DC Ransomware

Infosecin tutkijat ovat tunnistaneet uuden haittaohjelmauhan nimeltä DC Ransomware, joka piilee luonnossa. Uhan taustalla olevan koodin analyysi paljasti, että haittaohjelma on Dharma Ransomware -perheeseen perustuva muunnos. Vaikka tämä tarkoittaa, että DC Ransomwaresta puuttuu merkittäviä muutoksia tai parannuksia muihin versioihin verrattuna, se ei millään tavalla vähennä uhan kykyä aiheuttaa tuhoa.

Itse asiassa, jos DC Ransomware onnistuu tunkeutumaan käyttäjien tietokoneisiin, se käynnistää salausprosessin käyttämällä murtamatonta salauskoodia lukitakseen sinne tallennetut tiedostot. Tämä vaikuttaa lähes kaikkiin yleisimpiin tiedostotyyppeihin - asiakirjoihin, PDF-tiedostoihin, ääni-, video-, arkistoihin, tietokantoihin, valokuviin jne. DC Ransomwaren tunkeilevien toimien seurauksena käyttäjät menettävät mahdollisuuden jopa avata tiedostoja, joita asia koskee.

Tyypillisen Dharma-käyttäytymisen mukaisesti DC Ransomware merkitsee myös tiedostot, jotka se salaa. Se tekee sen muuttamalla niiden alkuperäisiä nimiä. Ensin tietylle uhrille määritetty tunnusmerkkijono lisätään tiedoston nimeen. Sitten uhka liittää mukaan hyökkääjien hallitseman sähköpostiosoitteen (dc1@imap.cc). Lopuksi ".DC" sijoitetaan uudeksi tiedostotunnisteeksi. DC Ransomware pudottaa kaksi lunnaita rikottujen järjestelmien päälle. Toisen kuljettaa tekstitiedosto nimeltä 'FILES ENCRYPTED.txt', kun taas toinen näytetään uudessa ponnahdusikkunassa.

DC Ransomwaren vaatimukset

Tekstitiedoston kautta toimitettu viesti on erittäin lyhyt ja siitä puuttuu tärkeitä yksityiskohtia. Siinä todetaan yksinkertaisesti, että uhan uhrien tulee ottaa yhteyttä hyökkääjiin lähettämällä viesti kahteen annettuun sähköpostiosoitteeseen - "dc1@imap.cc" tai "dc2@imap.cc". Oikea lunnaat näkyvät ponnahdusikkunassa. Siinä selvennetään, että toista sähköpostia tulee käyttää vain, jos käyttäjät eivät saa vastausta 24 tunnin kuluessa ensimmäiseen sähköpostiin yhteydenotosta.

Ponnahdusikkunassa täsmennetään myös, että hakkereiden vaatimat lunnaat on maksettava Bitcoinilla, joka on kiistatta suosituin kryptovaluutta. Ilmeisesti lunnaiden hinta riippuu siitä, kuinka nopeasti käyttäjät ottavat yhteyttä kyberrikollisiin.

Muistion mukaan uhreilla on myös mahdollisuus lähettää yksi tiedosto salauksen purkamiseen ilmaiseksi. Valittu tiedosto ei kuitenkaan saa sisältää tärkeitä tietoja, eikä se saa olla suurempi kuin 1 Mt. Lunnaita vaativan viestin viimeinen osa koostuu erilaisista varoituksista.

Ponnahdusikkunassa toimitettujen ohjeiden teksti kokonaisuudessaan on:

' Kaikki tiedostosi on salattu!

Kaikki tiedostosi on salattu tietokoneesi tietoturvaongelman vuoksi. Jos haluat palauttaa ne, kirjoita meille sähköpostiin dc1@imap.cc
Kirjoita tämä tunnus viestisi otsikkoon -
Jos et saa vastausta 24 tunnin kuluessa, kirjoita meille näihin sähköpostiin: dc2@imap.cc
Sinun on maksettava salauksen purkamisesta Bitcoineilla. Hinta riippuu siitä, kuinka nopeasti kirjoitat meille. Maksun jälkeen lähetämme sinulle salauksenpurkutyökalun, joka purkaa kaikki tiedostosi.

Ilmainen salauksen purku takuuna
Ennen maksamista voit lähettää meille enintään 1 tiedoston salauksen purkamista varten. Tiedostojen kokonaiskoon tulee olla alle 1 Mt (ei arkistoitu), eivätkä tiedostot saa sisältää arvokasta tietoa. (tietokannat, varmuuskopiot, suuret excel-arkit jne.)

Kuinka saada Bitcoineja
Helpoin tapa ostaa bitcoineja on LocalBitcoins-sivusto. Sinun tulee rekisteröityä, klikata 'Osta bitcoineja' ja valita myyjä maksutavan ja hinnan mukaan.
hxxps://localbitcoins.com/buy_bitcoins
Täältä löydät myös muita Bitcoinien ostopaikkoja ja aloittelijaoppaan:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Huomio!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolien avulla voi aiheuttaa hinnan nousun (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi.

DC Ransomwaren luoma tekstitiedosto sisältää seuraavan viestin:

kaikki tietosi on lukittu meille
Haluatko palata?
Kirjoita sähköposti dc1@imap.cc tai dc2@imap.cc .'