DC Ransomware

Infosec-forskere har identifisert en ny malware-trussel kalt DC Ransomware som lurer i naturen. Analyse av trusselens underliggende kode viste at skadevare er en variant basert på Dharma Ransomware- familien. Selv om dette betyr at DC Ransomware mangler noen betydelige modifikasjoner eller forbedringer i forhold til de andre variantene, reduserer det på ingen måte trusselens kapasitet til å forårsake ødeleggelse.

Faktisk, hvis DC Ransomware klarer å infiltrere brukernes datamaskiner, vil den initiere en krypteringsprosess ved å bruke en uncrackable kryptografisk kode for å låse filene som er lagret der. Nesten alle de vanligste filtypene vil bli berørt - dokumenter, PDF-er, lyd, video, arkiver, databaser, bilder osv. Som et resultat av DC Ransomwares påtrengende handlinger, vil brukere miste muligheten til å åpne de berørte filene.

Etter den typiske Dharma-oppførselen, merker DC Ransomware også filene den krypterer. Det gjør det ved å endre deres opprinnelige navn. Først vil en ID-streng tildelt det spesifikke offeret bli lagt til filens navn. Deretter vil trusselen legge til en e-postadresse kontrollert av angriperne (dc1@imap.cc). Til slutt vil '.DC' bli plassert som en ny filtype. DC Ransomware slipper to løsepenger på de brutte systemene. Den ene vil bli båret av en tekstfil kalt 'FILES ENCRYPTED.txt', mens den andre vil vises i et nytt popup-vindu.

DC Ransomwares krav

Meldingen som leveres via tekstfilen er ekstremt kort og mangler viktige detaljer. Den sier ganske enkelt at ofre for trusselen skal kontakte angriperne ved å sende meldinger til de to oppgitte e-postadressene - 'dc1@imap.cc' eller 'dc2@imap.cc'. Den riktige løsepengene vises i popup-vinduet. Den presiserer at den andre e-posten kun skal brukes hvis brukere ikke mottar svar innen 24 timer etter at de har kontaktet den første e-posten.

Popup-vinduet spesifiserer også at løsepengene som kreves av hackerne, må betales med Bitcoin, uten tvil den mest populære kryptovalutaen. Tilsynelatende vil prisen på løsepenger avhenge av hvor raskt brukere etablerer kontakt med nettkriminelle.

Ifølge notatet vil ofre også ha sjansen til å sende én fil som skal dekrypteres gratis. Den valgte filen må imidlertid ikke inneholde viktig informasjon og bør ikke overstige 1 MB i størrelse. Den siste delen av den løsepengekrevende meldingen består av ulike advarsler.

Den fullstendige teksten til instruksjonene i popup-vinduet er:

' Alle filene dine er kryptert!

Alle filene dine er kryptert på grunn av et sikkerhetsproblem med PC-en din. Hvis du ønsker å gjenopprette dem, skriv til oss på e-posten dc1@imap.cc
Skriv denne ID-en i tittelen på meldingen -
Hvis du ikke får svar innen 24 timer, skriv til disse e-postene:dc2@imap.cc
Du må betale for dekryptering i Bitcoins. Prisen avhenger av hvor raskt du skriver til oss. Etter betaling vil vi sende deg dekrypteringsverktøyet som vil dekryptere alle filene dine.

Gratis dekryptering som garanti
Før du betaler kan du sende oss opptil 1 fil for gratis dekryptering. Den totale størrelsen på filene må være mindre enn 1 Mb (ikke arkivert), og filene skal ikke inneholde verdifull informasjon. (databaser, sikkerhetskopier, store excel-ark, etc.)

Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.

Tekstfilen generert av DC Ransomware inneholder følgende melding:

alle dine data har blitt låst oss
Vil du tilbake?
Skriv e-post dc1@imap.cc eller dc2@imap.cc .'