DarkBit Ransomware

El DarkBit Ransomware funciona xifrant dades i exigint un rescat per desxifrar-los. Durant el procés de xifratge, DarkBit altera els noms dels fitxers afectats canviant-los el nom amb una cadena de caràcters aleatòria seguida de l'extensió ".Darkbit". Per exemple, un fitxer anomenat originalment "1.jpg" apareixeria com "5oCWq6Fp1676362581.Darkbit", mentre que "2.png" apareixeria com "QV3xwMP11776363582.Darkbit" i així successivament.

Un cop finalitzat el procés de xifratge, DarkBit genera una nota de rescat titulada "RECOVERY_DARKBIT.txt" i la col·loca a l'escriptori del sistema infectat. La nota conté instruccions sobre com les víctimes podrien pagar el rescat i rebre la clau de desxifrat per desbloquejar els seus fitxers xifrats.

Demandes de DarkBit Ransomware

La nota de rescat de DarkBit comença amb un missatge polític o geopolític, que implica que el ransomware s'adreça a grans entitats, com ara empreses, en lloc d'usuaris domèstics. El missatge adverteix a les víctimes que els seus fitxers s'han xifrat mitjançant el fort algorisme criptogràfic AES-256 i que s'han recollit o exfiltrat dades sensibles.

La nota adverteix a les víctimes que intentar utilitzar eines o serveis de recuperació de tercers podria provocar una pèrdua permanent de dades. L'única manera de recuperar els fitxers xifrats, segons els atacants, és comprar-los les claus o eines de desxifrat. La quantitat de rescat demanada s'indica en 80 Bitcoin (BTC), que al tipus de canvi actual de Bitcoin val uns 1,7 milions de dòlars dels EUA. Cal tenir en compte que els tipus de canvi fluctuen constantment i és possible que aquesta conversió ja no sigui precisa.

La mida del rescat reforça la suposició que DarkBit normalment no s'utilitza per orientar-se als usuaris domèstics. Si no es pren cap acció en 48 hores, l'import del rescat augmenta un 30% i, al cap de cinc dies, les dades recollides es posaran a la venda.

Passos recomanats després d'un atac d'amenaces com el DarkBit Ransomware

A partir de la seva experiència analitzant nombroses infeccions de ransomware, els professionals de la ciberseguretat generalment aconsellen no pagar cap quantitat de diners als atacants. En la majoria dels casos, el desxifrat rarament és possible sense les claus o eines de desxifrat, que només posseeixen els atacants. Pot ser possible un cert desxifrat en els casos en què el ransomware sigui greument defectuós o encara en desenvolupament, però aquesta és l'excepció més que la regla. Com amb qualsevol atac de ransomware, es recomana a les víctimes que denuncien l'incident a les forces de l'ordre i que utilitzin una solució de ciberseguretat i anti-programari maliciós de bona reputació per eliminar el programari maliciós i prevenir atacs futurs.

La nota de rescat enviada pel DarkBit Ransomware diu:

'Benvolguts col · legues,
Lamentem informar-vos que hem hagut de piratejar completament la xarxa Technion i transferir “totes” les dades als nostres servidors segurs.
Per tant, manteniu la calma, respireu i penseu en un règim d'apartheid que causa problemes aquí i allà.
Haurien de pagar per les seves mentides i crims, els seus noms i vergonyes. Haurien de pagar per l'ocupació, els crims de guerra contra la humanitat,
matant el poble (no només els cossos dels palestins, sinó també les ànimes dels israelians) i destruint el futur i tots els somnis que teníem.
Haurien de pagar per acomiadar experts altament qualificats.

De totes maneres, no hi ha res perquè us preocupeu (com a individu).
Aquesta és la tasca de l'administració fer el seguiment de les nostres instruccions per recuperar la xarxa.
Però, pots contactar amb nosaltres a través de TOX messenger si vols recuperar els teus fitxers personalment. (ID d'toxicitat: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

La nostra instrucció per a l'administració:
Tots els vostres fitxers estan xifrats mitjançant l'algoritme de grau militar AES-256. Tan,

No intenteu recuperar dades, perquè els fitxers xifrats no es poden recuperar tret que tingueu la clau.
Qualsevol intent de recuperar dades sense la clau (utilitzant aplicacions/empreses de tercers) causa danys PERMANENTS. Preneu-ho seriosament.

Has de confiar en nosaltres. Aquest és el nostre negoci (després de l'acomiadament d'empreses d'alta tecnologia) i la reputació és tot el que tenim.

Tot el que heu de fer és seguir el procediment de pagament i després rebreu la clau de desxifrat per retornar tots els vostres fitxers i màquines virtuals.

Mètode de pagament:
Introduïu l'enllaç següent
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Introduïu l'identificador a continuació i pagueu la factura (80 BTC)

Rebràs la clau de desxifrat després del pagament.

Tingueu en compte que només teniu 48 hores. Passat el termini, s'afegirà una penalització del 30% al preu.
Posem les dades a la venda al cap de 5 dies.
Preneu-ho seriosament i no escolteu els probables consells d'un govern estúpid.

Bona sort!
"DarkBit"