كريبتولوكر كريمواف: درب الملايين في بيتكوين مغسولة

ويقدر ديل سيكوريوركس أن كريبتولوكر قد أصيب 250،000 الضحايا. متوسط ​​الراتب هو 300 دولار لكل منهما، والملايين في بيتكوين المغسولة تم تعقبها وتعقبها إلى العدائين المال رانسومواري.

انتشار مثل الهشيم من المكاتب إلى المنازل، فإنه يصل في مرفقات البريد الإلكتروني (أو عبر الشبكات المصابة) إلى تشفير بقوة جميع الملفات على نظام (بما في ذلك محركات الأقراص المحددة، وملفات دروببوإكس، وجميع متصل محليا، شبكة المرفقة، أو التخزين المستندة إلى سحابة) – في حين أن الموقت على الشاشة الشائنة يتطلب الدفع في غضون 72 ساعة.

الفوضى مع الملفات أو رفض لدفع ونسيان فتح الملفات الخاصة بك مرة أخرى.

حتى الآن، لا أحد قد هزم بنجاح كريبتولوكر. وقد عقدت رانسومواري ويندوز فقط رابت انتباه البرامج الضارة فيتيشيستس منذ ظهوره الرسمي في سبتمبر.

عنوان واحد بيتكوين، مليون دولار في يوم واحد

الأمن؛ ووردبريس يحث المستخدمين على تحديث الآن لإصلاح الثغرات الأمنية الحرجة؛ الأمن؛ البيت الأبيض يعين أول رئيس الاتحاد الاتحادية ضابط أمن المعلومات؛ الأمن؛ انتقد البنتاغون للاستجابة السيبرانية في حالات الطوارئ من قبل الوكالة الحكومية الدولية؛ الأمن؛ كروم لبدء وضع العلامات على اتصالات هتب كما غير، تأمين

وقد اصيبت شرطة سوانسي بمقاطعة ماساشوستس فى نوفمبر.

دفعت الضباط فدية كريبتولوكر. وقال الملازم غريغوري ريان للصحافة ان قسمته قصفت حوالي 750 دولار لبيتكوين في 10 نوفمبر – حتى بعد ذلك اعترف إدارته لم يكن لديهم فكرة عن بيتكوين هو، أو كيفية عمل البرمجيات الخبيثة.

تقرير كريبتولوكر من ديل يستشهد أطروحة علوم الكمبيوتر من طالب غراد الإيطالية التي نظرت في عدد قليل من عناوين الدفع المعروفة كريبتولوكر بيسوان أثناء فحص بيتيودين.

وأفادت الرسالة أطروحة مذهلة لعنوان كريبتولوكر واحد في يوم واحد

في المجموع، حددنا 771 فدية، ل 1226 بتك (حوالي 1،100،000 دولار أمريكي في 15 ديسمبر 2013).

بعد تعقب عنوان بيتكوين آخر ينتمي إلى كريبتولوكر ومشاهدته تتحرك أكثر من ستة ملايين دولار خلصوا، “وهذا يشير إلى أن تقديرنا مضرب بهم هو محافظ جدا”.

أصدرت ديل سيكوريوركس تقريرها المفصل عن كريبتولوكر رانسوموار الأربعاء، مما عزز ما كان العديد من الباحثين يعرفون بالفعل عن كريبتولوكر نظام الانتعاش الذكية قاسية.

عدم ارتياح ديل في ورقتها لتقدير إحصاءات دفع فدية دقيقة قد الخلط التقارير الصحفية حتى الآن: العديد من المقالات بشكل غير صحيح تقرير 30 مليون $ (ابتداء من هذا عنوان ورل المحدث، والآن نقلا عن 300K $ غير صحيحة بشكل واضح).

على فحصنا عناوين بيتكوين المشتركة من قبل الضحايا على الانترنت، ومن المرجح أن العدد الحقيقي في مئات الملايين.

ويعترف سكوريوركس أن عدد العوائد الحقيقي هو “من المرجح جدا عدة مرات” التي اقترحتها ورقة خاصة بها.

كريبتولوكر بسيطة جنائيا – وبليغة بغرابة، إذا كنت سوبيرفيلين.

ويقدر باحثو ديل أن ما بين 200،000 و 250،000 نظام أصيبوا عالميا في أول 100 يوم بعد إطلاق كريبتولوكر.

كاربونيت، خدمة النسخ الاحتياطي سحابة، وذكرت في تشرين الثاني / نوفمبر إلى التعامل مع “عدة آلاف” من المكالمات الهاتفية من ضحايا كريبتولوكر المصابين، والآن لدينا فريق متخصص التعامل مع استرداد كريبتولوكر.

في البحث عن هذه المقالة تتبع الموقع أربعة عناوين بيتكوين نشرت (وإعادة نشر) في المنتديات من قبل ضحايا كريبتولوكر متعددة، والتي تبين حركة 41،928 بتك بين 15 أكتوبر و 18 ديسمبر.

استنادا إلى قيمة بيتكوين الحالية من 661 $، وقد انتقلت النينجا البرمجيات الخبيثة 27،780،000 $ من خلال تلك العناوين الأربعة وحدها – إذا كريبتولوكر النقدية من اليوم.

إذا سوبرفيلوكر’s سوبيرفيلانز النقدية عندما بيتكوين يرتفع ما يصل الى 1000 $، كما فعلت في 27 نوفمبر … حسنا، 41900000 $ ليست سيئة لمدة ثلاثة أشهر من العمل.

العديد من الضحايا يعتقدون أن كريبتولوكر انتقلت لفترة وجيزة مبالغ فدية من خلال عناوين بيتكوين لغسل مكافأة؛ فقط -Dice.com استشهد مرارا وتكرارا كنقطة “خلاط” الرقمية.

لا تظهر البرامج الضارة للضحية حتى يتم تشفير كافة الملفات بنجاح (وفي حال كنت تعتقد أنه من الآمن المضي قدما، فأنت لا: كريبتولوكر تفحص دوريا لملفات جديدة).

كريبتولوكر يخفي وجودها من الضحايا حتى أنها اتصلت بنجاح أمر والسيطرة (C2) الخادم وتشفير الملفات الموجودة على محركات الأقراص المتصلة.

قبل هذه الإجراءات، والبرمجيات الخبيثة يضمن أنها لا تزال تعمل على الأنظمة المصابة وأنها لا تزال عبر إعادة تمهيد.

عند تنفيذ أول مرة، يقوم البرنامج الخبيث بإنشاء نسخة من نفسه في٪ أبداتا٪ أو٪ لوكالابداتا٪. كريبتولوكر ثم حذف الملف القابل للتنفيذ الأصلي.

ثم، الملفات الخاصة بك هي بسرعة وبصمت المملوكة.

تبدأ عملية التشفير بعد أن أنشأت كريبتولوكر وجودها على النظام وتوجد بنجاح، متصلة، والتواصل مع خادم C2 المهاجم التي تسيطر عليها. يوفر هذا الاتصال البرمجيات الخبيثة مع مفتاح الفاعلين رسا ‘المفتاح العام، والذي يستخدم في جميع أنحاء عملية التشفير.

(…) بدلا من استخدام تطبيق تشفير مخصص مثل العديد من الأسر الخبيثة الأخرى، يستخدم كريبتولوكر التشفير المعتمدة طرف ثالث قوي التي تقدمها كريبتوابي مايكروسوفت.

وباستخدام تطبيق سليم واتباع أفضل الممارسات، قام مؤلفو البرامج الضارة بإنشاء برنامج قوي يصعب التحايل عليه.

وتشير ورقة ديل إلى أن بوبيتماستس كريبتولوكر في روسيا وأوروبا الشرقية، مع الأهداف الأولية في الولايات المتحدة، فضلا عن غيرها من البلدان الناطقة باللغة الإنجليزية.

عندما يتم تشفير جميع الملفات، ثم يتم تقديم كل ضحية مع شاشة البداية القبيحة مع توقيت العد التنازلي المشؤوم، مطالبين بالدفع.

كريبتولوكر يكرم المدفوعات فدية.

وعند تقديم الدفع، لم تعد حواسيب الضحايا تظهر شاشة العد التنازلي المهددة، وبدلا من ذلك ترى نافذة تنشيط دفع جديدة.

في كلمات ديل، “خلال هذه المرحلة التحقق من صحة الدفع، والبرمجيات الخبيثة يتصل خادم C2 كل خمسة عشر دقيقة لتحديد ما إذا كان قد تم قبول الدفع ووفقا للتقارير من الضحايا، قد يتم قبول الدفعات في غضون دقائق أو قد يستغرق عدة أسابيع لمعالجة. ”

إذا كنت لا تدفع، كنت التخلي عن الملفات الخاصة بك – وأخرى جديدة قمت بها على النظام الخاص بك بعد العدوى. حتى الآن، لا أحد قد تعافى بنجاح الملفات بعد عدوى كريبتولوكر – ما لم يدفعوا الفدية.

وقد اختلف مبلغ فدية كريبتولوكر منذ أول ظهور لها في سبتمبر، ولكن يجلس حاليا في 300 $ (أوسد) و 300 اليورو – يتم سرد سعر الفدية عادة في العملة النقدية، وبيتكوين.

عدم الاستقرار بيتكوين على مدى الأشهر القليلة الماضية دفعت العقل المدبر كريبتولوكر للحد من فدية ل 1 بتك، 0.5 بتك، ومن ثم إلى حيث هو حاليا: 0.3 بتك.

في البداية، كريبتولوكر شملت [اثنين معروف] عناوين بيتكوين ثابتة لكل من كان مصابا. فرسونات الحالي من كريبتولوكر توليد حيوي عناوين الدفع بيتكوين جديدة لكل مثيل العدوى.

في أوائل نوفمبر، أضاف الكتاب ذكي كريبتولوكر ميزة جديدة تسمى خدمة كريبتولوكر فك التشفير.

وأوضح سكوريوركس، “هذه الخدمة تعطي الضحايا الذين فشلوا في دفع الفدية قبل انتهاء الموقت وسيلة لاسترداد الملفات المشفرة من النظام المصاب بهم.”

ليس من المستغرب، كريبتولوكر في “خدمة فك التشفير” هو أكثر تكلفة بكثير من الفدية الأصلية – ضخمة 10 بتك.

وماذا لو برنامج مكافحة الفيروسات الضحية يحذف كريبتولوكر التنفيذية قبل دفع فدية؟

وفقا لدليل شامل بليبينغكومبوتر، فكرت كريبتولوكر من هذا أيضا.

بدلا من ترك لك عالية وجافة مع الملفات المشفرة، مفتاح، وليس وسيلة لفتح لهم، كريبيرولوكر بالكشف عن حذف الملفات القابلة للتنفيذ ويظهر الضحايا رسالة تحتوي على وصلة إلى أداة فك التشفير التي يمكن للضحايا تحميل في حالة حدوث هذا .

ويوضح بليبينغكومبوتر، “هناك العديد من التقارير أن هذا التحميل لن تشفير مزدوج الملفات الخاصة بك وسوف تسمح لك لفك تشفير الملفات المشفرة.”

وقد ترك كريبتولوكر مثل هذا رقعة واسعة من الضحايا الخلط والغاضبين أن العديد من المنتديات حيث تجمع الضحايا على الانترنت منذ سبتمبر لتبادل المعلومات حول تجربتهم، وتقديم تفاصيل على أمل مساعدة الآخرين.

وقد انتهى المواضيع النشطة على مواقع مثل ريديت (r / سيسادمين، r / تيشوبورت، والبعض الآخر) و بليبينغكومب تصل مضاعفة شبكات الدعم الزائفة لأولئك تحت بندقية توقيت كريبتولوكر ل.

بعد أخذ كل شيء في، تم نقل واحد ريديتور إلى ملاحظة أن كريبتولوكر هو “نذل وفكرة شيطانية”.

نحن على يقين من أنها حصلت على الرسالة.

ومن المقبول على نطاق واسع أن العقل المدبر ل كريبتولوكر يكمن في بلوق والمنتديات حول كريبتولوكر (وخاصة هذا الموضوع)، وقد استجابت لقضايا المستخدم المصاب، وكذلك “إعطاء رسائل أخرى على الصفحة الرئيسية من خوادم القيادة والتحكم”.

يكتب ريديتور آخر

وقد استجاب المؤلف البرمجيات الخبيثة إلى الناس في المنتديات، ومساعدتهم على دفع وهذا، وذكر أن مفاتيح لا ترسل على عملية تلقائية، ولكن اختياره يدويا من قبله للحذف وإرسالها لفك التشفير.

انه يحتفظ مفاتيح أطول من 4 أيام، وسوف استكشاف رموز مونيباك لا تعمل، وسوف ترسل مفتاح فك تشفير بأسرع ما يمكن بعد أن يحصل على المال. وهو يعرف كل جهاز كمبيوتر لديه ذلك، وكل كمبيوتر يحصل على مفتاح فريد من نوعه.

ومع ذلك، لم يكن أحد قادرا على رسم حبة على الذين قد يكون الجيب غنائم كريبتولوكر ل.

ورقة ديل الجديدة تبحث عن أدلة في أنماط السلوك المؤلفين البرمجيات الخبيثة

تحليل عناوين إب المستخدمة من قبل الجهات الفاعلة التهديد تكشف عن عدة أنماط من السلوك.

الأول هو أن الجهات الفاعلة التهديد تستخدم الخوادم الافتراضية الخاصة (فس) الموجودة في مختلف مزودي خدمة الإنترنت في جميع أنحاء الاتحاد الروسي وفي بلدان الكتلة الشرقية السابقة.

الاستخدام الموسعة لبعض هؤلاء المضيفين، مثل 93.189.44.187، 81.177.170.166، و 95.211.8.39، يوحي بأنهم موجودون في مقدمي غير مبالين للنشاط الإجرامي على شبكاتهم أو متواطئون في تنفيذه (مثل ذلك مزودي خدمات استضافة “مضادة للرصاص”). يبدو أن الخوادم المتبقية تستخدم لعدة أيام قبل أن تختفي.

ويقول الباحثون أنهم لا يعرفون ما إذا كانت الخوادم تختفي لأن مزودي خدمة الإنترنت ينهيون خدمة كريبتولوكر، أو إذا كان ذلك لأن عصابة كريموولوكر كريمواف تفضل البقاء هدفا متحركا.

الحالات الأولى كما ذكرت من قبل سيكوروركس يفسر أن الموجة الأولى من العدوى كانت من خلال رسائل البريد الإلكتروني المستهدفة مع المرفقات، ويبدو أن هذا لا يزال ناقلا شائعا.

المرفق، معظم الوقت، هو a.zip مع a.PDF الداخل، الذي هو في الواقع قابلة للتنفيذ (.exe).

انتشار البرمجيات الخبيثة لا تشوبه شائبة من شبكات المكاتب، وتستهدف حاليا مستخدمي الكمبيوتر المنزلي أيضا.

وأشار الباحثون ديل أن الند للند (P2P) كريبتولوكر العدوى بدأت تظهر في أوائل أكتوبر تشرين الاول.

في 7 أكتوبر 2013، لاحظ الباحثون كتو كريبتولوكر يجري توزيعها من قبل الند للند (P2P) غاموفر زيوس البرمجيات الخبيثة في نموذج الدفع لكل تركيب نموذجي. في هذه الحالة، تم توزيع غاموفر زيوس من قبل بوتنام البريد المزعج بوتنيت باستخدام السحر بما يتفق مع حملات توزيع البرامج الضارة السابقة.

(…) المرفقة بالرسالة عبارة عن أرشيف زيب يحتوي على ملف صغير (حوالي 20 كيلوبايت) قابل للتنفيذ باستخدام ملحق مستند في اسم الملف وعرض رمز أدوب ريدر. هذا أوبرياتر تنزيل البرامج الضارة وينفذ غاموفر زيوس، والتي بدورها بتحميل وتثبيت الأسر الخبيثة الأخرى بما في ذلك كريبتولوكر.

(…) اعتبارا من هذا المنشور، لا يزال غاموفر زيوس الطريقة الرئيسية لتوزيع كريبتولوكر.

يوضح تقرير ديل أن الموجة الأولى للبريد الإلكتروني، التي تستهدف الشركات، تستغل النقرات من خلال معالجة المهنيين لإخطارهم بشكوى رسمية. ولكن خارج ورقة ديل، يقدم الضحايا رسائل كريبتولوكر الإلكترونية الواردة من عناوين البريد الإلكتروني زيروكس المزعجة، ورسائل البريد الإلكتروني حول السير الذاتية، وخط موضوع شائع ذكره هو “تقرير كشوف المرتبات”.

وجاء منجم من مصدر أعمال نتعامل مع أن كان مرفق المسمى “مخازن parts.zip” وعنوان “أرسلت عن طريق البريد الإلكتروني: مخازن parts.zip” – wisdom_and_frivolity

ورقة سيكوريوركس جمعت الكثير من ما كتب بالفعل عن كريبرولوكر، ربط عدد من المواضيع، ويوفر علامة الصلبة المضي قدما.

الآن، إذا تم ترميز منتجات ديل فقط مع عقلية الهدف الهدف المجنون والكفاءة المخيفة من كريبتولوكر …

ووردبحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

البيت الأبيض يعين أول رئيس أمن المعلومات الاتحادية

بيتكوين هو “الخيار الأكثر رخيصة”

فكرة “نذل وحشية”

كريبتولوكر يهتم

أخبر أمي وأبي عدم فتح كل مرفق البريد الإلكتروني لعنة

انتقد البنتاغون للاستجابة السيبرانية في حالات الطوارئ من قبل الوكالة الحكومية الدولية

يبدأ كروم في تصنيف اتصالات هتب على أنها غير آمنة

Refluso Acido