Kovter Ransomware: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
893
Kovter Ransomware: Эволюция

Исследователи компании CheckPoint сообщили о появлении новой версии трояна Kovter, который обзавелся функционалом шифрования файлов.

В течение 2013 года Kovter выступал в качестве "полицейского-вымогателя" (Police Ransomware), для чего использовался полиморфный исполняемый файл, осуществлявший постоянный мониторинг действий пользователя на заражённом ПК, чтобы в случае загрузки пользователем каких-либо файлов, выдать "штраф" "нарушителю" закона. В 2014-2015 Kovter отличился в кликфрод-атаках с мошеннической рекламой и фиктивными объявлениями, также использовались язвимости в Adobe Flash Player и Internet Explorer, чтобы сохранить другие вредоносные программы на ПК потерпевших. В том же 2015 Kovter стал программой-невидимкой, использующей исполняемые файлы Windows, хотя деятельность велась в том же направлении — кликфрод и Scareware. За несколько месяцев 2016 года Kovter также отличился как спутник Ransomware, потому упоминался мною в посте от 25 марта, всвязи с деятельностью криптовымогателя Nemucod.

Во всех своих вариациях Kovter сохраняет и свои старые возможности, в том числе прослушивание трафика пользователей и похищение персональной информации. С каждой новой вариацией его становится труднее обнаруживать. В настоящее время Kovter претерпел значительные изменения как в целях, так и в методах, которые он теперь использует.

Использование метода Kovter — это самый быстрый способ для хакеров, чтобы делать быстрые деньги на зараженных системах. Конечно, Kovter пока не может конкурировать с TeslaCrypt или Locky. В качестве вымогателя он выбирает несколько иной подход, чем у других вымогателей, вкладывая гораздо больше усилий в быстрое получение выкупа, а не в само шифрование. Обфусцируя только первую часть файла, Kovter наскоро "шифрует" большинство файлов, которые находит интересными (текстовые документы, презентации, архивы и пр.), добавляя расширение .crypted . Из-за того, что первые байты файла зашифрованы, вы не сможете открыть файл, как обычно (см. Рис.1-2 ниже). Но ключ шифрования у него не отсылается на C&C-сервер, а хранится локально на инфицированном устройстве, потому доступ к зашифрованным файлам относительно легко восстановить.

pdf-до-и-после.png
Рис.1. Открытый PDF-файл до и после обфускации

При использовании средства WinDiff для сравнения текста становится видно, что только начало файла было изменено.

txt-до-и-после.png
Рис.2. Файл до и после обфускации

Красная часть на скриншоте является исходным файлом, желтая — обфусцированным. Далее файлы одинаковы.

Подробности используемого Kovter метода вымогательства см. в блоге исследователей. Здесь следует добавить только то, что этот метод не вызывает подозрений у программ защиты. Во всяком случае пока.

 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
893
Kovter: Маскировка под обновления Firefox

Несмотря на то, что Kovter уже нацепил на себя маску вымогателя, это не помешало девелоперам продолжить использовать его и в других векторах атаки на пользователей. Так новая версия этого вредоноса распространяется с помощью атак drive-by-download: при посещении пользователем зараженного сайта, ему предлагается установить поддельное обновление для браузера Firefox. Бестелесный Kovter использует сертификат, выпущенный Comodo.

Вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, открывает рекламные ссылки, а также выполняет функции вымогателя. После выполнения в системе жертвы вредонос записывает зашифрованный скрипт в разные места реестра Windows и использует PowerShell для других вредоносных действий.

Детект VirusTotal на exe-файл вредоноса >>>

 
Сверху Снизу