DarkBit Ransomware

DarkBit Ransomware fungerer ved at kryptere data og kræve en løsesum for dekryptering. Under krypteringsprocessen ændrer DarkBit filnavnene på de berørte filer ved at omdøbe dem med en tilfældig tegnstreng efterfulgt af '.Darkbit'-udvidelsen. For eksempel vil en fil, der oprindeligt hedder '1.jpg', blive vist som '5oCWq6Fp1676362581.Darkbit', mens '2.png' ville blive vist som 'QV3xwMP11776363582.Darkbit' og så videre.

Når krypteringsprocessen er fuldført, genererer DarkBit en løsesumseddel med titlen 'RECOVERY_DARKBIT.txt' og placerer den på det inficerede systems skrivebord. Notatet indeholder instruktioner til, hvordan ofrene kunne betale løsesummen og modtage dekrypteringsnøglen for at låse deres krypterede filer op.

DarkBit Ransomwares krav

DarkBits løsesumseddel begynder med en politisk eller geopolitisk besked, der antyder, at løsesumwaren er rettet mod store enheder, såsom virksomheder, snarere end hjemmebrugere. Meddelelsen advarer ofre om, at deres filer er blevet krypteret ved hjælp af den stærke AES-256 kryptografiske algoritme, og at følsomme data er blevet indsamlet eller eksfiltreret.

Notatet advarer ofre om, at forsøg på at bruge tredjepartsgendannelsesværktøjer eller -tjenester kan føre til permanent datatab. Den eneste måde at gendanne de krypterede filer, ifølge angriberne, er at købe dekrypteringsnøgler eller værktøjer fra dem. Løsesummen, der kræves, er angivet til 80 Bitcoin (BTC), som med den nuværende Bitcoin-kurs er omkring 1,7 millioner amerikanske dollars værd. Det skal bemærkes, at valutakurserne svinger konstant, og denne omregning er muligvis ikke længere nøjagtig.

Størrelsen af løsesummen forstærker antagelsen om, at DarkBit typisk ikke bruges til at målrette hjemmebrugere. Hvis der ikke foretages noget inden for 48 timer, stiger løsesummen med 30 %, og efter fem dage vil de indsamlede data blive sat til salg.

Anbefalede trin efter et angreb fra trusler som DarkBit Ransomware

Baseret på deres erfaring med at analysere adskillige ransomware-infektioner, fraråder cybersikkerhedsprofessionelle generelt at betale nogen form for penge til angriberne. I de fleste tilfælde er dekryptering sjældent mulig uden dekrypteringsnøgler eller værktøjer, som kun angriberne besidder. En vis dekryptering kan være mulig i tilfælde, hvor ransomwaren enten er alvorligt defekt eller stadig er under udvikling, men dette er undtagelsen snarere end reglen. Som med ethvert ransomware-angreb rådes ofre til at rapportere hændelsen til retshåndhævelsen og bruge en velrenommeret cybersikkerheds- og anti-malware-løsning til at fjerne malwaren og forhindre fremtidige angreb.

Løsesedlen, der blev droppet af DarkBit Ransomware, lyder:

'Kære kollegaer,
Vi er kede af at meddele dig, at vi har været nødt til at hacke Technion-netværket fuldstændigt og overføre "alle" data til vores sikre servere.
Så bevar roen, træk vejret og tænk på et apartheidregime, der skaber problemer hist og her.
De burde betale for deres løgne og forbrydelser, deres navne og skam. De burde betale for besættelse, krigsforbrydelser mod menneskeheden,
at dræbe folket (ikke kun palæstinensernes kroppe, men også israelernes sjæle) og ødelægge fremtiden og alle drømme, vi havde.
De burde betale for at fyre højtuddannede eksperter.

I hvert fald er der intet for dig (som enkeltperson) at være bekymret for.
Det er administrationens opgave at følge op på vores instruks om retablering af netværket.
Men du kan kontakte os via TOX messenger, hvis du ønsker at gendanne dine filer personligt. (TOX ID: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Vores instruktion til administrationen:
Alle dine filer er krypteret ved hjælp af AES-256 militær algoritme. Så,

Forsøg ikke at gendanne data, for de krypterede filer kan ikke gendannes, medmindre du har nøglen.
Ethvert forsøg på at gendanne data uden nøglen (ved hjælp af tredjepartsapplikationer/virksomheder) forårsager PERMANENT skade. Tag det alvorligt.

Du skal stole på os. Dette er vores forretning (efter fyring fra højteknologiske virksomheder), og omdømmet er alt, hvad vi har.

Alt du skal gøre er at følge op på betalingsproceduren, og så vil du modtage en dekrypteringsnøgle, der bruges til at returnere alle dine filer og VM'er.

Betalingsmetode:
Indtast linket nedenfor
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Indtast ID nedenfor og betal regningen (80 BTC)

Du modtager en dekrypteringsnøgle efter betalingen.

Bemærk, at du kun har 48 timer. Efter fristens udløb tillægges prisen 30 % i bøde.
Vi sætter data til salg efter 5 dage.
Tag det alvorligt og lyt ikke til sandsynlige råd fra en dum regering.

Held og lykke!
"DarkBit"