Coverton: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 29 мар 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель Coverton, неспособный дешифровать файлы

    На прошлой неделе специалистами по Malware был замечен новый вымогатель-шифровальщик под названием Coverton, который использует AES-256 + RSA шифрование и требует выкуп в 1 Bitcoins. Пока не удалось найти в нём уязвимость, которую можно было бы использовать для бесплатной расшифровки файлов. Некоторые жертвы, пострадавшие от атаки этого вредоноса, поспешили выплатить выкуп, но после получения дешифровщика оказалось, что он неправильно дешифрует зашифрованные файлы.

    coverton-decryptor.jpg
    Рис.1. Окно дешифровщика-неудачника Coverton Decryptor

    1 биткоин = 29023 рубля = 423 доллара (на сегодняшний день)
    https://конвертер-валют.com/

    Вымогатель Coverton впервые был замечен 23 марта 2016, но до сих пор неизвестно, как он распространяется. После установки, он копирует себя в %UserProfile%\userlog.exe и настраивает автозагрузку вместе с Windows. Сканируя файлы на компьютере, он ищет целевые расширения и шифрует их с помощью AES-шифрования. В зависимости от того, каким вариантом вымогателей Coverton ПК заражен, зашифрованные файлы могут иметь добавляемые к файлу расширения .coverton, .enigma, .czvxce. Так, например, файл test.jpg станет test.jpg.coverton, test.jpg.enigma или test.jpg.czvxce.

    Список целевых расширений обширен:
    1cd, 1st, 2bp, 3dm, 3ds, 3fr, 4db, 4dl, 4mp, 73i, 7z, 7z001, 7z002, 8xi, 9png, a00, a01, a02, a3d, abm, abs, abw, accdb, accdc, accde, accdr, accdt, accdw, accft, ace, act, adn, adp, af2, af3, aft, afx, agg, agif, agp, ahd, ai, aic, aim, ain, albm, alf, alz, ani, ans, apd, apm, apng, aps, apt, apx, apz, ar, arc, arh, ari, arj, ark, art, artwork, arw, asc, ascii, ase, ask, asp, aspx, asw, asy, aty, avatar, awdb, awp, awt, aww, axx, azz, b1, b64, ba, backup, bad, bak, bay, bbs, bdb, bdp, bdr, bean, bh, bhx, bib, blend, blkrt, bm2, bmp, bmx, bmz, bna, bnd, bndl, boc, bok, boo, brk, brn, brt, bss, btd, bti, btr, bz, bz2, bza, bzabw, bzip, bzip2, c00, c01, c02, c10, c4, c4d, cal, cals, can, car, cb7, cba, cbr, cbz, cd5, cdb, cdc, cdg, cdmm, cdmt, cdmtz, cdmz, cdr, cdr3, cdr4, cdr6, cdrw, cdt, cdz, cf, cfu, cgm, chart, chord, cimg, cin, cit, ckp, clkw, cma, cmx, cnm, cnv, colz, cp9, cpc, cpd, cpg, cps, cpt, cpx, cr2, crd, crwl, css, csv, csy, ct, cv5, cvg, cvi, cvs, cvx, cwt, cxf, cyi, czip, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db2, db3, dbc, dbf, dbk, dbs, dbt, dbv, dbx, dc2, dca, dcb, dcr, dcs, dct, dcx, dd, ddl, ddoc, dds, deb, ded, design, df1, dgc, dgn, dgs, dgt, dhs, dib, dicom, dist, diz, djv, djvu, dm3, dmi, dmo, dnc, dne, doc, docm, docx, docxml, docz, dot, dotm, dotx, dp1, dpp, dpx, dqy, drw, drz, dsk, dsn, dsv, dt, dt2, dta, dtsx, dtw, dvi, dvl, dwg, dx, dxb, dxf, dxl, dz, eco, ecs, ecw, ecx, edb, efd, efw, egc, eio, eip, eit, email, emd, emf, emlx, ep, epf, epi, epp, eps, epsf, eql, erf, err, etf, etx, euc, exr, f, fadein, fal, faq, fax, fb2, fb3, fbl, fbx, fcd, fcf, fdb, fdf, fdp, fdr, fds, fdt, fdx, fdxt, fes, fft, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fic, fid, fif, fig, fil, flc, fli, flr, fm5, fmp, fmp12, fmpsl, fmv, fodt, fol, fountain, fp3, fp4, fp5, fp7, fp8, fpos, fpt, fpx, frt, ft10, ft11, ft7, ft8, ft9, ftn, fwdn, fxc, fxg, fzb, fzv, g3, gca, gcdp, gdb, gdoc, gdraw, gem, geo, gfb, gfie, ggr, gif, gih, gim, gio, glox, gmbck, gmspr, gmz, gpd, gpn, gro, grob, grs, gsd, gthr, gtp, gv, gwi, gz, gz2, gza, gzi, gzip, ha, hbc, hbc2, hbe, hbk, hdb, hdp, hdr, hht, his, hki, hki1, hki2, hpg, hpgl, hpi, hpl, hs, htc, html, hwp, hz, i3d, ib, icn, icon, icpr, idc, idea, idx, igt, igx, ihx, iil, iiq, imd, info, ink, int, ipf, ipx, itc2, itdb, itw, iwi, j, j2c, j2k, jarvis, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jis, jng, joe, jp1, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jrtf, jtf, jtx, jwl, jxr, kdb, kdbx, kdc, kdi, kdk, kes, kic, klg, knt, kon, kpg, kwd, latex, lbm, lbt, lgc, lis, lit, ljp, lmk, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwo, lwp, lws, lxfml, lyt, lyx, m3d, ma, mac, maf, man, map, maq, mat, max, mb, mbm, mbox, md5txt, mdb, mdbhtml, mdf, mdn, mdt, me, mef, mell, mft, mgcb, mgmf, mgmt, mgmx, mgtx, mhtml, min, mmat, mng, mnr, mnt, mobi, mos, mpf, mpo, mrg, mrxs, msg, mt9, mud, mwb, mwp, mxl, myd, myl, ncr, nct, ndf, nfo, njx, nlm, notes, now, nrw, ns2, ns3, ns4, nsf, nv2, nwctxt, nyf, nzb, obj, oc3, oc4, oc5, oce, oci, ocr, odb, odm, odo, ods, odt, ofl, oft, omf, openbsd, oplc, oqy, ora, orf, ort, orx, ota, otg, oti, ott, ovp, ovr, owc, owg, oyx, ozb, ozj, ozt, p7s, p96, p97, pages, pal, pan, pano, pap, pbm, pc1, pc2, pc3, pcd, pcs, pcx, pdb, pdd, pdf, pdm, pdn, pe4, pef, pfd, pff, pfi, pfs, pfv, pfx, pgf, pgm, phm, php, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pjt, pl, plantuml, plt, pm, pmg, png, pni, pnm, pntg, pnz, pobj, pop, pp4, pp5, ppm, ppt, pptm, pptx, prt, prw, ps, psd, psdx, pse, psid, psp, pspbrush, psw, ptg, pth, ptx, pu, pvj, pvm, pvr, pwa, pwi, pwr, px, pxr, pz3, pza, pzp, pzs, qdl, qmg, qpx, qry, qvd, ras, raw, rctd, rcu, rdb, rdl, readme, rft, rgb, rgf, rib, ric, riff, ris, rix, rle, rli, rng, rpd, rpf, rpt, rri, rs, rsb, rsd, rsr, rst, rt, rtd, rtf, rtx, run, rw2, rwl, rzk, rzn, s2mv, s3m, saf, safetext, sai, sam, save, sbf, scad, scc, sci, scm, scriv, scrivx, sct, scv, scw, sdb, sdf, sdm, sdoc, sdw, sep, sfc, sfera, sfw, sgm, sig, sk1, sk2, skcard, skm, sla, slagz, sld, sldasm, slddrt, sldprt, sls, smf, smil, sms, snagitstamps, snagstyles, sob, spa, spe, sph, spj, spp, spq, spr, sqb, sql, sqlite, sqlite3, sqlitedb, sr2, srw, ssa, ssfn, ssk, st, ste, stm, stn, stp, str, strings, stw, sty, sub, sumo, sva, svf, svg, svgz, swf, sxd, sxg, sxw, t2b, tab, tb0, tbn, tcx, tdf, tdt, te, teacher, tex, text, tfc, tg4, tga, thm, thp, thumb, tif, tiff, tjp, tlb, tlc, tm, tm2, tmd, tmv, tmx, tn, tne, tpc, tpi, trelby, trm, tvj, txt, u3d, u3i, udb, ufo, ufr, uga, unauth, unity, unx, uof, uot, upd, usr, utf8, utxt, v12, vault, vbr, vct, vda, vdb, vec, vff, vml, vnt, vpd, vpe, vrml, vrp, vsd, vsdm, vsdx, vsm, vst, vstm, vstx, vue, vw, wb1, wbc, wbd, wbk, wbm, wbmp, wbz, wcf, wdb, wdp, webdoc, webp, wgz, wire, wlmp, wmdb, wmf, wn, wp, wp4, wp5, wp6, wp7, wpa, wpb, wpd, wpe, wpg, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, wvl, x, x3d, x3f, xar, xbdoc, xbplate, xdb, xdl, xhtml, xld, xlf, xlgc, xls, xlsm, xlsx, xmind, xmmap, xpm, xps, xwp, xy3, xyp, xyw, y, yal, ybk, yml, ysp, z3d, zabw, zdb, zdc, zif, zw...

