WormsCortex : où comment se faire de l’argent….

Un autre sujet intéressant sur CCM… : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages
Une personne poste pour un problème de ransomware, les fichiers documents/images sont chiffrés et l’extension *.WormsCortex est ajoutée.
Ces derniers ne sont plus accessibles par l’utilisateur.
Le malware est inconnu de la base de données des antivirus à l’heure où sont écrites ces lignes.

Une autre personne arrive plus tard pour faire la promotion d’un fix, ce fix est vendu 10 euros : http://www.wormsdestroyer.com/
Voir le commentaire : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages#17

Le site qui veux se faire passer pour un site sérieux mais qui ne l’est pas, voir mon commentaire en dessous.
Au final, michel russia dit avoir télécharger le fix et les fichiers chiffrés ont été récupérés.
Ma conclusion est que ce michel russia est l’auteur du fix et qu’il fait la promotion du fix => http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages?page=2#34

Il est à noter que depuis mon post, le malware a changé et n’est plus cortex.exe mais smvrs.exe.

  • Le bug mentionné à la fin de mon commentaire est corrigé.
  • Le mécanisme de licence a été modifié
  • et le whois du domaine est maintenant anonyme.
  • le malware passe du fichier cortex.exe à smvrs.exe, le fix suit derrière.

Un autre sujet est arrivé sur CCM pour le même malware : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages?page=2#34

Ce que l’on trouve lorsqu’on lance le fix :

WormsCortex

Sur le malware smvrs.exe qui chiffre les documents envoyé par khaos__666 :

WormsCortex

Conclusion : on voit que le fix et le malware ont été compilé par un utilisateur Kyler, on peux en déduire que le fix et le malware ont été compilés sur la même machine.
En outre, les deux ont été écrits avec le même langage.

Le but ? Prendre en otage les documents des internautes pour faire vendre le fix, ce qui confirme l’arnaque mentionnés sur la discussion CCM;

Clairement si vous utilisez le fix, vous payez l’auteur du malware.
Bien entendu ; l’auteur du fix va certainement corrigé cette bourde de débutant.

Le malware se propage par médias amovibles et ajoute la clef suivante pour se charger à chaque démarrage :

O4 – HKCU..\Run: [Security Polices] C:\Users\Mathieu\AppData\Roaming\smvrs.exe (Microsoft)

WormsCortex

En attendant, j’envoie tout aux éditeurs d’antivirus qui vont se faire un plaisir d’ajouter le malware à leur base !

Le malware étant probablement français, si la perte des données entraînent des dommages, je vous invite à porter plainte.

EDIT – détection VirusTotal le lendemain : http://www.virustotal.com/file-scan/report.html?id=f79b13b7d68276b48f890c2f710f9d4802068050d5bd1601ae0225aacb55a587-1296560536

File name:

smvrs.exe

Submission date:

2011-02-01 11:42:16 (UTC)

Current status:

queued queued analysing finished

Result:

5/ 39 (12.8%)

VT Community


not reviewed
Safety score: –

AntivirusVersionLast UpdateResult
AhnLab-V32011.01.27.012011.01.27
AntiVir7.11.2.472011.02.01TR/VBKrypt.bbeu
Antiy-AVL2.0.3.72011.01.28
Avast4.8.1351.02011.01.31
Avast55.0.677.02011.01.31
BitDefender7.22011.02.01
CAT-QuickHeal11.002011.02.01
ClamAV0.96.4.02011.02.01
Commtouch5.2.11.52011.02.01
Comodo75592011.01.31
DrWeb5.0.2.033002011.02.01Trojan.Inject.21811
Emsisoft5.1.0.12011.02.01
eSafe7.0.17.02011.01.31
eTrust-Vet36.1.81322011.02.01Win32/Ransom.IY
F-Prot4.6.2.1172011.01.31
F-Secure9.0.16160.02011.02.01
Fortinet4.2.254.02011.02.01
IkarusT3.1.1.97.02011.02.01
Jiangmin13.0.9002011.02.01
K7AntiVirus9.79.37022011.02.01
Kaspersky7.0.0.1252011.02.01Trojan.Win32.VBKrypt.bbeu
McAfee5.400.0.11582011.02.01
McAfee-GW-Edition2010.1C2011.02.01
Microsoft1.65022011.02.01
NOD3258362011.02.01
Norman6.06.122011.01.31
Panda10.0.3.52011.01.31Suspicious file
PCTools7.0.3.52011.01.31
Prevx3.02011.02.01
Rising23.43.01.002011.02.01
Sophos4.61.02011.02.01
SUPERAntiSpyware4.40.0.10062011.02.01
TheHacker6.7.0.1.1222011.01.30
TrendMicro9.120.0.10042011.02.01
TrendMicro-HouseCall9.120.0.10042011.02.01
VBA323.12.14.32011.02.01
VIPRE82722011.02.01
ViRobot2011.2.1.42852011.02.01
VirusBuster13.6.174.02011.01.31
Additional information
MD5   : dc8c61715717fcbf727959a8d5733789
SHA1  : 1cc281f935df9cd962ec24bde58c8f29cffccdae
SHA256: f79b13b7d68276b48f890c2f710f9d4802068050d5bd1601ae0225aacb55a587

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 26 times, 1 visits today)

8 thoughts on “WormsCortex : où comment se faire de l’argent….

  1. L’hébergeur refuse de supprimer le site: Il trouve que tes captures d’écran ne sont pas une preuve suffisante.

    Est-ce que tu pourrais m’envoyer les samples (virus+fix), il les voudrait comme preuve.

  2. Merci MaK !

    N’est-il pas possible de porter plainte malgré tout ?
    Il y a un article récent sur ce moyen d’identifier le développeur (via l’IDE)… Quelqu’un aurait-il encore le lien ?

    Merci,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *