiaoBa_Info_.hta\r\nEmail: BaYuCheng@yeah.net\r\nРезультаты анализов: VB + VT + VT\r\nhttps://id-ransomware.blogspot.com/2017/10/xiaoba-ransomware.html\r\nPage 4 of 6\n\nОбновление от 17 апреля 2018:\r\n➤ Теперь XiaoBa присоединяет майнер coinminer к исполняемым файлам (.exe, .com, .scr, .pif) на всём\r\nжестком диске, включая основные папки операционной системы. После этого запуск любого из\r\nзаряженных таким образом исполняемых файлов запускает только coinminer, а не само приложение. Это\r\nприводит к проблемам, при которых Windows не сможет загрузиться.\r\n➤ XiaoBa также внедряет (инжектирует) скрипт Coinhive во все файлы HTML и HTM, а также удаляет все\r\nфайлы с расширениями .gho и .iso, которые часто используются в антивирусных образах Live-CD/DVD\r\n(например, Norton Ghost использует файлы с расширением .gho, а Kaspersky Rescue Disk использует .iso). \r\n➤ Другой вариант XiaoBa тоже инжектирован, но также содержит 32-битную и 64-битную версию\r\nмайнера XMRig.\r\nПодробности в статье от TrendMicro. \r\nОбновление от 5 июня 2018:\r\nПост в Твиттере \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2017/10/xiaoba-ransomware.html\r\nPage 5 of 6\n\nРасширение: .AdolfHitler\r\nEmail: BaYuCheng@yeah.net\r\nЗаписка-изображение: # # DECRYPT MY FILE # #.bmp\r\nФайл: New Folder.exe\r\nРезультаты анализов: VT\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter\r\n ID Ransomware (ID as XiaoBa)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n MalwareHunterTeam\r\n Michael Gillespie\r\n *\r\n *\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2017/10/xiaoba-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2017/10/xiaoba-ransomware.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2017/10/xiaoba-ransomware.html"
	],
	"report_names": [
		"xiaoba-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434818,
	"ts_updated_at": 1775826753,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/04b2845ec1a142d174a73eee6afb4c91d6e3dd88.pdf",
		"text": "https://archive.orkl.eu/04b2845ec1a142d174a73eee6afb4c91d6e3dd88.txt",
		"img": "https://archive.orkl.eu/04b2845ec1a142d174a73eee6afb4c91d6e3dd88.jpg"
	}
}