WormsCortex : où comment se faire de l’argent….

Dernière Mise à jour le

Un autre sujet intéressant sur CCM… : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages
Une personne poste pour un problème de ransomware, les fichiers documents/images sont chiffrés et l’extension *.WormsCortex est ajoutée.
Ces derniers ne sont plus accessibles par l’utilisateur.
Le malware est inconnu de la base de données des antivirus à l’heure où sont écrites ces lignes.

Une autre personne arrive plus tard pour faire la promotion d’un fix, ce fix est vendu 10 euros : http://www.wormsdestroyer.com/
Voir le commentaire : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages#17

Le site qui veux se faire passer pour un site sérieux mais qui ne l’est pas, voir mon commentaire en dessous.
Au final, michel russia dit avoir télécharger le fix et les fichiers chiffrés ont été récupérés.
Ma conclusion est que ce michel russia est l’auteur du fix et qu’il fait la promotion du fix => http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages?page=2#34

Il est à noter que depuis mon post, le malware a changé et n’est plus cortex.exe mais smvrs.exe.

  • Le bug mentionné à la fin de mon commentaire est corrigé.
  • Le mécanisme de licence a été modifié
  • et le whois du domaine est maintenant anonyme.
  • le malware passe du fichier cortex.exe à smvrs.exe, le fix suit derrière.

Un autre sujet est arrivé sur CCM pour le même malware : http://www.commentcamarche.net/forum/affich-20583248-cortex-worms-fichiers-emdommages?page=2#34

Ce que l’on trouve lorsqu’on lance le fix :

WormsCortex

Sur le malware smvrs.exe qui chiffre les documents envoyé par khaos__666 :

WormsCortex

Conclusion : on voit que le fix et le malware ont été compilé par un utilisateur Kyler, on peux en déduire que le fix et le malware ont été compilés sur la même machine.
En outre, les deux ont été écrits avec le même langage.

Le but ? Prendre en otage les documents des internautes pour faire vendre le fix, ce qui confirme l’arnaque mentionnés sur la discussion CCM;

Clairement si vous utilisez le fix, vous payez l’auteur du malware.
Bien entendu ; l’auteur du fix va certainement corrigé cette bourde de débutant.

Le malware se propage par médias amovibles et ajoute la clef suivante pour se charger à chaque démarrage :

O4 – HKCU..\Run: [Security Polices] C:\Users\Mathieu\AppData\Roaming\smvrs.exe (Microsoft)

WormsCortex

En attendant, j’envoie tout aux éditeurs d’antivirus qui vont se faire un plaisir d’ajouter le malware à leur base !

Le malware étant probablement français, si la perte des données entraînent des dommages, je vous invite à porter plainte.

EDIT – détection VirusTotal le lendemain : http://www.virustotal.com/file-scan/report.html?id=f79b13b7d68276b48f890c2f710f9d4802068050d5bd1601ae0225aacb55a587-1296560536

File name:

smvrs.exe

Submission date:

2011-02-01 11:42:16 (UTC)

Current status:

queued queued analysing finished

Result:

5/ 39 (12.8%)

VT Community


not reviewed
Safety score: –

AntivirusVersionLast UpdateResult
AhnLab-V32011.01.27.012011.01.27
AntiVir7.11.2.472011.02.01TR/VBKrypt.bbeu
Antiy-AVL2.0.3.72011.01.28
Avast4.8.1351.02011.01.31
Avast55.0.677.02011.01.31
BitDefender7.22011.02.01
CAT-QuickHeal11.002011.02.01
ClamAV0.96.4.02011.02.01
Commtouch5.2.11.52011.02.01
Comodo75592011.01.31
DrWeb5.0.2.033002011.02.01Trojan.Inject.21811
Emsisoft5.1.0.12011.02.01
eSafe7.0.17.02011.01.31
eTrust-Vet36.1.81322011.02.01Win32/Ransom.IY
F-Prot4.6.2.1172011.01.31
F-Secure9.0.16160.02011.02.01
Fortinet4.2.254.02011.02.01
IkarusT3.1.1.97.02011.02.01
Jiangmin13.0.9002011.02.01
K7AntiVirus9.79.37022011.02.01
Kaspersky7.0.0.1252011.02.01Trojan.Win32.VBKrypt.bbeu
McAfee5.400.0.11582011.02.01
McAfee-GW-Edition2010.1C2011.02.01
Microsoft1.65022011.02.01
NOD3258362011.02.01
Norman6.06.122011.01.31
Panda10.0.3.52011.01.31Suspicious file
PCTools7.0.3.52011.01.31
Prevx3.02011.02.01
Rising23.43.01.002011.02.01
Sophos4.61.02011.02.01
SUPERAntiSpyware4.40.0.10062011.02.01
TheHacker6.7.0.1.1222011.01.30
TrendMicro9.120.0.10042011.02.01
TrendMicro-HouseCall9.120.0.10042011.02.01
VBA323.12.14.32011.02.01
VIPRE82722011.02.01
ViRobot2011.2.1.42852011.02.01
VirusBuster13.6.174.02011.01.31
Additional information
MD5   : dc8c61715717fcbf727959a8d5733789
SHA1  : 1cc281f935df9cd962ec24bde58c8f29cffccdae
SHA256: f79b13b7d68276b48f890c2f710f9d4802068050d5bd1601ae0225aacb55a587

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article WormsCortex : où comment se faire de l’argent…. mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

8 Comments

  1. sebsauvage 31 janvier 2011
  2. sebsauvage 1 février 2011
  3. S!Ri 1 février 2011
  4. malekalmorte 1 février 2011
  5. WawaSeb 2 février 2011
  6. qwerty 3 février 2011
  7. TopXm 3 février 2011
  8. TopXm 3 février 2011

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez