La mia domanda è strettamente correlata a questa domanda ma non ho trovato la mia risposta lì. In particolare, sono interessato a sapere se il server C2 può modificare aspetti / proprietà del malware e, in tal caso, senza far sapere alla vittima.
Il malware di cui sono interessato è CryptoLocker, quindi non sono realmente in grado di fare un'analisi dinamica di ciò che accade dopo aver stabilito la connessione al server C2. Le informazioni reali che alla fine ho bisogno è se la quantità di riscatto Bitcoin visualizzata nel modulo CryptoLocker fosse sincronizzata in tutte le istanze (ad esempio ottenendo queste informazioni dal server C2) o se fosse statica e dipendente da ogni CryptoLocker istanza, cioè il campione del malware. So già che la chiave di crittografia, che crittografa i file locali della vittima, è stata ricevuta dal server C2 ed è stata archiviata nel registro delle vittime. Non ho trovato prove che questo metodo sia stato applicato per visualizzare la quantità di Bitcoin.
La domanda è , se ci sarebbero altri modi per adattare dinamicamente la quantità di Bitcoin visualizzati alla vittima. Se è stato effettivamente il caso con CryptoLocker è secondario. Anche se è un bel bonus, se qualcuno è in grado di fornire una risposta lì.