Virus Criptolocker, Locky ¿Cómo desencripto mis archivos?

Pues que no decaiga la fiesta:

Tox/Kazy: Ransomware gratuito y a medida

     Twittear Los investigadores de Mcafee han descubierto la primera variante de un Ransomware de uso gratuito que permite crear malware a medida de cualquier delincuente y crear campañas extorsión propias.

El toolkit, llamado “TOX”, permite diseñar un ataque de ransomware personalizado y con capacidades avanzadas de evasión. “El nivel de evasión antimalware es bastante alto, lo que significa que es necesario instalar controles adicionales a los antivirus como listas blancas y sandboxing para su detección” señalaron los investigadores.

TOX emplea Tor y permite a los atacantes cobrar una cuota de Bitcoins para desbloquear los archivos cifrados. Esto permite proporcionar a los atacantes un nivel de anonimato bastante alto. Los usuarios simplemente ingresan el monto demandado a través de la GUI de TOX y los desarrolladores de TOX toman un 20% del rescate cobrado.

Este proceso crea un ejecutable de 2MB que se disfraza como un archivo SCR. A continuación, los “clientes” de TOX distribuyen el malware como lo estimen conveniente. El sitio de TOX (en la red TOR) seguirá la instalación y los beneficios obtenidos.
Como siempre el malware cifra los datos de las víctimas y les pide el rescate, incluyendo la dirección Bitcoin para enviar el pago. Para retirar los fondos, sólo se necesita suministrar una dirección de Bitcoin receptora.

Los desarrolladores de Ransomware utilizan varios niveles de cifrado, Tor para el centro de comando y control (C&C) y técnicas antivirtualización y anti-emulación.

Los investigadores creen que TOX es el comienzo de una nueva tendencia en el desarrollo de Ransomware que ciertamente producirá variantes más avanzadas. Mientras tanto, los antivirus detectan el malware como Kazy pero la detección es baja.

3 Me gusta

Ya es mala suerte, pero un cliente ha recibido el dichoso mail de correos, y lo ha ejecutado varias veces, después de pagar una vez, todo seguia encryptado y las direcciones de pago habían cambiado. Al segundo pago se le ha desencryptado parcialmente los archivos. Según me dice, los importantes ya los tiene pero se niega a pagar una tercera vez.

La pérdida es de todo 2015 según me dice. Una lástima.

HOla!

Comentas que la unica solucion es pagando los bitcoins, entonces estas empresas que se ofrecen incluso dando una prueba de su servicio, como funciona? O es que son los propios delincuentes ellos?


http://www.jbsi.es/sat_ransom/

Son un ejemplo de personas que ofrecen el servicio para descifrarlo.

Muy sospechoso que dos empresas pequeñas, salidas de la anada, tengan la solución, el antídoto a una encryptación como la de cryptolocker… :smirk:

En cualqier caso, cada uno es libre de intentar recuperar sus archivos de la forma que sea. También puedes gastarte 3k euros e ir a una empresa especializada en discos duros y que te saque las versiones antiguas, por opciones que no queden.

Lool

1 me gusta

Supongo que aquí interesará

Pues no le des muchas vueltas por que el 99,9% de las veces entra por dos motivos:
1.- Correo electronico.
(si ves el correo de la persona infectada (tanto el de empresa como el personal y no hay nada, solo queda la segunda)
2.- ejecucion de codigo malicioso de webs. ¿A que me refiero con esto?
pues por ejemplo:

A lo largo de la pasada semana, los expertos en seguridad de la firma
Malwarebytes descubrieron algo sorprendente: había publicidad maliciosa
insertada no en sitios web de dudosa reputación sino en la mismísima red
de publicidad online de Yahoo.
La histórica compañía descubrió entonces que este malware había estado
campando durante seis días a sus anchas por todos los sitios web que
colaboran con Yahoo y muestran sus anuncios.
En este caso, los anuncios incluían ‘ransomware’,
http://www.ticbeat.com/seguridad/yahoo-elimina-una-campana-de-malvertising-inundo-su-red-de-publicidad-durante-seis-dias/

1 me gusta

https://blockchain.info/es/address/1P7jNLSB169s2K8rqjTJnWWGx3eNZys4ND

Siguen trabajando.

Más de 300 millones de dolares recaudados por los creadores de los ransomware. Es decir, un 10% del marketcap.

http://www.coindesk.com/cryptowall-325-million-bitcoin-ransom/

Nueva variante del virus.

http://noticias.lainformacion.com/mundo/un-hospital-de-hollywood-paga-a-unos-hackers-un-rescate-en-bitcoins_jvhJxmcVn4NVZUOnrNhZA/

Sigue activo…

1 me gusta

Hola escalicha. Como puedo ponerme en contacto privado contigo?

1 me gusta

Hola Escalicha. ¿Cómo puedo ponerme en contacto contigo de forma privada?. Me ha entrado en el ordenador cryptolocker con extensión xtbl y me han pedido 500$ en bitcoin. Estoy planteándome pagarlos pero no tengo ni idea de todo el proceso. ¿Podrías asesorarme?

1 me gusta

Tenemos encima otro ataque de cryptolocker. Llevo más de 15 llamadas desde el viernes tratando de ayudar a la gente.
Ya no es el echo de pagar al pirata que se os nos cuela en nuestros sistemas, sino que encima, le volvemos ha dejar entrar con la esperanza de que nos devuelva nuestros ficheros y nos encontremos que puede que nos deje una nueva sorpresitas.
Una vez recuperado nuestros archivos, lo mejor es hacer un backup de los mismos y reinstalar el o los ordenadores afectados.

En fin, por favor, mucho cuidado con los mails y con las webs que visitáis, así como las supuestas “Medicinas” de programas.

Saludos.
Antuam

Si, llevamos 15 días que se nota que ha subido el número de afectados con el virus.

Una lástima

Hola Escalicha. Soy una de las tantas victimas de este virus. Me entro una variante llamada Locky.
Me afecto archivos importantisimos para mi. Y necesito recuperarlos. Lamentablemente no tengo otra q hacer el pago. Me encontre con que la compra de bitcoins es sumanente complicada.
Decis q haces venta de bitcoins. Como puedo comunicarme con vos para poder hacer la compra? Desde ya muchas gracias.

Disculpa la curiosidad, ¿de qué país eres?

Soy de Argentina

Es relativamente fácil con satoshitango utilizando rapipago y otros, las cuestiones a considerar son: el tiempo de verificación 1-48 hrs, el tiempo para que te acrediten 24h aprox., si lo haces un viernes, tienes que esperar mínimo hasta el lunes y por último las comisiones, las que pueden o no ser importantes dependiendo de las necesdades de cada cual…

Lo ultimo que leí es que secuestraron el servidor de torrents de transmission, es el que utilizo (pirate detected) aunque mencionaban que era para apple, no sé si afecte linux…