DC Ransomware
Изследователите на Infosec са идентифицирали нова заплаха за злонамерен софтуер, наречена DC Ransomware, която се крие в дивата природа. Анализът на основния код на заплахата разкри, че зловредният софтуер е вариант, базиран на семейството на Dharma Ransomware. Въпреки че това означава, че DC Ransomware няма значителни модификации или подобрения в сравнение с другите варианти, той по никакъв начин не намалява способността на заплахата да причини унищожение.
Всъщност, ако DC Ransomware успее да проникне в компютрите на потребителите, той ще започне процес на криптиране, използвайки непробиваем криптографски код, за да заключи файловете, съхранявани там. Почти всички най-често срещани типове файлове ще бъдат засегнати - документи, PDF файлове, аудио, видео, архиви, бази данни, снимки и т.н. В резултат на натрапчивите действия на DC Ransomware потребителите ще загубят възможността дори да отварят засегнатите файлове.
Следвайки типичното поведение на Dharma, DC Ransomware също маркира файловете, които криптира. Това става чрез промяна на оригиналните им имена. Първо, към името на файла ще бъде добавен низ за идентификация, присвоен на конкретната жертва. Тогава заплахата ще добави имейл адрес, контролиран от нападателите (dc1@imap.cc). И накрая, '.DC' ще бъде поставен като ново файлово разширение. DC Ransomware пуска две бележки за откуп върху нарушените системи. Единият ще бъде пренесен от текстов файл с име 'FILES ENCRYPTED.txt', докато другият ще бъде показан в нов изскачащ прозорец.
Изискванията на DC Ransomware
Съобщението, доставено чрез текстовия файл, е изключително кратко и в него липсват важни подробности. Просто се посочва, че жертвите на заплахата трябва да се свържат с нападателите, като изпратят съобщение на двата предоставени имейл адреса – „dc1@imap.cc" или „dc2@imap.cc". Правилната бележка за откуп ще бъде показана в изскачащия прозорец. В него се пояснява, че вторият имейл трябва да се използва само ако потребителите не получат отговор в рамките на 24 часа след свързване с първия имейл.
Изскачащият прозорец също така уточнява, че исканият от хакерите откуп ще трябва да бъде платен с биткойн, може би най-популярната криптовалута. Очевидно цената на откупа ще зависи от това колко бързо потребителите установяват контакт с киберпрестъпниците.
Според бележката жертвите също ще имат възможността да изпратят един файл, който да бъде декриптиран безплатно. Избраният файл обаче не трябва да съдържа важна информация и не трябва да надвишава 1MB по размер. Последният раздел на съобщението, изискващо откуп, се състои от различни предупреждения.
Пълният текст на инструкциите, предоставени в изскачащия прозорец, е:
' Всичките ви файлове са криптирани!
Всичките ви файлове са криптирани поради проблем със сигурността на вашия компютър. Ако желаете да ги възстановите, пишете ни на имейла dc1@imap.cc
Напишете този ID в заглавието на вашето съобщение -
В случай на липса на отговор до 24 часа ни пишете на тези имейли: dc2@imap.cc
Трябва да платите за декриптиране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента за декриптиране, който ще декриптира всичките ви файлове.Безплатно декриптиране като гаранция
Преди да платите можете да ни изпратите до 1 файл за безплатно декриптиране. Общият размер на файловете трябва да е по-малък от 1Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, архивни копия, големи Excel листове и др.)Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни" и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да декриптирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Декриптирането на вашите файлове с помощта на трети страни може да доведе до повишаване на цената (те добавят своята такса към нашата) или да станете жертва на измама.Текстовият файл, генериран от DC Ransomware, съдържа следното съобщение:
всичките ви данни са ни заключени
Искате ли да се върнете?
Напишете имейл dc1@imap.cc или dc2@imap.cc .'
