DC Ransomware
Infosec-forskere har identificeret en ny malwaretrussel ved navn DC Ransomware, der lurer i naturen. Analyse af truslens underliggende kode afslørede, at malwaren er en variant baseret på Dharma Ransomware- familien. Selvom dette betyder, at DC Ransomware mangler væsentlige ændringer eller forbedringer i forhold til de andre varianter, formindsker det på ingen måde truslens evne til at forårsage ødelæggelse.
Faktisk, hvis DC Ransomware formår at infiltrere brugernes computere, vil den igangsætte en krypteringsproces ved at bruge en ukrakkelig kryptografisk kode til at låse de filer, der er gemt der. Næsten alle de mest almindelige filtyper vil blive påvirket - dokumenter, PDF'er, lyd, video, arkiver, databaser, fotos osv. Som et resultat af DC Ransomwares påtrængende handlinger vil brugere miste muligheden for selv at åbne de berørte filer.
Efter den typiske Dharma-adfærd markerer DC Ransomware også de filer, den krypterer. Det gør det ved at ændre deres oprindelige navne. Først vil en id-streng, der er tildelt det specifikke offer, blive tilføjet til filens navn. Derefter vil truslen tilføje en e-mailadresse, der kontrolleres af angriberne (dc1@imap.cc). Til sidst vil '.DC' blive placeret som en ny filtypenavn. DC Ransomware afgiver to løsesumsedler på de brudte systemer. Den ene vil blive båret af en tekstfil med navnet 'FILES ENCRYPTED.txt', mens den anden vil blive vist i et nyt pop op-vindue.
DC Ransomwares krav
Beskeden leveret via tekstfilen er ekstremt kort og mangler vigtige detaljer. Den siger blot, at ofre for truslen skal kontakte angriberne ved at sende beskeder til de to angivne e-mailadresser - 'dc1@imap.cc' eller 'dc2@imap.cc'. Den korrekte løsesumseddel vil blive vist i pop op-vinduet. Det præciserer, at den anden e-mail kun skal bruges, hvis brugerne ikke modtager et svar inden for 24 timer efter, at de har kontaktet den første e-mail.
Pop-up-vinduet specificerer også, at den løsesum, som hackerne krævede, skal betales ved hjælp af Bitcoin, uden tvivl den mest populære kryptovaluta. Tilsyneladende vil prisen på løsesummen afhænge af, hvor hurtigt brugerne etablerer kontakt med cyberkriminelle.
Ifølge notatet vil ofre også have chancen for at sende en fil, der skal dekrypteres gratis. Den valgte fil må dog ikke indeholde vigtige oplysninger og bør ikke overstige 1 MB i størrelse. Den sidste del af den løsesumskrævende besked består af forskellige advarsler.
Den fulde tekst af instruktionerne i pop op-vinduet er:
' Alle dine filer er blevet krypteret!
Alle dine filer er blevet krypteret på grund af et sikkerhedsproblem med din pc. Hvis du vil gendanne dem, så skriv til os på e-mailen dc1@imap.cc
Skriv dette ID i titlen på din besked -
I tilfælde af intet svar inden for 24 timer, skriv til os på disse e-mails:dc2@imap.cc
Du skal betale for dekryptering i Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Efter betaling sender vi dig dekrypteringsværktøjet, der dekrypterer alle dine filer.Gratis dekryptering som garanti
Før du betaler, kan du sende os op til 1 fil til gratis dekryptering. Den samlede størrelse af filer skal være mindre end 1 Mb (ikke arkiveret), og filer bør ikke indeholde værdifuld information. (databaser, sikkerhedskopier, store excel-ark osv.)Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.Tekstfilen genereret af DC Ransomware indeholder følgende meddelelse:
alle dine data er blevet låst os
Vil du tilbage?
Skriv e-mail dc1@imap.cc eller dc2@imap.cc .'
