понедельник, 28 марта 2016 г.

Coverton

Coverton Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Активность этого крипто-вымогателя пришлась на март 2016 г. Распространялось несколько вариантов вымогателя. 

В зависимости от того, каким вариантом Coverton компьютер был заражен, зашифрованные файлы получали расширения .coverton, .enigma, .czvxce. Так, например, файл test.jpg становился файлом test.jpg.coverton, test.jpg.enigma или test.jpg.czvxce. 

  Некоторые жертвы, пострадавшие от атаки этого вредоноса, поспешили выплатить выкуп, но после получения дешифровщика оказалось, что он не может дешифровать зашифрованные файлы

  Записки с требованием выкупа называются:  !!!-WARNING-!!!.html и !!!-WARNING-!!!.txt. 
Они размещаются в каждой папке с зашифрованными файлами. В них есть инструкция о том, как получить доступ к TOR-сайту вымогателей для дешифрования и проведения оплаты.
HTML-записка с требованием выкупа

TXT-записка с требованием выкупа

 Содержание записки о выкупе: 
Warning! 
What happened to your computer?
All your files on hard drives, removable media and network files were encrypted by a cryptographically strong algorithm AES-256 with encryption key RSA-2048. The expansion of encrypted files is.
For the time the decryption of AES-256 is impossible.

What have you to do?

To receive a pair of keys for decrypting your files you have to go through the following steps:
Simple variant: click to {custom URL for the infected user} and follow the instructions OR complex variant:
1. Download TOR Browser: ***link delete***
2. Open link in TOR Browser: ***link delete***
3. Follow the instructions.

We recommend you not to disconnect your computer from the electrical supply.

We recommend you not to disconnect your computer from the Internet.
We recommend you not to extract the encrypted electronic data carriers.

Danger!

Do not try to cheat the system, do not attempt to edit encrypted files, do not attempt to remove the program.
Such actions can easily bring to the inability to recover your files and data, so we can not help.
The key to decrypt your files is stored on our remote server.

 Перевод записки на русский язык: 
Внимание!
Что случилось с вашим компьютером?
Все ваши файлы на жестких дисках, сменных носителях и сетевые файлы были зашифрованы с помощью криптостойкого алгоритма AES-256 с ключом шифрования RSA-2048. Расширение у зашифрованных файлов... Сегодня дешифровать AES-256 невозможно. 

Что вам делать?

Для получения пары ключей для дешифровки файлов вы должны сделать следующие шаги:
Простой вариант: кликнуть тут {скрыт URL для зараженного пользователя} и по инструкции или сложным вариант:
1. Скачать TOR Browser: *** ссылка удалена ***
2. Открыть ссылку в Tor-браузере *** ссылка удалена ***
3. Следовать инструкциям.

Мы рекомендуем не отключать компьютер от электросети.

Мы не рекомендуем отключать компьютер от сети Интернет.
Мы не рекомендуем извлекать зашифрованные носители информации.

Опасно!

Не пытайтесь обмануть систему, не пытайтесь редактировать зашифрованные файлы, не пытайтесь удалить программу.
Такие действия могут легко привести к невозможности восстановления файлов и данных, потому мы не сможем помочь.
Ключ для дешифровки файлов хранится на нашем удаленном сервере.


Технические детали


 Распространяется с помощью email-спама и вредоносных вложений. Запустившись в первый раз в системе Coverton копирует себя в %UserProfile%\userlog.exe и настраивает автозагрузку вместе с Windows. Сканируя файлы на компьютере, он ищет файлы с целевыми расширениями и шифрует их. 

