Crimewave de Cryptolocker um rastro de milhões de dólares em lavado bitcoin ZDNet bitcoin valor 2012

Após rastrear outro endereço Bitcoin pertencente a CryptoLocker e vê-lo passar mais de seis milhões de dólares eles celebrados, "Isto sugere que a nossa estimativa de sua raquete é muito conservador."

Dell SecureWorks divulgou seu relatório detalhado sobre CryptoLocker Ransomware quarta-feira, cimentando o que vários pesquisadores já sabiam sobre o sistema extrotion cruelmente inteligente da CryptoLocker.

falta de vontade da Dell no seu documento para estimar estatísticas de pagamentos de resgate precisa confundiu imprensa até agora: muitos artigos relatar incorretamente $ 30 milhões (começando com esta URL atualizado, agora citando uma obviamente incorreta $ 300K).

Carbonite, um serviço de backup em nuvem, foi relatado em novembro ter sido lidar com " vários milhares" de telefonemas de vítimas CryptoLocker-infectados, e agora temos uma equipe dedicada lidar com recuperações CryptoLocker.


Na pesquisa para este artigo ZDnet traçou quatro endereços bitcoin postados (e re-publicado) em fóruns de múltiplas vítimas CryptoLocker, mostrando o movimento de 41.928 BTC entre 15 de Outubro e 18 de Dezembro.

O malware não parece a vítima até que todos os arquivos são criptografados com sucesso (e no caso de você pensou que era seguro prosseguir, você não é: CryptoLocker procura periodicamente por novos arquivos).

O processo de criptografia começa depois CryptoLocker estabeleceu sua presença no sistema e localizado com sucesso, conectado, e se comunicava com um servidor C2 dolar valor bitcoin controlado pelo invasor. Esta comunicação fornece o malware com RSA chave pública os atores ameaça, que é usado em todo o processo de criptografia.

(…) Em vez de usar uma implementação personalizada de criptografia como muitas outras famílias de malware, CryptoLocker usa criptografia de certificado de terceiros forte oferecida por CryptoAPI da Microsoft.

papel da Dell sugere Puppetmasters de CryptoLocker estão na Rússia e na Europa Oriental, com alvos principais nos Estados Unidos, bem como outros países de língua Inglês bitcoin gráfico euro. UMA "bastardo e diabólica" idéia

Nas palavras de Dell, "Durante esta fase de validação de pagamento, o malware se conecta ao servidor C2 a cada 15 minutos para determinar se o pagamento foi aceite bitcoin umrechner euro. Segundo relatos de vítimas, os pagamentos podem ser aceitos dentro de minutos ou pode levar várias semanas para processar."

Se você não pagar, você desistiu de seus arquivos – e quaisquer outras novas que você fez em seu sistema após a infecção usd calculadora bitcoin. Até o momento, ninguém se recuperou com sucesso arquivos após a infecção CryptoLocker – a menos que pagou o resgate.

montante de resgate de CryptoLocker tem variado desde a sua estreia em setembro, mas atualmente fica em US $ 300 (USD) e 300 euros – o preço do resgate é normalmente listado em moeda dinheiro, e Bitcoin.

Na primeira, CryptoLocker incluído [dois conhecidos] endereços bitcoin estáticos para todos que estavam infectados investimento bitcoin. Os versons atuais de CryptoLocker gerar dinamicamente novos endereços de pagamento bitcoin para cada instância infecção último preço bitcoin. CryptoLocker se importa

Em vez de deixá-lo alto e seco com arquivos criptografados, uma chave, e não há maneira de desbloqueá-los, CryproLocker detecta a exclusão de seus arquivos executáveis ​​e mostra vítimas uma mensagem que contém um link para uma ferramenta de decodificação que as vítimas podem baixar em caso de isto acontecer .

CryptoLocker deixou uma grande área tão grande de vítimas confusos e irritados que numerosos fóruns onde as vítimas foram reunindo em linha desde setembro de compartilhar informações sobre sua experiência, oferecendo detalhes na esperança de ajudar os outros.

Ativos tópicos de TI em sites como o Reddit (r / sysadmin, r / techsupport, outros) e BleepingComputer acabaram dobrando como redes de apoio à pseudo para os menores de arma cronometrado de CryptoLocker.

É amplamente aceito que cérebros de CryptoLocker espreitam em blogs e fóruns sobre CryptoLocker (especialmente esta discussão), e responderam a questões do utilizador infectado, bem como "dar outras mensagens na página inicial de seus servidores de comando e controle."

O autor do malware tem respondido às pessoas em fóruns, ajudando-os a pagar e tal, e afirmou que as chaves não são enviados em um processo automatizado, mas selecionados manualmente por ele para exclusão e enviar para a descodificação.

Ele mantém as chaves mais do que os 4 dias, e vai solucionar códigos MoneyPak não trabalham, e vai enviar a chave descriptografar o mais rápido que puder depois que ele recebe o dinheiro bitcoin troca Índia. Ele conhece cada computador que tem, e cada computador recebe uma chave única.

O uso prolongado de alguns desses hospedeiros, tais como 93.189.44.187, 81.177.170.166, e 95.211.8.39, sugere que eles estão localizados em provedores que são indiferentes à atividade criminosa em suas redes ou são cúmplices na sua execução (como assim -chamado "a prova de balas" provedores de hospedagem) o que é uma carteira bitcoin. Os servidores restantes parecem ser usado por vários dias antes de desaparecer.

Os pesquisadores dizem que eles não sabem se os servidores estão desaparecendo porque ISPs estão terminando serviço do CryptoLocker, ou se é porque gangue Crimewave de CryptoLocker prefere ficar um alvo em movimento bitcoin web profunda. Diga a mãe eo pai não abrir todos os anexos de e-mail maldita

Em 7 de Outubro, 2013, pesquisadores da CTU observado CryptoLocker sendo distribuído pela (P2P) Gameover malware Zeus peer-to-peer em um típico arranjo de pay-per-instalação bitcoin comprar e vender. Neste caso, Gameover Zeus foi distribuído por spam botnet Cutwail usando iscas consistentes com as campanhas de distribuição de malware anteriores.

(…) anexado à mensagem é um arquivo ZIP que contém um executável pequeno (cerca de 20KB) usando uma extensão de documento no nome do arquivo e exibir um ícone Adobe Reader. Este Upatre de downloads de malware e executa Gameover Zeus, que por sua vez baixa e instala outros famílias de malware, incluindo CryptoLocker.

O relatório da Dell explica que a primeira onda de e-mail, dirigido a empresas, atraídas cliques, abordando profissionais para notificá-los de uma queixa formal. Mas fora de papel da Dell, vítimas denunciar e-mails CryptoLocker provenientes de endereços de e-mail Xerox falsificados, e-mails sobre currículos, e uma linha de assunto comumente citado é "Relatório da folha de pagamento."

Ao registrar-se você se tornar um membro da família CBS Interactive sites e você leu e concorda com os Termos de Uso, Política de Privacidade e Vídeo Política de Serviços. Você concorda em receber atualizações, alertas e promoções da CBS e que a CBS pode compartilhar informações sobre você com os nossos parceiros de marketing para que eles possam entrar em contato por e-mail ou outra forma sobre seus produtos ou serviços.