четверг, 7 апреля 2016 г.

Kovter

Kovter Ransomware 

(фейк-шифровальщик)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .cryptedПервая активность Kovter как вымогателя пришлась на март 2016 г., но продолжилась и после. 

Немного истории: 
В течение 2013 года Kovter прославился как "полицейский-вымогатель" (Police Ransomware), для чего использовался полиморфный исполняемый файл, выполнявший на заражённом ПК постоянный мониторинг действий пользователя, чтобы в случае загрузки пользователем каких-либо файлов, выдать "штраф" "нарушителю" закона. 
В 2014-2015 годах Kovter засветился в кликфрод-атаках с мошеннической рекламой, фиктивными обновлениями и использованием язвимостей в Adobe Flash Player, Internet Explorer, чтобы загрузить на ПК своих жертв другие вредоносные программы. 
В 2015 Kovter стал программой-невидимкой, использующей исполняемые файлы Windows, но работал в том же направлении — кликфрод и Scareware. 
За первые несколько месяцев 2016 года Kovter отличился как спутник Nemucod Ransomware. В июле 2016 бестелесный Kovter стал использовать поддельное обновление для браузера Firefox и сертификат, выпущенный Comodo. После выполнения в системе жертвы вредонос записывал зашифрованный скрипт в разные места реестра Windows и использовал PowerShell для других вредоносных действий. 

Детект на VirusTotal >>
Описание от Symantec >>

  Во всех своих новых вариациях Kovter сохраняет и свои старые возможности, включая прослушивание трафика пользователей и похищение персональной информации. С каждой новой вариацией его становится труднее обнаруживать. На данный момент Kovter изменился как в целях, так и в методах, которые он теперь использует.

  В качестве сегодняшнего вымогателя Kovter вкладывает усилия в быстрое получение выкупа, а не в само шифрование. Обфусцируя только первую часть файла, Kovter наскоро "шифрует" большинство файлов, которые находит интересными (текстовые документы, презентации, архивы и пр.), добавляя расширение .crypted. Из-за того, что первые байты файла зашифрованы, невозможно открыть файл, как обычно (см. Рис.1-2 ниже). Но ключ шифрования у него не отсылается на C&C-сервер, а хранится локально на инфицированном устройстве, потому доступ к зашифрованным файлам можно восстановить.


Открытый PDF-файл до и после обфускации


Kovter изменяет только начало файла

  При помощи утилиты для сравнения текста WinDiff можно увидеть, что было изменено только начало файла. Красная часть на скриншоте является исходным файлом, жёлтая — обфусцированным. Далее файлы одинаковы.

  Распространяется с помощью email-спама и вредоносных вложений, с помощью поддельных обновлений для Adobe Flash, для браузеров Internet Explorer и Mozilla Firefox, с помощью Nemucod TrojanDownloader и атак drive-by-download

Подробности используемого Kovter метода вымогательства см. в блоге исследователей

  Файлы, подвергающиеся шифрованию: 
Большинство файлов, которые Kovter находит интересными (документы, презентации, архивы и пр.). 

 Файлы, связанные с Ransomware: 
***
 Записи реестра, связанные с Ransomware: 
***

Т.к. файлы всё же не шифруются, то Kovter Ransomware я отношу к фейк-шифровальщикам

 Степень распространённости: средняя. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton