DarkBit Ransomware

DarkBit Ransomware работи, като криптира данни и изисква откуп за декриптиране. По време на процеса на криптиране DarkBit променя имената на засегнатите файлове, като ги преименува с произволен символен низ, последван от разширението „.Darkbit“. Например, файл с първоначално име „1.jpg“ ще се появи като „5oCWq6Fp1676362581.Darkbit“, докато „2.png“ ще се появи като „QV3xwMP11776363582.Darkbit“ и т.н.

След като процесът на криптиране приключи, DarkBit генерира бележка за откуп, озаглавена „RECOVERY_DARKBIT.txt“ и я поставя на работния плот на заразената система. Бележката съдържа инструкции как жертвите могат да платят откупа и да получат ключа за декриптиране, за да отключат своите криптирани файлове.

Изискванията на DarkBit Ransomware

Бележката за откуп на DarkBit започва с политическо или геополитическо послание, което предполага, че рансъмуерът е насочен към големи субекти, като компании, а не към домашни потребители. Съобщението предупреждава жертвите, че техните файлове са криптирани с помощта на силния криптографски алгоритъм AES-256 и че чувствителните данни са събрани или ексфилтрирани.

Бележката предупреждава жертвите, че опитът да използват инструменти или услуги за възстановяване на трети страни може да доведе до трайна загуба на данни. Единственият начин да се възстановят криптираните файлове, според нападателите, е да се закупят ключове или инструменти за дешифриране от тях. Исканата сума на откупа е посочена като 80 биткойна (BTC), което по текущия обменен курс на биткойн струва около 1,7 милиона щатски долара. Трябва да се отбележи, че обменните курсове се колебаят постоянно и това преобразуване може вече да не е точно.

Размерът на откупа подсилва предположението, че DarkBit обикновено не се използва за насочване към домашни потребители. Ако не се предприемат действия в рамките на 48 часа, сумата на откупа се увеличава с 30%, а след пет дни събраните данни ще бъдат пуснати за продажба.

Препоръчителни стъпки след атака от заплахи като DarkBit Ransomware

Въз основа на своя опит в анализирането на многобройни инфекции с ransomware, специалистите по киберсигурност обикновено съветват да не плащате каквато и да е сума пари на нападателите. В повечето случаи декриптирането рядко е възможно без декриптиращите ключове или инструменти, които само нападателите притежават. Известно декриптиране може да е възможно в случаите, когато рансъмуерът има сериозни недостатъци или все още е в процес на разработка, но това е по-скоро изключение, отколкото правило. Както при всяка атака с рансъмуер, жертвите се съветват да докладват за инцидента на правоприлагащите органи и да използват реномирано решение за киберсигурност и анти-злонамерен софтуер, за да премахнат зловреден софтуер и да предотвратят бъдещи атаки.

Бележката за откуп, пусната от DarkBit Ransomware, гласи:

'Скъпи колеги,
Съжаляваме да ви информираме, че трябваше напълно да хакнем мрежата на Technion и да прехвърлим „всички“ данни на нашите защитени сървъри.
Така че, запазете спокойствие, поемете дъх и помислете за режим на апартейд, който създава проблеми тук и там.
Те трябва да си платят за лъжите и престъпленията си, за имената и срамовете си. Те трябва да плащат за окупация, военни престъпления срещу човечеството,
убивайки хората (не само телата на палестинците, но и душите на израелците) и унищожавайки бъдещето и всички мечти, които сме имали.
Те трябва да плащат за уволнението на висококвалифицирани специалисти.

Както и да е, няма от какво да се притеснявате (като физическо лице).
Това е задача на администрацията да изпълни нашите инструкции за възстановяване на мрежата.
Но можете да се свържете с нас чрез TOX messenger, ако искате да възстановите файловете си лично. (TOX ID: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Нашата инструкция за администрацията:
Всичките ви файлове са криптирани с помощта на алгоритъм за военен клас AES-256. Така,

Не се опитвайте да възстановите данни, защото криптираните файлове са невъзстановими, освен ако нямате ключа.
Всеки опит за възстановяване на данни без ключа (с помощта на приложения/компании на трети страни) причинява ПОСТОЯННИ щети. Вземете го сериозно.

Трябва да ни се доверите. Това е нашият бизнес (след уволнение от високотехнологични компании) и репутацията е всичко, което имаме.

Всичко, което трябва да направите, е да следвате процедурата за плащане и след това ще получите ключ за дешифриране, използван за връщане на всички ваши файлове и виртуални машини.

Начин на плащане:
Въведете връзката по-долу
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Въведете ID по-долу и платете сметката (80 BTC)

След плащането ще получите ключ за дешифриране.

Забележете, че имате само 48 часа. След изтичане на срока към цената се добавя неустойка в размер на 30%.
Пускаме данни за продажба след 5 дни.
Вземете го сериозно и не се вслушвайте в вероятните съвети на едно глупаво правителство.

Късмет!
„DarkBit“