    Громадный список, неправда ли? Coverton уникален тем, что шифрует невероятно большое количество типов файлов: 950 различных расширений содержатся в его файлах конфигурации!

    При шифровании файлов, Coverton также создаёт записки с требованием выкупа под названием !!!-WARNING-!!!.html и !!!-WARNING-!!!.txt в каждой папке, где были зашифрованы файлы. В них также есть инструкция о том, как получить доступ к TOR-сайту вымогателей для дешифрования и проведения оплаты. Пример вымогательской записка см. ниже.

    coverton-note.png
    Рис.2. HTML-записка с требование выкупа

    Coverton также удаляет теневые копии файлов и точки восстановления, чтобы их нельзя было использовать для восстановления зашифрованных файлов. И, конечно же, старается передать информацию о проделанной работе (начало работы, начало шифрования, окончание шифрования, количество зашифрованных файлов, общий размер зашифрованных файлов и пр.) на C&C-сервер. Эта информация будет использована на TOR-сайте вымогателей при отображении статистики.

    TOR-сайт вымогателей называется Corveton Decryptor. Здесь жертва будет видеть информацию о том, сколько было зашифровано файлов и каков их общий размер. Каждой жертве присваивается уникальный Bitcoin-адрес, который требуется для отправки выкупа в 1 Bitcoin.

    coverton-decryptor-site.jpg
    Рис.3. Окно сайта Corveton Decryptor

    После уплаты выкупа в 1 Bitcoin эта страница отобразит ссылку для загрузки дешифратора. Как уже было сказано выше, выкуп бесполезен, т.к. дешифратор некорректно дешифрует все зашифрованные файлы.

    Таким образом, оплачивая выкуп пострадавшие рискуют потерять не только файлы, но и деньги.


    Файлы, связанные с Coverton Ransomware Family
    Код (Text):
    %UserProfile%\userlog.exe
    %UserProfile%\Desktop\!!!-WARNING-!!!.html
    %UserProfile%\Desktop\!!!-WARNING-!!!.txt
    %UserProfile%\Desktop\old
    Записи реестра, связанные с Coverton Ransomware Family
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\userlog    %UserProfile%\userlog.exe

    [​IMG] Закон об официальном запрете биткоинов в РФ
     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.

Поделиться этой страницей