Kovter

Kovter Ransomware 

(фейк-шифровальщик)

   Этот вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .crypted. Первая активность Kovter как вымогателя пришлась на март 2016 г., но продолжилась и после. 

Немного истории: 
В течение 2013 года Kovter прославился как "полицейский-вымогатель" (Police Ransomware), для чего использовался полиморфный исполняемый файл, выполнявший на заражённом ПК постоянный мониторинг действий пользователя, чтобы в случае загрузки пользователем каких-либо файлов, выдать "штраф" "нарушителю" закона. 
В 2014-2015 годах Kovter засветился в кликфрод-атаках с мошеннической рекламой, фиктивными обновлениями и использованием язвимостей в Adobe Flash Player, Internet Explorer, чтобы загрузить на ПК своих жертв другие вредоносные программы. 
В 2015 Kovter стал программой-невидимкой, использующей исполняемые файлы Windows, но работал в том же направлении — кликфрод и Scareware. 
За первые несколько месяцев 2016 года Kovter отличился как спутник Nemucod Ransomware. В июле 2016 бестелесный Kovter стал использовать поддельное обновление для браузера Firefox и сертификат, выпущенный Comodo. После выполнения в системе жертвы вредонос записывал зашифрованный скрипт в разные места реестра Windows и использовал PowerShell для других вредоносных действий. 

Детект на VirusTotal >>
Описание от Symantec >>

  Во всех своих новых вариациях Kovter сохраняет и свои старые возможности, включая прослушивание трафика пользователей и похищение персональной информации. С каждой новой вариацией его становится труднее обнаруживать. На данный момент Kovter изменился как в целях, так и в методах, которые он теперь использует.

  В качестве сегодняшнего вымогателя Kovter вкладывает усилия в быстрое получение выкупа, а не в само шифрование. Обфусцируя только первую часть файла, Kovter наскоро "шифрует" большинство файлов, которые находит интересными (текстовые документы, презентации, архивы и пр.), добавляя расширение .crypted. Из-за того, что первые байты файла зашифрованы, невозможно открыть файл, как обычно (см. Рис.1-2 ниже). Но ключ шифрования у него не отсылается на C&C-сервер, а хранится локально на инфицированном устройстве, потому доступ к зашифрованным файлам можно восстановить.

Открытый PDF-файл до и после обфускации

Kovter изменяет только начало файла

  При помощи утилиты для сравнения текста WinDiff можно увидеть, что было изменено только начало файла. Красная часть на скриншоте является исходным файлом, жёлтая — обфусцированным. Далее файлы одинаковы.

  Распространяется с помощью email-спама и вредоносных вложений, с помощью поддельных обновлений для Adobe Flash, для браузеров Internet Explorer и Mozilla Firefox, с помощью Nemucod TrojanDownloader и атак drive-by-download. 

Подробности используемого Kovter метода вымогательства см. в блоге исследователей. 

  Файлы, подвергающиеся шифрованию: 
Большинство файлов, которые Kovter находит интересными (документы, презентации, архивы и пр.). 

 Файлы, связанные с Ransomware: 
***
 Записи реестра, связанные с Ransomware: 
***

Т.к. файлы всё же не шифруются, то Kovter Ransomware я отношу к фейк-шифровальщикам. 

 Степень распространённости: средняя. 
 Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.