 Список файловых расширений, подвергающихся шифрованию: 
1cd, 1st, 2bp, 3dm, 3ds, 3fr, 4db, 4dl, 4mp, 73i, 787, 7z, 7z001, 7z002, 8xi, 980, 9png, a00, a01, a02, a3d, abm, abs, abw, accdb, accdc, accde, accdr, accdt, accdw, accft, ace, act, adn, adp, af2, af3, aft, afx, agg, agif, agp, ahd, ai, aic, aim, ain, albm, alf, alz, ani, ans, apd, apm, apng, aps, apt, apx, apz, ar, arc, arh, ari, arj, ark, art, artwork, arw, asc, ascii, ase, ask, asp, aspx, asw, asy, aty, avatar, awdb, awp, awt, aww, axx, azz, b1, b64, ba, backup, bad, bak, bay, bbs, bdb, bdp, bdr, bean, bh, bhx, bib, blend, blkrt, bm2, bmp, bmx, bmz, bna, bnd, bndl, boc, bok, boo, brk, brn, brt, bss, btd, bti, btr, bz, bz2, bza, bzabw, bzip, bzip2, c00, c01, c02, c10, c4, c4d, cal, cals, can, car, cb7, cba, cbr, cbz, cd5, cdb, cdc, cdg, cdmm, cdmt, cdmtz, cdmz, cdr, cdr3, cdr4, cdr6, cdrw, cdt, cdz, cf, cfu, cgm, chart, chord, cimg, cin, cit, ckp, clkw, cma, cmx, cnm, cnv, colz, cp9, cpc, cpd, cpg, cps, cpt, cpx, cr2, crd, crwl, css, csv, csy, ct, cv5, cvg, cvi, cvs, cvx, cwt, cxf, cyi, czip, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db2, db3, dbc, dbf, dbk, dbs, dbt, dbv, dbx, dc2, dca, dcb, dcr, dcs, dct, dcx, dd, ddl, ddoc, dds, deb, ded, design, df1, dgc, dgn, dgs, dgt, dhs, dib, dicom, dist, diz, djv, djvu, dm3, dmi, dmo, dnc, dne, doc, docm, docx, docxml, docz, dot, dotm, dotx, dp1, dpp, dpx, dqy, drw, drz, dsk, dsn, dsv, dt, dt2, dta, dtsx, dtw, dvi, dvl, dwg, dx, dxb, dxf, dxl, dz, eco, ecs, ecw, ecx, edb, efd, efw, egc, eio, eip, eit, email, emd, emf, emlx, ep, epf, epi, epp, eps, epsf, eql, erf, err, etf, etx, euc, exr, f, fadein, fal, faq, fax, fb2, fb3, fbl, fbx, fcd, fcf, fdb, fdf, fdp, fdr, fds, fdt, fdx, fdxt, fes, fft, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fic, fid, fif, fig, fil, flc, fli, flr, fm5, fmp, fmp12, fmpsl, fmv, fodt, fol, fountain, fp3, fp4, fp5, fp7, fp8, fpos, fpt, fpx, frt, ft10, ft11, ft7, ft8, ft9, ftn, fwdn, fxc, fxg, fzb, fzv, g3, gca, gcdp, gdb, gdoc, gdraw, gem, geo, gfb, gfie, ggr, gif, gih, gim, gio, glox, gmbck, gmspr, gmz, gpd, gpn, gro, grob, grs, gsd, gthr, gtp, gv, gwi, gz, gz2, gza, gzi, gzip, ha, hbc, hbc2, hbe, hbk, hdb, hdp, hdr, hht, his, hki, hki1, hki2, hpg, hpgl, hpi, hpl, hs, htc, html, hwp, hz, i3d, ib, icn, icon, icpr, idc, idea, idx, igt, igx, ihx, iil, iiq, imd, info, ink, int, ipf, ipx, itc2, itdb, itw, iwi, j, j2c, j2k, jarvis, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jis, jng, joe, jp1, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jrtf, jtf, jtx, jwl, jxr, kdb, kdbx, kdc, kdi, kdk, kes, kic, klg, knt, kon, kpg, kwd, latex, lbm, lbt, lgc, lis, lit, ljp, lmk, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwo, lwp, lws, lxfml, lyt, lyx, m3d, ma, mac, maf, man, map, maq, mat, max, mb, mbm, mbox, md5txt, mdb, mdbhtml, mdf, mdn, mdt, me, mef, mell, mft, mgcb, mgmf, mgmt, mgmx, mgtx, mhtml, min, mmat, mng, mnr, mnt, mobi, mos, mpf, mpo, mrg, mrxs, msg, mt9, mud, mwb, mwp, mxl, myd, myl, ncr, nct, ndf, nfo, njx, nlm, notes, now, nrw, ns2, ns3, ns4, nsf, nv2, nwctxt, nyf, nzb, obj, oc3, oc4, oc5, oce, oci, ocr, odb, odm, odo, ods, odt, ofl, oft, omf, openbsd, oplc, oqy, ora, orf, ort, orx, ota, otg, oti, ott, ovp, ovr, owc, owg, oyx, ozb, ozj, ozt, p7s, p96, p97, pages, pal, pan, pano, pap, pbm, pc1, pc2, pc3, pcd, pcs, pcx, pdb, pdd, pdf, pdm, pdn, pe4, pef, pfd, pff, pfi, pfs, pfv, pfx, pgf, pgm, phm, php, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pjt, pl, plantuml, plt, pm, pmg, png, pni, pnm, pntg, pnz, pobj, pop, pp4, pp5, ppm, ppt, pptm, pptx, prt, prw, ps, psd, psdx, pse, psid, psp, pspbrush, psw, ptg, pth, ptx, pu, pvj, pvm, pvr, pwa, pwi, pwr, px, pxr, pz3, pza, pzp, pzs, qdl, qmg, qpx, qry, qvd, ras, raw, rctd, rcu, rdb, rdl, readme, rft, rgb, rgf, rib, ric, riff, ris, rix, rle, rli, rng, rpd, rpf, rpt, rri, rs, rsb, rsd, rsr, rst, rt, rtd, rtf, rtx, run, rw2, rwl, rzk, rzn, s2mv, s3m, saf, safetext, sai, sam, save, sbf, scad, scc, sci, scm, scriv, scrivx, sct, scv, scw, sdb, sdf, sdm, sdoc, sdw, sep, sfc, sfera, sfw, sgm, sig, sk1, sk2, skcard, skm, sla, slagz, sld, sldasm, slddrt, sldprt, sls, smf, smil, sms, snagitstamps, snagstyles, sob, spa, spe, sph, spj, spp, spq, spr, sqb, sql, sqlite, sqlite3, sqlitedb, sr2, srw, ssa, ssfn, ssk, st, ste, stm, stn, stp, str, strings, stw, sty, sub, sumo, sva, svf, svg, svgz, swf, sxd, sxg, sxw, t2b, tab, tb0, tbn, tcx, tdf, tdt, te, teacher, tex, text, tfc, tg4, tga, thm, thp, thumb, tid, tif, tiff, tivo, tix, tjp, tlb, tlc, tlx, .tlzma, tm, tm2, tmd, tmv, tmx, tn, tne, tpc, tpi, trelby, trm, tvj, txt, u3d, u3i, udb, ufo, ufr, uga, unauth, unity, unx, uof, uot, upd, usr, utf8, utxt, v12, vault, vbr, vct, vda, vdb, vec, vff, vml, vnt, vpd, vpe, vrml, vrp, vsd, vsdm, vsdx, vsm, vst, vstm, vstx, vue, vw, wb1, wbc, wbd, wbk, wbm, wbmp, wbz, wcf, wdb, wdp, webdoc, webp, wgz, wire, wlmp, wmdb, wmf, wn, wp, wp4, wp5, wp6, wp7, wpa, wpb, wpd, wpe, wpg, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, wvl, x, x3d, x3f, xar, xbdoc, xbplate, xdb, xdl, xef, xej, xel, xesc, xez, xfl, xhtml, xld, xlf, xlgc, xlmv, xls, xlsm, xlsx, xm, xmcdz, xmind, xmmap, xmv, xpi, xpm, xps, xvid, xwp, xx, xy3, xyp, xyw, xz, y, yal, ybk, yml, ysp, yz, yz1, z, z01, z02, z03, z04, z3d, zabw, zap, zdb, zdc, zfsendtotarget, zi, zif, zip, zipx, zix, zl, zoo, zpi, zw, zz (988 расширений). 
На сайте Symantec указано ещё больше — 1479 расширений. 

   Coverton также удаляет теневые копии файлов и точки восстановления, чтобы их нельзя было использовать для восстановления зашифрованных файлов. Затем передаёт информацию о проделанной работе (начало работы, начало шифрования, окончание шифрования, количество зашифрованных файлов, общий размер зашифрованных файлов и пр.) на C&C-сервер. Эта информация будет использована на TOR-сайте вымогателей при отображении статистики.

TOR-сайт вымогателей называется Corveton Decryptor. Здесь жертва будет видеть информацию о том, сколько на компьютере было зашифровано файлов и каков их общий размер. Каждой жертве присваивается уникальный Bitcoin-адрес, который требуется для отправки выкупа в 1 Bitcoin.
Внешний вид Corveton Decryptor
Сайт Corveton Decryptor

  После уплаты выкупа в 1 Bitcoin эта страница отобразит ссылку для загрузки дешифратора. Но как показал опыт заплативших, выкуп бесполезен, т.к. дешифратор некорректно дешифрует все зашифрованные файлы. Таким образом, оплачивая выкуп, пострадавшие рискуют потерять не только файлы, но и деньги.

 Файлы Coverton Ransomware (копии себя)
%System%\crrss.exe
%UserProfile%\userlog.exe

Файлы, связанные с Coverton Ransomware Family:
%UserProfile%\userlog.exe
%UserProfile%\Desktop\!!!-WARNING-!!!.html
%UserProfile%\Desktop\!!!-WARNING-!!!.txt
%UserProfile%\Desktop\old

Записи реестра, связанные с Coverton Ransomware Family:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\userlog    %UserProfile%\userlog.exe

Записи реестра для автозапуска Coverton Ransomware: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crrss" = "%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"userlog" = "%UserProfile%\userlog.exe”

Другие записи реестра Coverton Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = 
"%System%\userinit.exe,%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\CharMap\"Guid" = "[BINARY DATA]"
Write-up on BC >>

 Степень распространённости: средняя. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *