Evolucija malvera Kovter: Od ''policijskog'' scarewarea preko prevara sa klikovima do kripto-ransomwarea

Opisi virusa, 19.04.2016, 02:00 AM

Evolucija malvera Kovter: Od ''policijskog'' scarewarea preko prevara sa klikovima do kripto-ransomwarea

Kada se 2013. pojavio, malver Kovter bio je jednostavan "policijski" scareware koji je zaključavao računare i prikazivao poruku u kojoj je od žrtava tražio da plate kaznu ako žele da izbegnu sudski postupak. Malver je prikazivao poruke prilagođene lokaciji korisnika, koristeći logo lokalne policije da bi bio što ubedljiviji.

Kada su 2014. kampanje ove vrste postale nedelotvorne, Kovter se specijalizovao za prevare sa klikovima, a njegova aktivnost je podrazumevala učitavanje reklama i klikove na njih, bez znanja korisnika.

To je trajalo dve godine tokom kojih je malver postao poznat po brzom tempu kojim se razvijao, jer je stalno dobijao nove funkcionalnosti.

Vrhunac te evolucije dostignut je prošle jeseni, kada je Kovter postao pretnja bez fajlova, koja “živi” u memoriji računara i Windows registru.

Kada je ransomware postao veliki biznis, autori Kovtera su još jednom promenili kurs razvoja malvera i odlučili da se vrate na početak.

Ipak, nova verzija malvera koju su otkrili istraživači iz firme Check Point nije nalik originalnoj verziji jer ne zaključava inficirani računar već šifruje fajlove na računaru.

Srećom, Kovter još uvek nije dostojan suparnik ransomwareima kao što su Locky ili TeslaCrypt, jer je njegova enkripcija slaba.

Kovter ne šifruje sve fajlove, već samo prvih nekoliko bajtova svakog fajla, a enkripcijski ključ čuva na disku. Do tog ključa je moguće doći i otključati sve šifrovane fajlove.

Autori Kovtera su po svemu sudeći bili preokupirani time da malver izbegne detekciju antivirusa, pa su manje pažnje posvetili enkripciji.

Check Point nije objavio alat za dešifrovanje fajlova, ali on je ipak dostupan na sajtu Bleeping Computer jer je ovaj ransomware prošlog meseca otkriven pod imenom Nemucod.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje