Ransomware Bitcoin

sr_meck · 6 Febrero 2015

Bitcoin Ransomware Now Spreading via Spam Campaigns

La verdad es que no había visto este tipo de ataque que va de la mano con un vil chantaje.

Pal que no cacha ingles, basicamente es que las computadoras infectadas a travez de algún troyano inyectan código sobre 'svchost.exe' que es un proceso valido del sistema y este programa una tarea el cual va moviendo y encriptando tus archivos con una encriptacion equivalente a RSA de 3,072-bit (osea tay hasta el loly)

Luego de eso te aparece un banner el cual te indica que tienes 96 horas para pagar en bitcoins si no tus archivos quedaran permanentemente encriptados.

Igual a toda raja el metodo de secuestro de tu información, utilizando métodos que son orientados a la seguridad como es la encriptacion para secuestrar tus archivos y pidiendo un vil rescate por tus archivos.

Ahora solo veo solo ataca sistemas MS ya que infecta svchost.exe.

A alguien le ha pasado o a visto este ataque?

Saludos

senbe · 6 Febrero 2015

¿Cuántos bitcoins hay que pagar? La imagen no dice nada al respecto.

Adiosín... :ninja

Batou · 6 Febrero 2015

No es tan nuevo en realidad, si no mal recuerdo en España esta de moda desde hace 2 años, donde los sistemas afectados son principalmente empresas, a las cuales les piden 300 usd (equivalentes en bitcoin), para luego pasarles un programa que descifra los archivos.

Han habido casos, en que el ransomware es tan mula, que nisiquiera cifra realmente los archivos xD!, y la mayoria de empresas (que no tienen backups o no quieren perder tiempo) terminan pagando y recuperan sus sistemas.

Saludos.

sr_meck · 6 Febrero 2015

Particularmente en esta noticia que vi me llamo la atención em metodo de cifrado que es realmente fuerte equivalente a RSA de 3,072 bit

K3rnelpanic · 9 Febrero 2015

No he visto nada parecido por todas las empresas que he dado vuelta :zippy

Kensho · 9 Febrero 2015

por suerte todos los water que veo son linux

-=Dark][Dawn=- · 11 Febrero 2015

Acá en la empresa atacó dos PCs, encriptó gran parte de los archivos y dejó esta "nota":

Me tocó revisar uno de los PCs, al parecer el "virus" entra, encripta los archivos y se vá, ya que aparte de dejar los archivos encriptados y cuatro archivos con la info de arriba (un png, un html, un txt y un acceso directo a una url, todos con la misma info), no encontré nada con tres antivirus y un antimalware.
Este equipo tenía acceso a una unidad de red, todas las carpetas donde tenían permisos de lectura/escritura fueron afectadas. Esta fué la unica info que pudimos rescatar, ya que tenemos respaldo en cintas, pero la info del PC... era!, desactivó la restauración de sistema y con esto las "versiones anteriores" de las carpetas.
Ah, el antivirus corporativo (TrendMicro) ni lo vió, más encima después dañó la instalación de este así que ni cargaba xD

hydeciel · 12 Febrero 2015

-=Dark][Dawn=-;13499702 dijo:
Acá en la empresa atacó dos PCs, encriptó gran parte de los archivos y dejó esta "nota":

http://i.imgur.com/HTjtHeCl.jpg

Me tocó revisar uno de los PCs, al parecer el "virus" entra, encripta los archivos y se vá, ya que aparte de dejar los archivos encriptados y cuatro archivos con la info de arriba (un png, un html, un txt y un acceso directo a una url, todos con la misma info), no encontré nada con tres antivirus y un antimalware.
Este equipo tenía acceso a una unidad de red, todas las carpetas donde tenían permisos de lectura/escritura fueron afectadas. Esta fué la unica info que pudimos rescatar, ya que tenemos respaldo en cintas, pero la info del PC... era!, desactivó la restauración de sistema y con esto las "versiones anteriores" de las carpetas.
Ah, el antivirus corporativo (TrendMicro) ni lo vió, más encima después dañó la instalación de este así que ni cargaba xD

Los antivirus dificilmente detecten el bicharraco

K3rnelpanic · 12 Febrero 2015

-=Dark][Dawn=-;13499702 dijo:
Acá en la empresa atacó dos PCs, encriptó gran parte de los archivos y dejó esta "nota":

http://i.imgur.com/HTjtHeCl.jpg

Me tocó revisar uno de los PCs, al parecer el "virus" entra, encripta los archivos y se vá, ya que aparte de dejar los archivos encriptados y cuatro archivos con la info de arriba (un png, un html, un txt y un acceso directo a una url, todos con la misma info), no encontré nada con tres antivirus y un antimalware.
Este equipo tenía acceso a una unidad de red, todas las carpetas donde tenían permisos de lectura/escritura fueron afectadas. Esta fué la unica info que pudimos rescatar, ya que tenemos respaldo en cintas, pero la info del PC... era!, desactivó la restauración de sistema y con esto las "versiones anteriores" de las carpetas.
Ah, el antivirus corporativo (TrendMicro) ni lo vió, más encima después dañó la instalación de este así que ni cargaba xD

Y le pagaron al compadre para recuperar la data? :zippy

sr_meck · 12 Febrero 2015

VittokoX dijo:
Y le pagaron al compadre para recuperar la data?

Me sumo a la pregunta, le pagaron, cuanto estaba pidiendo?

Saludos

-=Dark][Dawn=- · 13 Febrero 2015

No, aunque era información critica la que perdieron prefirieron recopilar los datos y crear las planillas de cero.
Igual las jefaturas leyeron sobre el tema, y como hay casos donde a pesar de haber pagado las lukas no les enviaron las claves para desencriptar los archivos, prefirieron no arriesgarse y que los monos se entretuvieran ingresando la info.
Los monos estaban felices :risas

-=Dark][Dawn=- · 13 Febrero 2015

Existe una web que dice lograr desencriptar los archivos: http://www.decryptcryptolocker.com
Subes un archivo encriptado, ingresas una dirección de email, ellos lo analizan y supongo que te envían por correo la respuesta si pudieron o no desencriptar el archivo y el precio a pagar.

Amenadiel · 17 Febrero 2015

Yo creo que si esa web tiene buenas intenciones, pecan de ingenuos, simplemente no hay capacidad de cómputo suficiente para hacerlo por cuerza bruta en un tiempo razonable.

Y la otra posibilidad es que esta web explote el nicho de negocio de los desesperados que quieren desencriptar sus archivos a menos precio y salgan igual de embaucados que con el que armó el chantaje en primer lugar.

Ransomware Bitcoin

sr_meck

a.k.a chikogollo

senbe

Asesino de ferrules.

Batou

%安全

sr_meck

a.k.a chikogollo

K3rnelpanic

non serviam

Kensho

Buscando el norte

-=Dark][Dawn=-

Miembro Regular

hydeciel

Miembro Activo

K3rnelpanic

non serviam

sr_meck

a.k.a chikogollo

-=Dark][Dawn=-

Miembro Regular

-=Dark][Dawn=-

Miembro Regular

Amenadiel

Ille qui nos omnes servabit