• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 16

    Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

    Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales Nuevo ransomware tiene componentes Infostealer CryptXXX es una nueva variante ransomware descubierta durante las últimas semanas, lo que, además de la encriptación de los datos del usuario, ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales



      Nuevo ransomware tiene componentes Infostealer


      CryptXXX es una nueva variante ransomware descubierta durante las últimas semanas, lo que, además de la encriptación de los datos del usuario, también es capaz de robar Bitcoin de los objetivos infectados, junto con las contraseñas y otros datos personales, según señalaron los investigadores de seguridad de Proofpoint.


      Los primeros signos del ransomware CryptXXX aparecieron hacia finales de marzo.

      Los expertos en seguridad dicen que el ransomware se distribuye a través de las páginas Web que alojan el exploit kit Angler. Este kit del crimeware utiliza vulnerabilidades para enviar el malware Bedep, malware que se utiliza en los clics engañosos de los sistemas de los usuarios.

      Bedep también es conocido por tener capacidades de "descargar malware", por lo tanto descargará el ransomware CryptXXX como una infección de segunda etapa, ejecutándolo como un archivo DLL de ejecución retardada, que esperará 62 minutos antes de ser ejecutado


      CryptXXX pide 1,2 Bitcoin


      Después de infectar a los usuarios, el ransomware cambia el fondo de escritorio de los usuarios colocando una nota de rescate de texto y en HTML en todo el equipo.

      Usted puede detectar las infecciones de CryptXXX por las notas de rescate, que llevan el nombre de_crypt_readme.txt y de_crypt_readme.html, o por la extensión que añade a todos los archivos cifrados, la cual es .crypt.


      La nota de rescate pide 1,2 Bitcoin, que es aproximadamente $ 515 (€ 455), una suma que está muy por encima de la media de las infecciones recientes por ransomware.

      CryptXXX viene con un componente de recolección de datos

      En infecciones pasadas con el software malicioso de clic engañosos Bedep, Proofpoint también señaló que vio a Bedep servir un componente Infostealer. Después de un análisis en profundidad, se reveló que esto también es cierto con CryptXXX, que incluye una característica de este tipo.

      CryptXXX es capaz de recolectar información y las credenciales acerca de los clientes de los usuarios locales de mensajería instantánea, clientes de correo electrónico, clientes FTP y de los navegadores de Internet.


      CryptXXX es del mismo grupo que creó kit exploit Angler

      Pero el detalle más interesante sobre CryptXXX llega al final del análisis realizado por la compañía. Proofpoint vio similitudes entre CryptXXX y el ransomware REVETON.

      Las semejanzas con Reventon incluyen detalles tales como el hecho de que ambas familias ransomware se codificaron en Delphi, ambas utilizan un inicio retardado, la DLL tiene una función de entrada personalizada, ambas incluyen el rescate por medio de Bitcoin y las funciones de sustraer credenciales, y también utilizan un protocolo propio de C & C en TCP 443.

      Lo que es peor, todos los indicios apuntan al hecho de que CryptXXX fue creado por el mismo grupo criminal del kit exploit Angler, del software malicioso Bedep y de REVETON en el pasado.

      Proofpoint también ha dicho que CryptXXX puede "robar Bitcoin", pero no ha explicado cómo se lleva a cabo esto.

      CryptXXX espera a tener el mismo impacto que Locky

      Esta situación es similar a la forma en que el ransomware Locky salió de la nada en el inicio del 2015 y se convirtió en uno de las tres principales familias de ransomware, principalmente gracias al hecho de que se ejecuta en la infraestructura del troyano bancario Dridex.

      La persona que está detrás de Bedep, Angler, y REVETON es el mismo que está detrás de otras herramientas aún más antiguas, tales como el exploit kit Cool. CryptXXX no es la variante ransomware simple elaborada por principiantes que utilizaron el código de-un código open-source (y defectuoso) subido a GitHub.

      "Dada la larga historia y exitosa de la distribución de software malicioso y en gran escala de REVETON, esperamos que CryptXXX se convierta en una infección generalizada", explicó el investigador de Proofpoint, Kafeine. "Si bien hemos observado muchas nuevas instancias ransomware en los últimos meses, muchos han sido escritas y / o distribuidos por factores menos experimentados, y no han ganado fuerza significativa."

      "Aquellos factores que están asociados con redes más experimentadas (como Locky) se han extendido rápidamente. Sobre la base de la gran cantidad de traducciones disponibles para la página de pago, parece que el equipo que comparte REVETON tiene esas expectativas."




      Fuente: Sofpedia
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      Desincriptador para el ransomware CryptXXX disponible para descargar


      Kaspersky ha actualizado RannohDecryptor que tiene soporte para CryptXXX


      Hoy en día, Kaspersky Lab ha publicado una versión actualizada del juego de herramientas de descifrado RannohDecryptor ransomware que también puede desinfectar las infecciones de CryptXXX.


      CryptXXX es una de las variantes de ransomware más recientemente descubierta que han surgido en la última semana. El ransomware funciona igual que cualquier otra pieza de cripto-ransomware que hemos visto en el mercado en los últimos meses, pero esto no es los más peligrosos detalles acerca de su modo de funcionamiento.

      De acuerdo con los investigadores de Proofpoint, el ransomware se distribuye por una maquinaria cibercriminal bien elaborada que anteriormente también ha distribuido programas maliciosos, como el ransomware Reventón y el malware clickfraud Bedep.

      Además de los archivos cifrados, el ransomware recaba una gran cantidad de información personal de los ordenadores infectados e incluso intenta robar carteras Bitcoin de las criptomonedas.

      Sin embargo, los investigadores de Kaspersky han sido capaces de encontrar un punto débil en las operaciones del ransomware y han adaptado su RannohDecryptor para manejar esta nueva amenaza.


      Con el fin de descubrir la clave de encriptación que CryptXXX utiliza para bloquear los archivos de la víctima, los usuarios necesitan tener una copia sin cifrar de un archivo cifrado, para que el descifrador pueda comparar los dos elementos.

      Después RannohDecryptor obtendrá la clave de descifrado, los usuarios sólo tienen que ajustar la configuración de la aplicación para sus configuraciones locales de PC y ejecutarlo para comenzar a descifrar los archivos.

      Dependiendo del número de archivos bloqueados por CryptXXX, puede tomar un par de horas descifrar todos sus datos, por lo que debe darle un poco de tiempo. Por otra parte, el descifrador sólo desbloqueará sus archivos, teniendo usted después de obtener un antivirus con capacidad de eliminación del software malicioso para eliminar cualquier resto de CryptXXX de su sistema.

      Fuente: Softpedia
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Habitual Avatar de aprenderás
      Registrado
      sep 2014
      Ubicación
      argentina
      Mensajes
      2.253

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      Buen informe.
      De todos estos últimos acontecimientos se desprende que las firmas de segridad están respondiendo muy rápido.

    4. #4
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      CryptXXX ahora es Indecriptable e impide que los usuarios puedan acceder a su PC

      Los delincuentes repararon errores y mejoraron el cifrado


      CryptXXX, una de las últimas familias ransomware descubiertas recientemente, la cual ha recibido una actualización mayor, además que elude una herramienta de descifrado gratuito lanzada por Kaspersky, el ransomware ahora también impide que los usuarios tengan acceso a sus archivos en conjunto.


      CryptXXX detectado por la empresa de seguridad Proofpoint a mediados de abril. El ransomware trabaja al igual que cualquier otro crypto-ransomware disponible en el mercado de hoy en día, lo que significa que infecta a sus victimas mediante FarmTown, cifrando sus archivos y pidiendo un rescate por ellos.

      Los usuarios podían tener un completo acceso a sus computadoras, excepto a los archivos que fueron encriptados. Todavía podían usar el mismo "equipo" para estar en línea, comprar Bitcoin y pagar el rescate.

      Los investigadores descubren CryptXXX 2.0

      Las cosas tomaron un giro positivo para las víctimas de CryptXXX sólo una semana después de que el ransomware fuera descubierto, cuando Kaspersky lanzó una actualización de su RannohDecryptor que incluía la capacidad de analizar y romper el cifrado de CryptXXX.

      Esta modificación permitió que las víctimas de CryptXXX descargarán el desencriptador de Kaspersky y ejecutarlo en lugar de entrar en línea y pagar el rescate.

      Casi dos semanas después que Kaspersky pusiera su desencriptador gratuitamente, Proofpoint ahora informa sobre la aparición de CryptXXX versión 2 (2.006 para ser más exactos) que incluye actualizaciones que vuelven ineficaz al desencriptador de Kaspersky.

      Pero eso no es todo, los usuarios infectados con CryptXXX 2 ni siquiera podrán conectarse, porque los autores de CryptXXX han decidido bloquear toda la pantalla del usuario, como en los buenos tiempos del viejo ransomware que bloqueaba la pantalla.

      Eso significa que los usuarios tendrán que utilizar otro ordenador para entrar en línea para comprar los Bitcoin y pagar el rescate.

      CryptXXX todavía es enviado principalmente a través de FarmTown

      En cuanto a su distribución, Proofpoint dice que los ladrones detrás de él prefieren las campañas de FarmTown, anuncios maliciosos en sitios web legítimos, que reorienta a los usuarios a páginas de hosting con el kit exploit Angler, que entregan directamente el ransomware, o a través de un intermediario malware llamado Bedep.

      "CryptXXX se ha mantenido activamente: lo hemos visto evolucionar varias veces desde el descubrimiento inicial, pero los cambios no son lo suficientemente significativos como para ser mencionado," el equipo de Proofpoint explicó en su sitio. " Como era de esperar, ha aumentado el número de actores para difundirla, convirtiéndola en una de las familias más comunes de ransomware. A nivel mundial, hemos observado varios actores principales de la amenaza, la transición de Teslacrypt/Locky a CryptXXX/Cerber en el paisaje driveby en las últimas semanas."

      Tal y como está hoy, CryptXXX ya utiliza FarmTown como base regular, puede ser un buen momento para considerar instalar un bloqueador de anuncios en el navegador. En una nota lateral, Adblock Plus, el ad blocker más populares anunció ayer el mundo que superó 100 millones de usuarios activos y 500 millones de descargas.



      Fuente: Softpedia
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      Kaspersky lanza Desencriptador actualizado para CryptXXX 2.0


      Esta semana Proofpoint anunció que el ransomware CryptXXX se actualizó a la versión 2.0 y que el desencriptador de Kaspersky ya no funcionaba. Hoy Kaspersky anunció que han lanzado un descifrador actualizado que ahora puede descifrar los archivos cifrados con la versión 2.0 también.


      Kaspersky RannohDecryptor.exe requiere que tenga un par de archivos, tanto en su forma encriptada y sin cifrar. Asimismo, sólo es capaz de descifrar los archivos que son del mismo tamaño o más pequeño que el par que se utiliza para crear la clave de descifrado. Por lo tanto, se aconseja que usted encuentre el mayor par de archivos disponibles para que se pueda generar el descifrado.

      Bien por Kaspersky parece que ya les agarro el pulso .
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Moderador
      Avatar de @JFNoda
      Registrado
      sep 2008
      Ubicación
      Islas Canarias
      Mensajes
      5.872

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      Agradable noticia compañero. No siempre quedamos desamparados
      Y muy bien por la eficacia de Kaspersky y sus utilidades.

      EDITO.- Uso de la herramienta (punto 1)

      Slds.
      Última edición por @JFNoda fecha: 17/05/16 a las 14:57:03
      Libraman

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de Radamanthys22
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      76

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      Buena noticia ahora solo queda que saquen algo para el maldito Locky, sigo a la espera.

    8. #8
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      Cita Originalmente publicado por @JFNoda Ver Mensaje
      Agradable noticia compañero. No siempre quedamos desamparados
      Y muy bien por la eficacia de Kaspersky y sus utilidades.

      EDITO.- Uso de la herramienta (punto 1)

      Slds.
      Gracias por la información compañero.

      Cita Originalmente publicado por Radamanthys22 Ver Mensaje
      Buena noticia ahora solo queda que saquen algo para el maldito Locky, sigo a la espera.
      Me parece que si han logrado actualizar el desencriptador para kaspersky es porque hay una vulnerabilidad en el encriptado que aún no conocen los delincuentes creadores de este.
      Locky al parecer aún no se conoce que tenga una vulnerabilidad por esa razón es que no hay un desencriptador disponible hasta hora.

      saludos.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      CryptXXX se ha actualizado a la versión 3.0, desencriptadores ya no funcionan



      El 21 de mayo, los desarrolladores del ransomware CryptXXX actualizó su código a la versión 3.0 con el fin de dejar que RannohDecryptor de Kaspersky ya no pueda desencriptar los archivos de forma gratuita. Por desgracia, parece que esta actualización también ha traido la consecuencia no deseada deque el descifrador de los desarrolladores de malware tampoco funcione.


      Para aquellos que están afectados por CryptXXX 3.0, se aconseja que no pague el rescate ya que hay una buena probabilidad de que usted no recibirá un descifrador que funcione. Usted debe esperar que tal vez Kaspersky pueda ser capaz de actualizar su programa de descifrado para eludir el algoritmo de cifrado de CryptXXX.

      Actualización 05/25/16:

      Los ciberdelincuentes creadores del ransomware han liberado un nuevo descifrador para la versión 3.x de CryptXXX. Un visitante (o alguien que tiene información privilegiada), ha publicado un comentario en este artículo que indicaba que los "piratas informáticos actualizaron la aplicación de descifrado".



      En las pruebas, esta versión del descifrador ha podido desencriptar los archivos para aquellos que pagaron el rescate.
      saludos cordiales.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #10
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: Nuevo ransomware CryptXXX, Roba Bitcoin y contraseñas locales

      ¿CryptXXX cambio a UltraCrypter?


      Una nueva actualización del ransomware CryptXXX ha hecho cambios significativos en el diseño tanto en las notas de rescate y en el sitio de pago TOR. Anteriormente, CryptXXX, al igual que muchas otras infecciones ransomware, copió el diseño de CryptoWall . Con esta última actualización, han creado su propia plantilla y cambiaron el nombre de su descifrador a UltraDeCrypter.

      ¿Podría esto indicar un nombre formal del ransomware como UltraCrypter?


      Junto con el nuevo sitio de pago que se muestra más arriba también tiene un nuevo diseño HTML en la nota de rescate y la imagen de fondo.


      La pantalla de fondo ahora es:


      Actualización 02 de Junio 2016:

      La última versión también es capaz de cifrar los datos que se encuentran en unidades de red sin asignar.

      Última edición por @Javier_HF fecha: 04/06/16 a las 20:11:41 Razón: Modificar formato de fecha.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    Página 1 de 2 12 ÚltimoÚltimo