¿No tienes para pagar el rescate?. No importa, los ladrones de CryptoLocker, te darán un respiro


Los matones del Ransomware te dejarán saldar tu cuenta más tarde... por un precio


Crybercrooks quien está detrás del infame cifrador de archivos CryptoLocker ransomware han comenzado a ofrecer una opción de pago tardío, que cuesta cinco veces más para "comprar" la clave necesaria para descifrar los archivos cifrados de las víctimas.

Anteriormente las víctimas que no pudieron pagar un rescate de + $ 300 (hasta 2 Bitcoins, 460 dólares) durante los tres días que tenían de tiempo para pagar por el secuestro, perderían la capacidad de recuperar los archivos cifrados mediante una clave privada. Los delincuentes detrás de la estafa eliminaban la clave y ya no la ofrecían para su venta. Las víctimas sin copias de seguridad ya no tenían forma de como recuperar los archivos.

Recientemente, los ciberdelincuentes detrás de la estafa han creado un "servicio de descifrado CryptoLocker", alojado en una de las direcciones IP del servidor de comando y control, ubicado en Ucrania, de acuerdo con la firma de antivirus Malwarebytes. También se puede acceder a esta página de "servicios" en línea a través de la red "anónima" Tor en una dirección ".onion", un movimiento diseñado para dar al sitio una mayor vida útil y protección contra ataques de DNS.

Las víctimas pueden subir uno de sus archivos cifrados con el fin de encontrar la clave privada de descifrado correspondiente. Sólo se aceptan archivos cifrados. Cuando se encuentra una coincidencia, se muestra una página de confirmación, junto con la demanda para el pago de 10 Bitcoins ($ 2.300). El descubrimiento fue reportado por primera vez en los foros de the Bleeping Computer's del fin de semana pasado.

Los programas antivirus tratan de eliminar la infección en las máquinas comprometidas ,eliminan las claves del registro que se requiere para pagar el rescate y así poder descifrar los archivos. Al parecer, los ladrones detrás de la estafa han logrado una manera de sacarle más partido a estas personas, así como a los morosos en general.

Los sofisticados malhechores detrás de la estafa se ubican en otros lugares para evitar ser detectados por los investigadores que buscan identificarlos siguiendo el rastro del dinero.

"Por cada víctima, se genera una dirección Bitcoin único (donde se enviará el dinero)", escribe Jerome Segura, investigador senior de seguridad de Malwarebytes. "De hecho, incluso si subes el mismo archivo encriptado dos veces, usted recibirá una nueva dirección Bitcoin".

El nuevo "servicio" ofrece las claves de descifrado después de una espera de hasta 24 horas.

"Suponemos que la demora es porque los delincuentes tienen que ejecutar un ataque de fuerza bruta contra ellos mismos," , escribe el veterano experto en anti-virus Paul Ducklin, en un mensaje en el blog de Naked Security de Sophos. "Sin una clave pública que ayude a descifrar deben usar un par de llaves desde su base de datos, suena como si tuvieran que tratar de descifrar los datos con cada clave privada almacenada hasta que lleguen a una que produzca los resultados esperados."

Como se informó anteriormente , CryptoLocker es un troyano ransomware particularmente agresivo. Normalmente llega en el correo electrónico como en un archivo ejecutable disfrazado como un archivo PDF, o en un archivo adjunto comprimido.

Por ejemplo, un lector de The Register nos dijo en septiembre que las variantes del malware se extendían en el Reino Unido a través del correo electrónico que pretendian provenir de The Companies House.

Recientemente el CryptoLocker se ha extendido como una infección secundaria a través de la infame botnet. ZeuS.

Si se abre, el malware intentara cifrar los documentos del usuario a través de los discos duros de redes locales y asignadas. El malware utiliza una clave que se genera en el servidor de comando y control y la envía a la computadora infectada. Si tiene éxito, CryptoLocker cifrará los archivos de los usuarios mediante el cifrado asimétrico, con un par de claves pública y privada.

El dueño entonces recibe una petición de rescate, a pagar en 72 horas. El pago se realiza a través de ya sea un bono en efectivo de prepago anónimo o en Bitcoin.

A las víctimas se les informará previamente que las claves de cifrado serían destruidos después de un plazo de tres días, lo que no les deja ninguna forma de recuperar los archivos. "CryptoLocker es más fácil y más barato bloquearlo que repararlo", aconsejan desde Malwarebytes. "Por favor, tenga mucho cuidado antes de abrir archivos adjuntos de correo electrónico (uno de los principales vectores de infección), mantenga su PC al día y asegúrese que tiene su protección antivirus y anti-malware con detección en tiempo real instalado. También, respalde sus datos importantes ya que puede ser su salvavidas."

Fuente: The register