Ransomware Bitcoin

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Bitcoin Ransomware Now Spreading via Spam Campaigns

La verdad es que no había visto este tipo de ataque que va de la mano con un vil chantaje.

Pal que no cacha ingles, basicamente es que las computadoras infectadas a travez de algún troyano inyectan código sobre 'svchost.exe' que es un proceso valido del sistema y este programa una tarea el cual va moviendo y encriptando tus archivos con una encriptacion equivalente a RSA de 3,072-bit (osea tay hasta el loly)

Luego de eso te aparece un banner el cual te indica que tienes 96 horas para pagar en bitcoins si no tus archivos quedaran permanentemente encriptados.

Igual a toda raja el metodo de secuestro de tu información, utilizando métodos que son orientados a la seguridad como es la encriptacion para secuestrar tus archivos y pidiendo un vil rescate por tus archivos.

Ahora solo veo solo ataca sistemas MS ya que infecta svchost.exe.

A alguien le ha pasado o a visto este ataque?

Saludos
 

senbe

Asesino de ferrules.
Miembro del Equipo
MOD
Se incorporó
25 Julio 2006
Mensajes
12.049
¿Cuántos bitcoins hay que pagar? La imagen no dice nada al respecto.





Adiosín...:ninja
 

Batou

%安全
Se incorporó
13 Julio 2008
Mensajes
497
No es tan nuevo en realidad, si no mal recuerdo en España esta de moda desde hace 2 años, donde los sistemas afectados son principalmente empresas, a las cuales les piden 300 usd (equivalentes en bitcoin), para luego pasarles un programa que descifra los archivos.

Han habido casos, en que el ransomware es tan mula, que nisiquiera cifra realmente los archivos xD!, y la mayoria de empresas (que no tienen backups o no quieren perder tiempo) terminan pagando y recuperan sus sistemas.

Saludos.
 

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Particularmente en esta noticia que vi me llamo la atención em metodo de cifrado que es realmente fuerte equivalente a RSA de 3,072 bit
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
No he visto nada parecido por todas las empresas que he dado vuelta :zippy
 

-=Dark][Dawn=-

Miembro Regular
Se incorporó
28 Julio 2006
Mensajes
74
Acá en la empresa atacó dos PCs, encriptó gran parte de los archivos y dejó esta "nota":

HTjtHeCl.jpg


Me tocó revisar uno de los PCs, al parecer el "virus" entra, encripta los archivos y se vá, ya que aparte de dejar los archivos encriptados y cuatro archivos con la info de arriba (un png, un html, un txt y un acceso directo a una url, todos con la misma info), no encontré nada con tres antivirus y un antimalware.
Este equipo tenía acceso a una unidad de red, todas las carpetas donde tenían permisos de lectura/escritura fueron afectadas. Esta fué la unica info que pudimos rescatar, ya que tenemos respaldo en cintas, pero la info del PC... era!, desactivó la restauración de sistema y con esto las "versiones anteriores" de las carpetas.
Ah, el antivirus corporativo (TrendMicro) ni lo vió, más encima después dañó la instalación de este así que ni cargaba xD
 
Última modificación:

hydeciel

Miembro Activo
Nuevo
Se incorporó
3 Enero 2007
Mensajes
20
-=Dark][Dawn=-;13499702 dijo:
Acá en la empresa atacó dos PCs, encriptó gran parte de los archivos y dejó esta "nota":

http://i.imgur.com/HTjtHeCl.jpg

Me tocó revisar uno de los PCs, al parecer el "virus" entra, encripta los archivos y se vá, ya que aparte de dejar los archivos encriptados y cuatro archivos con la info de arriba (un png, un html, un txt y un acceso directo a una url, todos con la misma info), no encontré nada con tres antivirus y un antimalware.
Este equipo tenía acceso a una unidad de red, todas las carpetas donde tenían permisos de lectura/escritura fueron afectadas. Esta fué la unica info que pudimos rescatar, ya que tenemos respaldo en cintas, pero la info del PC... era!, desactivó la restauración de sistema y con esto las "versiones anteriores" de las carpetas.
Ah, el antivirus corporativo (TrendMicro) ni lo vió, más encima después dañó la instalación de este así que ni cargaba xD

Los antivirus dificilmente detecten el bicharraco
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
-=Dark][Dawn=-;13499702 dijo:
Acá en la empresa atacó dos PCs, encriptó gran parte de los archivos y dejó esta "nota":

http://i.imgur.com/HTjtHeCl.jpg

Me tocó revisar uno de los PCs, al parecer el "virus" entra, encripta los archivos y se vá, ya que aparte de dejar los archivos encriptados y cuatro archivos con la info de arriba (un png, un html, un txt y un acceso directo a una url, todos con la misma info), no encontré nada con tres antivirus y un antimalware.
Este equipo tenía acceso a una unidad de red, todas las carpetas donde tenían permisos de lectura/escritura fueron afectadas. Esta fué la unica info que pudimos rescatar, ya que tenemos respaldo en cintas, pero la info del PC... era!, desactivó la restauración de sistema y con esto las "versiones anteriores" de las carpetas.
Ah, el antivirus corporativo (TrendMicro) ni lo vió, más encima después dañó la instalación de este así que ni cargaba xD

Y le pagaron al compadre para recuperar la data? :zippy
 

-=Dark][Dawn=-

Miembro Regular
Se incorporó
28 Julio 2006
Mensajes
74
No, aunque era información critica la que perdieron prefirieron recopilar los datos y crear las planillas de cero.
Igual las jefaturas leyeron sobre el tema, y como hay casos donde a pesar de haber pagado las lukas no les enviaron las claves para desencriptar los archivos, prefirieron no arriesgarse y que los monos se entretuvieran ingresando la info.
Los monos estaban felices :risas
 

-=Dark][Dawn=-

Miembro Regular
Se incorporó
28 Julio 2006
Mensajes
74
Existe una web que dice lograr desencriptar los archivos: http://www.decryptcryptolocker.com
Subes un archivo encriptado, ingresas una dirección de email, ellos lo analizan y supongo que te envían por correo la respuesta si pudieron o no desencriptar el archivo y el precio a pagar.

 

Amenadiel

Ille qui nos omnes servabit
Fundador
OVERLORD
REPORTERO
Se incorporó
15 Enero 2004
Mensajes
18.398
Yo creo que si esa web tiene buenas intenciones, pecan de ingenuos, simplemente no hay capacidad de cómputo suficiente para hacerlo por cuerza bruta en un tiempo razonable.

Y la otra posibilidad es que esta web explote el nicho de negocio de los desesperados que quieren desencriptar sus archivos a menos precio y salgan igual de embaucados que con el que armó el chantaje en primer lugar.
 
Subir