WormsCortex : où comment se faire de l’argent….

Un autre sujet intéressant sur CCM… : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages
Une personne poste pour un problème de ransomware, les fichiers documents/images sont chiffrés et l’extension *.WormsCortex est ajoutée.
Ces derniers ne sont plus accessibles par l’utilisateur.
Le malware est inconnu de la base de données des antivirus à l’heure où sont écrites ces lignes.

Une autre personne arrive plus tard pour faire la promotion d’un fix, ce fix est vendu 10 euros : http://www.wormsdestroyer.com/
Voir le commentaire : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages#17

Le site qui veux se faire passer pour un site sérieux mais qui ne l’est pas, voir mon commentaire en dessous.
Au final, michel russia dit avoir télécharger le fix et les fichiers chiffrés ont été récupérés.
Ma conclusion est que ce michel russia est l’auteur du fix et qu’il fait la promotion du fix => http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages?page=2#34

Il est à noter que depuis mon post, le malware a changé et n’est plus cortex.exe mais smvrs.exe.

  • Le bug mentionné à la fin de mon commentaire est corrigé.
  • Le mécanisme de licence a été modifié
  • et le whois du domaine est maintenant anonyme.
  • le malware passe du fichier cortex.exe à smvrs.exe, le fix suit derrière.

Un autre sujet est arrivé sur CCM pour le même malware : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages?page=2#34

Ce que l’on trouve lorsqu’on lance le fix :

WormsCortex

Sur le malware smvrs.exe qui chiffre les documents envoyé par khaos__666 :

WormsCortex

Conclusion : on voit que le fix et le malware ont été compilé par un utilisateur Kyler, on peux en déduire que le fix et le malware ont été compilés sur la même machine.
En outre, les deux ont été écrits avec le même langage.

Le but ? Prendre en otage les documents des internautes pour faire vendre le fix, ce qui confirme l’arnaque mentionnés sur la discussion CCM;

Clairement si vous utilisez le fix, vous payez l’auteur du malware.
Bien entendu ; l’auteur du fix va certainement corrigé cette bourde de débutant.

Le malware se propage par médias amovibles et ajoute la clef suivante pour se charger à chaque démarrage :

O4 – HKCU..\Run: [Security Polices] C:\Users\Mathieu\AppData\Roaming\smvrs.exe (Microsoft)

WormsCortex

En attendant, j’envoie tout aux éditeurs d’antivirus qui vont se faire un plaisir d’ajouter le malware à leur base !

Le malware étant probablement français, si la perte des données entraînent des dommages, je vous invite à porter plainte.

EDIT – détection VirusTotal le lendemain : http://www.virustotal.com/file-scan/report.html?id=f79b13b7d68276b48f890c2f710f9d4802068050d5bd1601ae0225aacb55a587-1296560536

File name:

smvrs.exe

Submission date:

2011-02-01 11:42:16 (UTC)

Current status:

queued queued analysing finished

Result:

5/ 39 (12.8%)

VT Community


not reviewed
Safety score: –

AntivirusVersionLast UpdateResult
AhnLab-V32011.01.27.012011.01.27
AntiVir7.11.2.472011.02.01TR/VBKrypt.bbeu
Antiy-AVL2.0.3.72011.01.28
Avast4.8.1351.02011.01.31
Avast55.0.677.02011.01.31
BitDefender7.22011.02.01
CAT-QuickHeal11.002011.02.01
ClamAV0.96.4.02011.02.01
Commtouch5.2.11.52011.02.01
Comodo75592011.01.31
DrWeb5.0.2.033002011.02.01Trojan.Inject.21811
Emsisoft5.1.0.12011.02.01
eSafe7.0.17.02011.01.31
eTrust-Vet36.1.81322011.02.01Win32/Ransom.IY
F-Prot4.6.2.1172011.01.31
F-Secure9.0.16160.02011.02.01
Fortinet4.2.254.02011.02.01
IkarusT3.1.1.97.02011.02.01
Jiangmin13.0.9002011.02.01
K7AntiVirus9.79.37022011.02.01
Kaspersky7.0.0.1252011.02.01Trojan.Win32.VBKrypt.bbeu
McAfee5.400.0.11582011.02.01
McAfee-GW-Edition2010.1C2011.02.01
Microsoft1.65022011.02.01
NOD3258362011.02.01
Norman6.06.122011.01.31
Panda10.0.3.52011.01.31Suspicious file
PCTools7.0.3.52011.01.31
Prevx3.02011.02.01
Rising23.43.01.002011.02.01
Sophos4.61.02011.02.01
SUPERAntiSpyware4.40.0.10062011.02.01
TheHacker6.7.0.1.1222011.01.30
TrendMicro9.120.0.10042011.02.01
TrendMicro-HouseCall9.120.0.10042011.02.01
VBA323.12.14.32011.02.01
VIPRE82722011.02.01
ViRobot2011.2.1.42852011.02.01
VirusBuster13.6.174.02011.01.31
Additional information
MD5   : dc8c61715717fcbf727959a8d5733789
SHA1  : 1cc281f935df9cd962ec24bde58c8f29cffccdae
SHA256: f79b13b7d68276b48f890c2f710f9d4802068050d5bd1601ae0225aacb55a587
(Visité 108 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet