Hace unos meses en una de las tiendas para las cuales trabajo, le cayó un virus muy parecido a este al servidor.
El virus en cuestión se llama Anti-Child Porn Spam Protection 2.0.
Ataca a servidores, los fines de semana para no levantar sospechas.
Al parecer valiendose de vulnerabilidades en el sistema logran entrar (por eso se recomienda tener el server actualizado al dia).
Una vez adentro empiezan a cifrar los archivos con WinRAR utilizando 3 contraseñas alfanumericas muy largas, 2 de más de 100 caracteres (practicamente imposibles de descifrar).
El virus guarda las contraseñas en un archivo que es enviado a su creador, luego el archivo de las claves y todos los originales son borrados con Sdelete, usando un algoritmo de limpieza y desinfección del Departamento de Defensa. Lo que se borra desaparece para siempre.
En este caso lo importante eran las bases de datos, que las encriptó todas. Los archivos que encriptaba conservaban su nombre original y les anexaba los datos de contacto y el ID del caso.
El servidor tenia el disco en espejo y se respaldaba diario en un disco USB (automaticamente
, así que estaba conectado, y todo se encriptó.
Los respaldos que teniamos a salvo eran de meses atrás, así que era recuperar lo encriptado o poner el respaldo viejo y capturar varios meses de movimientos.
Se consultó con varias empresas de seguridad y dijeron que, obtener las claves podría tomar días, meses o años (o nunca, eso no lo dijeron pero cabia la posibilidad).
Un experto en seguridad nos dijo que si estabamos dispuestos a pagar, pues que lo hicieramos ya. Porque la cuenta para contactar al ciberdelincuente podía ser bloqueada por la policía en cualquier momento.
En fin que se le pagó al ciberdelincuente el equivalente a 2100 euros.
El pago era por perfectmoney.is, que solo acepta dinero a traves de exchangers.
En fin que el dinero (comision del exchanger incluida) se les mandó a unos chinos por westernunion.
Los chinos hicieron el deposito a nuestra cuenta de perfectmoney.is.
Le avisamos al extorsionador, nos pasó su cuenta de perfectmoney e hicimos la tranferencia del dinero.
Le avisamos que ya estaba hecho y en menos de 5 minutos ya teniamos las claves.
Aquí les dejo el correo que recibimos con las claves.
Me sorprendió la formalidad, del correo. Quien lo leyera sin saber de que vá, pensaría que el delincuente nos está prestando un servicio.
![[buuuaaaa]](/images/smilies/nuevos/triste_ani3.gif "a lágrima viva")
Menudo palo!!! Siempre había tenido antivirus (norman virus control), pero me caducó la licencia hace dos meses y no lo renovaba por pereza. Ahora se me ha metido el howdecrypt en las fotos y demás encriptandolo todo. La verdad es que dan ganas de llorar la mala idea con la que han hecho este virus, fastidiandote recuerdos, trabajos, etc.
![[jaja]](/images/smilies/nuevos2/otrasonrisa.gif "otra sonrisa")
![[+furioso]](/images/smilies/nuevos/furioso.gif "muy furioso")
