SentinelOne публикува резултатите от анализа на последната версия на рансъмуера CryptXXX. Специалистите разкриха Bitcoin адреса, където отиват откупите за паролите, необходими за разшифроване на потребителските файлове.
Оказа се, че тава е само един електронен портфейл, на който за периода от 4-ти до 21-ви юни са постъпили 61 плащания на откупи с обща сума 70 биткойна или около $50 000.[You must be registered and logged in to see this image.]Натрупаните финансови средства редовно се изтеглят от сметката и при всяко теглене отиват към други електронни портфейли. Навярно притежателите на вируса CryptXXX използват анонимизатор за транзакциите.
CryptXXX е рансъмуер, който активно се развива и поддържа от хакери и програмисти. В последната версия е премахната грешката, даваща възможност за безплатно разшифроване на файловете без да се плаща откуп.
[You must be registered and logged in to see this image.]Новият вариант на CryptXXX се маскира в системата като приложението CyberLink PowerDVD Cinema и инсталира в системата библиотеката _BigBang.dll. Файловете се шифроват с комбинация от RSA и RC4 алгоритмите, а файловите разширения се променят на .cryp1. Освен това CryptXXX използва и технология за безвъзвратно изтриване на оригиналните файлове.
Специалистите считат, че разкритият от тях биткойн-портфейл се използва само в една от кампаниите по разпространението на този криптовирус.
/kaldata.com