Recientemente hemos notado varias compras inusuales y muy seguidas de importes similares y relativamente altos en nuestra máquina. El pasado día 17 fuimos a hacer el mantenimiento periódico de la máquina (disculpad, estuvo unas horas parada) y casualmente nos encontramos a uno de los compradores un tanto nervioso.
Me puse a hablar con él ya que tenia mucho interés en comprar bitcoin. Tras instalarle un wallet y hablar un poco más con él me confeso que no tenia ningún interés en bitcoin, sino que un virus le había cifrado por completo todos sus archivos y le pedían un rescate de unos 600 € en bitcoins por la clave de descifrado. Inicialmente le recomendé no pagar, ya que al ser en bitcoin y a través de TOR la posibilidad de que le estafasen es elevada. El caso es que esta persona maneja gran cantidad de datos de otras personas y empresas por su actividad laboral, y casualmente el disco donde realizaba las copias de seguridad se encontraba conectado en ese momento, con lo que también quedó cifrado.
Le dije que me dejara examinar el disco antes de pagar y en efecto, todo esta cifrado. Por lo que hemos podido ver se trata de RSA con lo que las posibilidades de obtener la clave por fuerza bruta son nulas. Dada la necesidad imperiosa de recuperar los datos la persona accedió a pagar el rescate y en efecto, funcionó.
Todo eso llego a través de un mail haciendo pasar por correos con el dominio correos24.net. El caso es que hoy han llamado varias personas de aquí de Barcelona en la misma situación.
Obviamente a todos les he propuesto que lo denuncien y que en la medida de lo posible no paguen.
Si a alguien le interesa, tengo los ejecutables así como el programa que luego te envían para descifrar una vez pagado el rescate. Voy a tratar de descompilarlos y ejecutarlos en una máquina virtual para ver como funcionan. Tengo también todas las direcciones de tor donde debes pagar. Parece que ya las hacen personalizadas para cada ordenador infectado. He quitado el id de la persona afectada. (Sustituido por XXXXX)
http://bbsqfujyiblsryg[Suspicious link removed]rprivatebrowsing.org/buy.php?XXXXX
http://bbsqfujyiblsrygu.gate2tor.org/buy.php?XXXXXX
http://bbsqfujyiblsryg[Suspicious link removed]r2web.org/buy.php?XXXXXX
http://bbsqfujyiblsrygu.onion.cab/buy.php?XXXXXX
http://bbsqfujyiblsrygu.onion/buy.php?XXXXX
Me puse a hablar con él ya que tenia mucho interés en comprar bitcoin. Tras instalarle un wallet y hablar un poco más con él me confeso que no tenia ningún interés en bitcoin, sino que un virus le había cifrado por completo todos sus archivos y le pedían un rescate de unos 600 € en bitcoins por la clave de descifrado. Inicialmente le recomendé no pagar, ya que al ser en bitcoin y a través de TOR la posibilidad de que le estafasen es elevada. El caso es que esta persona maneja gran cantidad de datos de otras personas y empresas por su actividad laboral, y casualmente el disco donde realizaba las copias de seguridad se encontraba conectado en ese momento, con lo que también quedó cifrado.
Le dije que me dejara examinar el disco antes de pagar y en efecto, todo esta cifrado. Por lo que hemos podido ver se trata de RSA con lo que las posibilidades de obtener la clave por fuerza bruta son nulas. Dada la necesidad imperiosa de recuperar los datos la persona accedió a pagar el rescate y en efecto, funcionó.
Todo eso llego a través de un mail haciendo pasar por correos con el dominio correos24.net. El caso es que hoy han llamado varias personas de aquí de Barcelona en la misma situación.
Obviamente a todos les he propuesto que lo denuncien y que en la medida de lo posible no paguen.
Si a alguien le interesa, tengo los ejecutables así como el programa que luego te envían para descifrar una vez pagado el rescate. Voy a tratar de descompilarlos y ejecutarlos en una máquina virtual para ver como funcionan. Tengo también todas las direcciones de tor donde debes pagar. Parece que ya las hacen personalizadas para cada ordenador infectado. He quitado el id de la persona afectada. (Sustituido por XXXXX)
http://bbsqfujyiblsryg[Suspicious link removed]rprivatebrowsing.org/buy.php?XXXXX
http://bbsqfujyiblsrygu.gate2tor.org/buy.php?XXXXXX
http://bbsqfujyiblsryg[Suspicious link removed]r2web.org/buy.php?XXXXXX
http://bbsqfujyiblsrygu.onion.cab/buy.php?XXXXXX
http://bbsqfujyiblsrygu.onion/buy.php?XXXXX
En el cajero de One Shot https://bitcointalksearch.org/topic/robocoin-llega-a-espana-presentacion-29-de-octubre-hilo-oficial-806821 hubo una compra asi la semana pasada. Ademas es complicado porque pretende comprar bitcoin alquien que no sabe lo que es, asi que imaginad!!!
Esto no es bueno para el Bitcoin.
Espermos que las empresas de seguridad informatica y de antivirus sean capaz de erradicar esto, aunque tambien pasa por educar al usuario, asignatura pendiente del mundo de la informatica.
Saludos!
.
