Virus Crypto Locker

[BTCPoint]

Recientemente hemos notado varias compras inusuales y muy seguidas de importes similares y relativamente altos en nuestra máquina. El pasado día 17 fuimos a hacer el mantenimiento periódico de la máquina (disculpad, estuvo unas horas parada) y casualmente nos encontramos a uno de los compradores un tanto nervioso.

Me puse a hablar con él ya que tenia mucho interés en comprar bitcoin. Tras instalarle un wallet y hablar un poco más con él me confeso que no tenia ningún interés en bitcoin, sino que un virus le había cifrado por completo todos sus archivos y le pedían un rescate de unos 600 € en bitcoins por la clave de descifrado. Inicialmente le recomendé no pagar, ya que al ser en bitcoin y a través de TOR la posibilidad de que le estafasen es elevada. El caso es que esta persona maneja gran cantidad de datos de otras personas y empresas por su actividad laboral, y casualmente el disco donde realizaba las copias de seguridad se encontraba conectado en ese momento, con lo que también quedó cifrado.

Le dije que me dejara examinar el disco antes de pagar y en efecto, todo esta cifrado. Por lo que hemos podido ver se trata de RSA  con lo que las posibilidades de obtener la clave por fuerza bruta son nulas. Dada la necesidad imperiosa de recuperar los datos la persona accedió a pagar el rescate y en efecto, funcionó.

Todo eso llego a través de un mail haciendo pasar por correos con el dominio correos24.net. El caso es que hoy han llamado varias personas de aquí de Barcelona en la misma situación.

Obviamente a todos les he propuesto que lo denuncien y que en la medida de lo posible no paguen.

Si a alguien le interesa, tengo los ejecutables así como el programa que luego te envían para descifrar una vez pagado el rescate. Voy a tratar de descompilarlos y ejecutarlos en una máquina virtual para ver como funcionan. Tengo también todas las direcciones de tor donde debes pagar. Parece que ya las hacen personalizadas para cada ordenador infectado. He quitado el id de la persona afectada. (Sustituido por XXXXX)

http://bbsqfujyiblsryg[Suspicious link removed]rprivatebrowsing.org/buy.php?XXXXX
http://bbsqfujyiblsrygu.gate2tor.org/buy.php?XXXXXX
http://bbsqfujyiblsryg[Suspicious link removed]r2web.org/buy.php?XXXXXX
http://bbsqfujyiblsrygu.onion.cab/buy.php?XXXXXX
http://bbsqfujyiblsrygu.onion/buy.php?XXXXX

[1715671986]

1715671986

[1715671986]

1715671986

[1715671986]

1715671986

[1715671986]

1715671986

[escalicha]

Yo que tengo bastantes clientes que necesitan BTC rapido, puedo decir que no es nada raro encontrarse a 1 o 2 clientes semanales que han sufrido el hackeo con su correspondiente encriptacion.
La verdad, es una pena que conozcan Bitcoin por esto negativo y no por lo positivo que tiene. 

[Anillos2]

Me imagino que si tienes copia de seguridad puedes baipasear los efectos de este virus. ¿no?

[Antuam]

Hola.

Lo malo de este virus, es que encripta hasta las unidades de red.

A nosotros nos entro en la empresa, pero gracias a niveles de seguridad en carpetas, solo fastidio un par de ellas, y como tengo snapshot cada hora, el estropicio fue minúsculo.

Saludos.
Antuam.

[dserrano5]

Me imagino que si tienes copia de seguridad puedes baipasear los efectos de este virus. ¿no?

Lo pone en el OP .

[pinger]

http://deletemalware.blogspot.com.es/2013/10/remove-cryptolocker-virus-and-restore.html

Parece que es bastante jodido y que sin backups es aún peor. Aún y así parece que empiezan a salir algunas "soluciones" no completas.

[Anillos2]

Me imagino que si tienes copia de seguridad puedes baipasear los efectos de este virus. ¿no?

Lo pone en el OP .

Cierto, es verdad.

Parece que secuestra todo el disco duro, con lo que tampoco es que se pueda decir que sea algo específico de BTC, también podría pedir rescates por cuenta bancaria si quisieran. De hecho, muchos anuncios que había que prometían ganar mucho dinero consistían en ser un intermediario en estos negocios sucios.

[franckuestein]

Buff, muchas gracias por el aviso.
Creo que a partir de ahora estaré mucho más atento a los correos que reciba en mi bandeja de entrada si son de exchanges o páginas web relacionadas con el mundo de bitcoin y las cryptos para verificar si se trata de phishing o de cualquier tipo de virus.

Como recomendación personal me gustaría recordar que en vuestro perfil --> https://bitcointalk.org/index.php?action=profile os acordéis de proteger vuestro correo electrónico poniendo que no sea público, ya que muchos lo utilizan para recopilar correos y mandar ese tipo de mensajes.

[SUPERANTONIO]

Recientemente hemos notado varias compras inusuales y muy seguidas de importes similares y relativamente altos en nuestra máquina. El pasado día 17 fuimos a hacer el mantenimiento periódico de la máquina (disculpad, estuvo unas horas parada) y casualmente nos encontramos a uno de los compradores un tanto nervioso.

Me puse a hablar con él ya que tenia mucho interés en comprar bitcoin. Tras instalarle un wallet y hablar un poco más con él me confeso que no tenia ningún interés en bitcoin, sino que un virus le había cifrado por completo todos sus archivos y le pedían un rescate de unos 600 € en bitcoins por la clave de descifrado. Inicialmente le recomendé no pagar, ya que al ser en bitcoin y a través de TOR la posibilidad de que le estafasen es elevada. El caso es que esta persona maneja gran cantidad de datos de otras personas y empresas por su actividad laboral, y casualmente el disco donde realizaba las copias de seguridad se encontraba conectado en ese momento, con lo que también quedó cifrado.

Le dije que me dejara examinar el disco antes de pagar y en efecto, todo esta cifrado. Por lo que hemos podido ver se trata de RSA  con lo que las posibilidades de obtener la clave por fuerza bruta son nulas. Dada la necesidad imperiosa de recuperar los datos la persona accedió a pagar el rescate y en efecto, funcionó.

Todo eso llego a través de un mail haciendo pasar por correos con el dominio correos24.net. El caso es que hoy han llamado varias personas de aquí de Barcelona en la misma situación.

Obviamente a todos les he propuesto que lo denuncien y que en la medida de lo posible no paguen.

Si a alguien le interesa, tengo los ejecutables así como el programa que luego te envían para descifrar una vez pagado el rescate. Voy a tratar de descompilarlos y ejecutarlos en una máquina virtual para ver como funcionan. Tengo también todas las direcciones de tor donde debes pagar. Parece que ya las hacen personalizadas para cada ordenador infectado. He quitado el id de la persona afectada. (Sustituido por XXXXX)

http://bbsqfujyiblsryg[Suspicious link removed]rprivatebrowsing.org/buy.php?XXXXX
http://bbsqfujyiblsrygu.gate2tor.org/buy.php?XXXXXX
http://bbsqfujyiblsryg[Suspicious link removed]r2web.org/buy.php?XXXXXX
http://bbsqfujyiblsrygu.onion.cab/buy.php?XXXXXX
http://bbsqfujyiblsrygu.onion/buy.php?XXXXX

En el cajero de One Shot https://bitcointalk.org/index.php?topic=806821.0 hubo una compra asi la semana pasada. Ademas es complicado porque pretende comprar bitcoin alquien que no sabe lo que es, asi que imaginad!!!
Esto no es bueno para el Bitcoin.
Espermos que las empresas de seguridad informatica y de antivirus sean capaz de erradicar esto, aunque tambien pasa por educar al usuario, asignatura pendiente del mundo de la informatica.

Saludos!