Kovter Ransomware: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 19 апр 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Kovter Ransomware: Эволюция

    Исследователи компании CheckPoint сообщили о появлении новой версии трояна Kovter, который обзавелся функционалом шифрования файлов.

    В течение 2013 года Kovter выступал в качестве "полицейского-вымогателя" (Police Ransomware), для чего использовался полиморфный исполняемый файл, осуществлявший постоянный мониторинг действий пользователя на заражённом ПК, чтобы в случае загрузки пользователем каких-либо файлов, выдать "штраф" "нарушителю" закона. В 2014-2015 Kovter отличился в кликфрод-атаках с мошеннической рекламой и фиктивными объявлениями, также использовались язвимости в Adobe Flash Player и Internet Explorer, чтобы сохранить другие вредоносные программы на ПК потерпевших. В том же 2015 Kovter стал программой-невидимкой, использующей исполняемые файлы Windows, хотя деятельность велась в том же направлении — кликфрод и Scareware. За несколько месяцев 2016 года Kovter также отличился как спутник Ransomware, потому упоминался мною в посте от 25 марта, всвязи с деятельностью криптовымогателя Nemucod.

    Во всех своих вариациях Kovter сохраняет и свои старые возможности, в том числе прослушивание трафика пользователей и похищение персональной информации. С каждой новой вариацией его становится труднее обнаруживать. В настоящее время Kovter претерпел значительные изменения как в целях, так и в методах, которые он теперь использует.

    Использование метода Kovter — это самый быстрый способ для хакеров, чтобы делать быстрые деньги на зараженных системах. Конечно, Kovter пока не может конкурировать с TeslaCrypt или Locky. В качестве вымогателя он выбирает несколько иной подход, чем у других вымогателей, вкладывая гораздо больше усилий в быстрое получение выкупа, а не в само шифрование. Обфусцируя только первую часть файла, Kovter наскоро "шифрует" большинство файлов, которые находит интересными (текстовые документы, презентации, архивы и пр.), добавляя расширение .crypted . Из-за того, что первые байты файла зашифрованы, вы не сможете открыть файл, как обычно (см. Рис.1-2 ниже). Но ключ шифрования у него не отсылается на C&C-сервер, а хранится локально на инфицированном устройстве, потому доступ к зашифрованным файлам относительно легко восстановить.

    pdf-до-и-после.png
    Рис.1. Открытый PDF-файл до и после обфускации

    При использовании средства WinDiff для сравнения текста становится видно, что только начало файла было изменено.

    txt-до-и-после.png
    Рис.2. Файл до и после обфускации

    Красная часть на скриншоте является исходным файлом, желтая — обфусцированным. Далее файлы одинаковы.

    Подробности используемого Kovter метода вымогательства см. в блоге исследователей. Здесь следует добавить только то, что этот метод не вызывает подозрений у программ защиты. Во всяком случае пока.

     
    Kиpилл, lilia-5-0, Охотник и ещё 1-му нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Kovter: Маскировка под обновления Firefox

    Несмотря на то, что Kovter уже нацепил на себя маску вымогателя, это не помешало девелоперам продолжить использовать его и в других векторах атаки на пользователей. Так новая версия этого вредоноса распространяется с помощью атак drive-by-download: при посещении пользователем зараженного сайта, ему предлагается установить поддельное обновление для браузера Firefox. Бестелесный Kovter использует сертификат, выпущенный Comodo.

    Вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, открывает рекламные ссылки, а также выполняет функции вымогателя. После выполнения в системе жертвы вредонос записывает зашифрованный скрипт в разные места реестра Windows и использует PowerShell для других вредоносных действий.

    Детект VirusTotal на exe-файл вредоноса >>>

     
    Kиpилл и Охотник нравится это.

Поделиться этой страницей