WormsCortex : où comment se faire de l’argent….

Un autre sujet intéressant sur CCM… : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages
Une personne poste pour un problème de ransomware, les fichiers documents/images sont chiffrés et l’extension *.WormsCortex est ajoutée.
Ces derniers ne sont plus accessibles par l’utilisateur.
Le malware est inconnu de la base de données des antivirus à l’heure où sont écrites ces lignes.

Une autre personne arrive plus tard pour faire la promotion d’un fix, ce fix est vendu 10 euros : http://www.wormsdestroyer.com/
Voir le commentaire : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages#17

Le site qui veux se faire passer pour un site sérieux mais qui ne l’est pas, voir mon commentaire en dessous.
Au final, michel russia dit avoir télécharger le fix et les fichiers chiffrés ont été récupérés.
Ma conclusion est que ce michel russia est l’auteur du fix et qu’il fait la promotion du fix => http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages?page=2#34

Il est à noter que depuis mon post, le malware a changé et n’est plus cortex.exe mais smvrs.exe.

  • Le bug mentionné à la fin de mon commentaire est corrigé.
  • Le mécanisme de licence a été modifié
  • et le whois du domaine est maintenant anonyme.
  • le malware passe du fichier cortex.exe à smvrs.exe, le fix suit derrière.

Un autre sujet est arrivé sur CCM pour le même malware : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages?page=2#34

Ce que l’on trouve lorsqu’on lance le fix :

WormsCortex

Sur le malware smvrs.exe qui chiffre les documents envoyé par khaos__666 :

WormsCortex

Conclusion : on voit que le fix et le malware ont été compilé par un utilisateur Kyler, on peux en déduire que le fix et le malware ont été compilés sur la même machine.
En outre, les deux ont été écrits avec le même langage.

Le but ? Prendre en otage les documents des internautes pour faire vendre le fix, ce qui confirme l’arnaque mentionnés sur la discussion CCM;

Clairement si vous utilisez le fix, vous payez l’auteur du malware.
Bien entendu ; l’auteur du fix va certainement corrigé cette bourde de débutant.

Le malware se propage par médias amovibles et ajoute la clef suivante pour se charger à chaque démarrage :

O4 – HKCU..\Run: [Security Polices] C:\Users\Mathieu\AppData\Roaming\smvrs.exe (Microsoft)

WormsCortex

En attendant, j’envoie tout aux éditeurs d’antivirus qui vont se faire un plaisir d’ajouter le malware à leur base !

Le malware étant probablement français, si la perte des données entraînent des dommages, je vous invite à porter plainte.

EDIT – détection VirusTotal le lendemain : http://www.virustotal.com/file-scan/report.html?id=f79b13b7d68276b48f890c2f710f9d4802068050d5bd1601ae0225aacb55a587-1296560536

File name:

smvrs.exe

Submission date:

2011-02-01 11:42:16 (UTC)

Current status:

queued queued analysing finished

Result:

5/ 39 (12.8%)

VT Community


not reviewed
Safety score: –

Antivirus Version Last Update Result
AhnLab-V3 2011.01.27.01 2011.01.27
AntiVir 7.11.2.47 2011.02.01 TR/VBKrypt.bbeu
Antiy-AVL 2.0.3.7 2011.01.28
Avast 4.8.1351.0 2011.01.31
Avast5 5.0.677.0 2011.01.31
BitDefender 7.2 2011.02.01
CAT-QuickHeal 11.00 2011.02.01
ClamAV 0.96.4.0 2011.02.01
Commtouch 5.2.11.5 2011.02.01
Comodo 7559 2011.01.31
DrWeb 5.0.2.03300 2011.02.01 Trojan.Inject.21811
Emsisoft 5.1.0.1 2011.02.01
eSafe 7.0.17.0 2011.01.31
eTrust-Vet 36.1.8132 2011.02.01 Win32/Ransom.IY
F-Prot 4.6.2.117 2011.01.31
F-Secure 9.0.16160.0 2011.02.01
Fortinet 4.2.254.0 2011.02.01
Ikarus T3.1.1.97.0 2011.02.01
Jiangmin 13.0.900 2011.02.01
K7AntiVirus 9.79.3702 2011.02.01
Kaspersky 7.0.0.125 2011.02.01 Trojan.Win32.VBKrypt.bbeu
McAfee 5.400.0.1158 2011.02.01
McAfee-GW-Edition 2010.1C 2011.02.01
Microsoft 1.6502 2011.02.01
NOD32 5836 2011.02.01
Norman 6.06.12 2011.01.31
Panda 10.0.3.5 2011.01.31 Suspicious file
PCTools 7.0.3.5 2011.01.31
Prevx 3.0 2011.02.01
Rising 23.43.01.00 2011.02.01
Sophos 4.61.0 2011.02.01
SUPERAntiSpyware 4.40.0.1006 2011.02.01
TheHacker 6.7.0.1.122 2011.01.30
TrendMicro 9.120.0.1004 2011.02.01
TrendMicro-HouseCall 9.120.0.1004 2011.02.01
VBA32 3.12.14.3 2011.02.01
VIPRE 8272 2011.02.01
ViRobot 2011.2.1.4285 2011.02.01
VirusBuster 13.6.174.0 2011.01.31
Additional information
MD5   : dc8c61715717fcbf727959a8d5733789
SHA1  : 1cc281f935df9cd962ec24bde58c8f29cffccdae
SHA256: f79b13b7d68276b48f890c2f710f9d4802068050d5bd1601ae0225aacb55a587
Print Friendly
(Visité 91 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet