DarkBit Ransomware

תוכנת הכופר של DarkBit פועלת על ידי הצפנת נתונים ודרישת כופר עבור פענוח. במהלך תהליך ההצפנה, DarkBit משנה את שמות הקבצים של הקבצים המושפעים על ידי שינוי שמם במחרוזת תווים אקראית ואחריה הסיומת '.Darkbit'. לדוגמה, קובץ בשם במקור '1.jpg' יופיע בתור '5oCWq6Fp1676362581.Darkbit', בעוד '2.png' יופיע בתור 'QV3xwMP11776363582.Darkbit' וכן הלאה.

לאחר השלמת תהליך ההצפנה, DarkBit מייצר פתק כופר שכותרתו 'RECOVERY_DARKBIT.txt' ומניח אותו על שולחן העבודה של המערכת הנגועה. הפתק מכיל הוראות כיצד הקורבנות יכולים לשלם את הכופר ולקבל את מפתח הפענוח כדי לפתוח את הקבצים המוצפנים שלהם.

הדרישות של DarkBit Ransomware

הערת הכופר של DarkBit מתחילה במסר פוליטי או גיאופוליטי, המרמז שתוכנת הכופר מכוונת לישויות גדולות, כמו חברות, ולא למשתמשים ביתיים. ההודעה מזהירה את הקורבנות שהקבצים שלהם הוצפנו באמצעות אלגוריתם ההצפנה החזק AES-256 ונתונים רגישים נאספו או הוצאו.

ההערה מזהירה קורבנות שניסיון להשתמש בכלים או בשירותי שחזור של צד שלישי עלול להוביל לאובדן נתונים לצמיתות. הדרך היחידה לשחזר את הקבצים המוצפנים, לדברי התוקפים, היא לרכוש מהם את מפתחות הפענוח או הכלים. סכום הכופר שנדרש מצוין כ-80 ביטקוין (BTC), אשר לפי שער הביטקוין הנוכחי שווה כ-1.7 מיליון דולר אמריקאי. יש לציין ששערי החליפין משתנים ללא הרף, וייתכן שהמרה זו כבר לא תהיה מדויקת.

גודל הכופר מחזק את ההנחה ש-DarkBit בדרך כלל לא משמש למיקוד משתמשים ביתיים. אם לא ננקטת פעולה תוך 48 שעות, סכום הכופר גדל ב-30%, ולאחר חמישה ימים, הנתונים שנאספו יועמדו למכירה.

שלבים מומלצים בעקבות התקפה מאיומים כמו תוכנת הכופר DarkBit

בהתבסס על הניסיון שלהם בניתוח זיהומים רבים של תוכנות כופר, אנשי אבטחת סייבר ממליצים בדרך כלל לא לשלם כל סכום כסף לתוקפים. ברוב המקרים, פענוח רק לעתים רחוקות אפשרי ללא מפתחות הפענוח או הכלים, שרק התוקפים מחזיקים בהם. פענוח מסוים עשוי להיות אפשרי במקרים בהם תוכנת הכופר פגומה או עדיין בפיתוח, אך זהו היוצא מן הכלל ולא הכלל. כמו בכל מתקפת כופר, מומלץ לקורבנות לדווח על התקרית לרשויות אכיפת החוק ולהשתמש בפתרון אבטחת סייבר ואנטי תוכנות זדוניות מכובד כדי להסיר את התוכנה הזדונית ולמנוע התקפות עתידיות.

פתק הכופר שנפל על ידי תוכנת הכופר DarkBit נכתב:

'עמיתים יקרים,
אנו מצטערים להודיע לך שנאלצנו לפרוץ לחלוטין לרשת הטכניון ולהעביר את "כל" הנתונים לשרתים המאובטחים שלנו.
אז, תהיו רגועים, קחו אוויר ותחשבו על משטר אפרטהייד שגורם לצרות פה ושם.
הם צריכים לשלם על השקרים והפשעים שלהם, השמות והבושות שלהם. הם צריכים לשלם על כיבוש, פשעי מלחמה נגד האנושות,
להרוג את האנשים (לא רק את גופות הפלסטינים, אלא גם את הנשמות של הישראלים) ולהרוס את העתיד ואת כל החלומות שהיו לנו.
הם צריכים לשלם על פיטורי מומחים מיומנים גבוהים.

בכל מקרה, אין לך (כפרט) מה לדאוג.
זו המשימה של המינהל לעקוב אחר ההוראה שלנו לשחזור הרשת.
אבל, אתה יכול ליצור איתנו קשר באמצעות TOX messenger אם אתה רוצה לשחזר את הקבצים שלך באופן אישי. (מזהה טוקס: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

ההוראה שלנו למינהל:
כל הקבצים שלך מוצפנים באמצעות אלגוריתם צבאי AES-256. כך,

אל תנסה לשחזר נתונים, כי הקבצים המוצפנים אינם ניתנים לשחזור אלא אם כן יש לך את המפתח.
כל ניסיון לשחזר נתונים ללא המפתח (באמצעות אפליקציות/חברות של צד שלישי) גורם לנזק קבוע. קח את זה ברצינות.

אתה צריך לסמוך עלינו. זה העסק שלנו (אחרי פיטורים מחברות הייטק) והמוניטין הוא כל מה שיש לנו.

כל מה שאתה צריך לעשות הוא לעקוב אחר הליך התשלום ואז תקבל מפתח פענוח המשמש להחזרת כל הקבצים וה-VM שלך.

אמצעי תשלום:
היכנסו לקישור למטה
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
הזן את המזהה למטה ושלם את החשבון (80 BTC)

תקבל מפתח פענוח לאחר התשלום.

שימו לב שיש לכם רק 48 שעות. לאחר המועד האחרון יתווסף למחיר קנס של 30%.
אנו מעמידים נתונים למכירה לאחר 5 ימים.
קחו את זה ברצינות ואל תקשיבו לעצות סבירות של ממשלה טיפשה.

בהצלחה!
"DarkBit"