Avant même de faire de nombreuses victimes, CoinVault avait déjà sa "tête" placardée dans les médias. J'ai baptisé "malwareketing" ( Malware+Marketing ) pour décrire le storytelling marketing viral qui accompagne les évènements qui défrayent les chroniques autour des attaques, des programmes malveillants, etc...
Bref, je vais tenter d'aborder quelque chose qui n'a pas encore été détaillé sur CoinVault (CV) et par la même de répondre à la question de l'unique victime du forum : "Est-ce "cvlock.exe" qui encrypte les fichiers ?"
Le fichier "cvlock.exe" ( SHA1: 911670753FFB5D56466888A22182501C4E32EBED ) est un PE 32-bit ayant été compilé le jeudi 20 novembre 2014 à 23:15:49. Les informations de débogage renseignent sur le Debug Directory: "c:\Users\Administrator\Desktop\cvlock.pdb" & le GUID: "1A6220F6-56B4-4527-B0E4-78455E713C6".
La fonction InitializeComponent() va décrypter un bloc de données pour libérer un stub nommé "S.H.I.E.L.D_runner" ( SHA1 : 348FF994F20F749CB09C38A72B8503C8158AD5AC ) de 17 408 octets. Les informations de débogage contiennent le GUID: "41ECCB53-38C5-485C-B0EC-6E6A286479C" & l'environnement de développement : "d:\users\melvin van den berg\documents\mega\s.h.i.e.l.d\s.h.i.e.l.d_runner\s.h.i.e.l.d_runner\obj\release\s.h.i.e.l.d_runner.pdb".
→ Reconstruction du code.

→ Extrait de la sortie du décryptage en live analysis.

Stockée en ressources: "JOVNKEoiOw" décryptée, la configuration en XML du stub.
<?xml version="1.0"?>
<Settings xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<executeStub>true</executeStub>
<dropStub>false</dropStub>
<detectMaltester>false</detectMaltester>
<dropStubHide>false</dropStubHide>
<dropStubPump>false</dropStubPump>
<dropStubName />
<dropStubLocation />
<dropStubSetRegistry>false</dropStubSetRegistry>
<dropStubRegLocation />
<dropStubRegValueName />
<stubBytes>@PAYLOAD@</stubBytes>
<executeProgram>false</executeProgram>
</Settings>
Le booléen executeStub étant à vrai, je m'occupe que des stubBytes. Le payload est encodé en base64. Une fois décodé, on obtient le fichier "Locker.exe" ( SHA1: 2522C2118DF04D3AE5CF3634A7558E6E5BB91D4B ) un PE 32-bit compilé le jeudi 20 novembre 2014 à 20:10:04 qui sera exécuté depuis un Process.Start.
→ Propriétés du programme
FileVersion : 1.0.0.0
InternalName : Locker.exe
FileDescription : CoinVault
Comments : Your worst nightmare.
Une DLL d' ~188 Ko est encodée en ressource ( SHA1: DC335FFAE5D566E37329A8A57BAB0DED01C64D53 )
Je ne détaillerai pas d'avantage, j'indique seulement la relation avec l'IP bloquée par MBAM.
→ Serveurs contactés :
☣ CV.DNSFOR.ME ( 8.23.224.90 )
☣ CV.POINTTO.US ( 8.23.224.90 )
Autre réponse à une question posée : les versions précédentes sont supprimées.
- "%windir%\system32\vssadmin.exe" Delete Shadows /All /Quiet
- "%windir%\system32\wbem\wmic.exe" shadowcopy delete
Encore une fois, les rançongiciels chiffreurs paralysent & prennent en otage des fichiers en échange de rançons via Bitcoin. Encore une fois, les utilisateurs feront l'amalgame entre crypto-monnaies & activités criminelles. Encore une fois, les utilisateurs inquiets vont croire qu'acheter des solutions de sécurité va régler la situation. Encore une fois, la peur de perdre les données va pousser à dématérialiser dans les nuages / cloud via des services STaaS. Encore une fois, les auteurs de rançongiciels ont tout à perdre alors qu'ils pourraient s'enrichir légalement. Au lieu de ça, ces pions font le jeu des géants, le temps d'une partie.
→ ( 29 octobre 2015 ) Kaspersky Lab and the Dutch Police are Ending the Nightmare for 14,031 CoinVault and Bitcryptor Ransomware Victims Worldwide
https://noransom.kaspersky.com/