четверг, 7 апреля 2016 г.

Kovter

Kovter Ransomware 

(фейк-шифровальщик)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .cryptedПервая активность Kovter как вымогателя пришлась на март 2016 г., но продолжилась и после. 

Немного истории: 
В течение 2013 года Kovter прославился как "полицейский-вымогатель" (Police Ransomware), для чего использовался полиморфный исполняемый файл, выполнявший на заражённом ПК постоянный мониторинг действий пользователя, чтобы в случае загрузки пользователем каких-либо файлов, выдать "штраф" "нарушителю" закона. 
В 2014-2015 годах Kovter засветился в кликфрод-атаках с мошеннической рекламой, фиктивными обновлениями и использованием язвимостей в Adobe Flash Player, Internet Explorer, чтобы загрузить на ПК своих жертв другие вредоносные программы. 
В 2015 Kovter стал программой-невидимкой, использующей исполняемые файлы Windows, но работал в том же направлении — кликфрод и Scareware. 
За первые несколько месяцев 2016 года Kovter отличился как спутник Nemucod Ransomware. В июле 2016 бестелесный Kovter стал использовать поддельное обновление для браузера Firefox и сертификат, выпущенный Comodo. После выполнения в системе жертвы вредонос записывал зашифрованный скрипт в разные места реестра Windows и использовал PowerShell для других вредоносных действий. 

Детект на VirusTotal >>
Описание от Symantec >>

  Во всех своих новых вариациях Kovter сохраняет и свои старые возможности, включая прослушивание трафика пользователей и похищение персональной информации. С каждой новой вариацией его становится труднее обнаруживать. На данный момент Kovter изменился как в целях, так и в методах, которые он теперь использует.

  В качестве сегодняшнего вымогателя Kovter вкладывает усилия в быстрое получение выкупа, а не в само шифрование. Обфусцируя только первую часть файла, Kovter наскоро "шифрует" большинство файлов, которые находит интересными (текстовые документы, презентации, архивы и пр.), добавляя расширение .crypted. Из-за того, что первые байты файла зашифрованы, невозможно открыть файл, как обычно (см. Рис.1-2 ниже). Но ключ шифрования у него не отсылается на C&C-сервер, а хранится локально на инфицированном устройстве, потому доступ к зашифрованным файлам можно восстановить.


Открытый PDF-файл до и после обфускации


Kovter изменяет только начало файла

  При помощи утилиты для сравнения текста WinDiff можно увидеть, что было изменено только начало файла. Красная часть на скриншоте является исходным файлом, жёлтая — обфусцированным. Далее файлы одинаковы.

  Распространяется с помощью email-спама и вредоносных вложений, с помощью поддельных обновлений для Adobe Flash, для браузеров Internet Explorer и Mozilla Firefox, с помощью Nemucod TrojanDownloader и атак drive-by-download

Подробности используемого Kovter метода вымогательства см. в блоге исследователей

  Файлы, подвергающиеся шифрованию: 
Большинство файлов, которые Kovter находит интересными (документы, презентации, архивы и пр.). 

 Файлы, связанные с Ransomware: 
***
 Записи реестра, связанные с Ransomware: 
***

Т.к. файлы всё же не шифруются, то Kovter Ransomware я отношу к фейк-шифровальщикам

 Степень распространённости: средняя. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *