DarkBit Ransomware

DarkBit Ransomware toimii salaamalla tiedot ja vaatimalla lunnaita salauksen purkamisesta. Salausprosessin aikana DarkBit muuttaa kyseisten tiedostojen tiedostonimiä nimeämällä ne uudelleen satunnaisella merkkijonolla, jota seuraa .Darkbit-tunniste. Esimerkiksi tiedosto, jonka alkuperäinen nimi oli "1.jpg", näkyy muodossa "5oCWq6Fp1676362581.Darkbit", kun taas "2.png" näkyy muodossa "QV3xwMP11776363582.Darkbit" ja niin edelleen.

Kun salausprosessi on valmis, DarkBit luo lunnasilmoituksen nimeltä RECOVERY_DARKBIT.txt ja sijoittaa sen tartunnan saaneen järjestelmän työpöydälle. Muistiinpano sisältää ohjeet siitä, kuinka uhrit voivat maksaa lunnaita ja saada salauksen purkuavaimen salattujen tiedostojensa lukituksen avaamiseksi.

DarkBit Ransomwaren vaatimukset

DarkBitin lunnaat alkavat poliittisella tai geopoliittisella viestillä, mikä viittaa siihen, että kiristysohjelma kohdistuu suuriin yhteisöihin, kuten yrityksiin, eikä kotikäyttäjiin. Viesti varoittaa uhreja, että heidän tiedostonsa on salattu vahvalla AES-256-salausalgoritmilla ja arkaluonteisia tietoja on kerätty tai suodatettu.

Huomautus varoittaa uhreja siitä, että kolmannen osapuolen palautustyökalujen tai -palveluiden yrittäminen voi johtaa pysyvään tietojen katoamiseen. Ainoa tapa saada salatut tiedostot takaisin hyökkääjien mukaan on ostaa heiltä salauksenpurkuavaimet tai -työkalut. Vaadituksi lunnaiksi on ilmoitettu 80 Bitcoinia (BTC), joka nykyisellä Bitcoinin vaihtokurssilla on arvoltaan noin 1,7 miljoonaa Yhdysvaltain dollaria. On huomattava, että valuuttakurssit vaihtelevat jatkuvasti, eikä tämä muunnos välttämättä ole enää tarkka.

Lunnaiden koko vahvistaa oletusta, että DarkBitiä ei yleensä käytetä kotikäyttäjille. Jos toimenpiteisiin ei ryhdytä 48 tunnin kuluessa, lunnaiden määrä nousee 30 % ja viiden päivän kuluttua kerätyt tiedot laitetaan myyntiin.

Suositellut vaiheet DarkBit Ransomwaren kaltaisten uhkien hyökkäyksen jälkeen

Lukuisten kiristysohjelmatartuntojen analysoinnista saatujen kokemusten perusteella kyberturvallisuusammattilaiset suosittelevat yleensä olemaan maksamatta mitään rahaa hyökkääjille. Useimmissa tapauksissa salauksen purku on harvoin mahdollista ilman salauksenpurkuavaimia tai -työkaluja, jotka vain hyökkääjillä on hallussaan. Jokin salauksen purkaminen saattaa olla mahdollista tapauksissa, joissa kiristysohjelma on joko vakavasti viallinen tai vasta kehitteillä, mutta tämä on pikemminkin poikkeus kuin sääntö. Kuten minkä tahansa kiristysohjelmahyökkäyksen yhteydessä, uhreja kehotetaan ilmoittamaan tapauksesta lainvalvontaviranomaisille ja käyttämään hyvämaineisia kyberturvallisuus- ja haittaohjelmien torjuntaratkaisuja haittaohjelmien poistamiseksi ja tulevien hyökkäysten estämiseksi.

DarkBit Ransomwaren pudottama lunnaita lukee:

'Hyvät kollegat,
Pahoittelemme, että jouduimme hakkeroimaan Technion-verkkoa kokonaan ja siirtämään "kaikki" tiedot suojatuille palvelimillemme.
Joten pysy rauhallisena, vedä henkeä ja mieti apartheid-hallintoa, joka aiheuttaa ongelmia siellä täällä.
Heidän pitäisi maksaa valheistaan ja rikoksistaan, nimestään ja häpeistään. Heidän pitäisi maksaa miehityksestä, sotarikoksista ihmisyyttä vastaan,
tappaa ihmisiä (ei vain palestiinalaisten ruumiita, vaan myös israelilaisten sieluja) ja tuhota tulevaisuus ja kaikki unelmamme.
Heidän pitäisi maksaa korkeasti koulutettujen asiantuntijoiden irtisanomisesta.

Joka tapauksessa sinun (yksityisenä) ei ole mitään syytä olla huolissaan.
Se on hallinnon tehtävä noudattaa ohjeitamme verkon palauttamiseksi.
Voit kuitenkin ottaa meihin yhteyttä TOX Messengerin kautta, jos haluat palauttaa tiedostosi henkilökohtaisesti. (TOX-tunnus: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Ohjeemme hallinnolle:
Kaikki tiedostosi on salattu AES-256 sotilastason algoritmilla. Niin,

Älä yritä palauttaa tietoja, koska salattuja tiedostoja ei voi palauttaa, ellei sinulla ole avainta.
Kaikki yritykset palauttaa tietoja ilman avainta (käyttämällä kolmannen osapuolen sovelluksia/yrityksiä) aiheuttavat PYSYVÄÄ vahinkoa. Ota se vakavasti.

Sinun täytyy luottaa meihin. Tämä on meidän liiketoimintamme (high-tech-yrityksiltä irtisanomisen jälkeen) ja maine on ainoa asia, joka meillä on.

Sinun tarvitsee vain seurata maksumenettelyä, ja sitten saat salauksen purkuavaimen, jonka avulla voit palauttaa kaikki tiedostosi ja virtuaalikoneesi.

Maksutapa:
Kirjoita alla oleva linkki
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Syötä tunnus alle ja maksa lasku (80 BTC)

Saat salauksen purkuavaimen maksun jälkeen.

Huomaa, että sinulla on vain 48 tuntia. Määräajan jälkeen hintaan lisätään 30 % sakko.
Laitamme tiedot myyntiin 5 päivän kuluttua.
Ota se vakavasti äläkä kuuntele tyhmän hallituksen todennäköisiä neuvoja.

Onnea!
"DarkBit"