DC Ransomware
Onderzoekers van Infosec hebben een nieuwe malwarebedreiging geïdentificeerd, genaamd DC Ransomware, die in het wild op de loer ligt. Analyse van de onderliggende code van de dreiging bracht aan het licht dat de malware een variant is op basis van de Dharma Ransomware- familie. Hoewel dit betekent dat de DC Ransomware geen significante aanpassingen of verbeteringen heeft ten opzichte van de andere varianten, vermindert het op geen enkele manier het vermogen van de dreiging om vernietiging te veroorzaken.
Inderdaad, als de DC Ransomware erin slaagt om de computers van gebruikers te infiltreren, zal het een versleutelingsproces starten met behulp van een onkraakbare cryptografische code om de bestanden die daar zijn opgeslagen te vergrendelen. Bijna alle meest voorkomende bestandstypen zullen worden beïnvloed - documenten, pdf's, audio, video, archieven, databases, foto's, enz. Als gevolg van de opdringerige acties van DC Ransomware zullen gebruikers de mogelijkheid verliezen om de getroffen bestanden zelfs maar te openen.
Na het typische Dharma-gedrag markeert de DC Ransomware ook de bestanden die het versleutelt. Het doet dit door hun oorspronkelijke namen te wijzigen. Eerst wordt een ID-tekenreeks die aan het specifieke slachtoffer is toegewezen, toegevoegd aan de naam van het bestand. Vervolgens voegt de dreiging een e-mailadres toe dat wordt beheerd door de aanvallers (dc1@imap.cc). Ten slotte wordt '.DC' als nieuwe bestandsextensie geplaatst. De DC Ransomware dropt twee losgeldbriefjes op de gehackte systemen. De ene wordt gedragen door een tekstbestand met de naam 'FILES ENCRYPTED.txt', terwijl de andere wordt weergegeven in een nieuw pop-upvenster.
De eisen van DC Ransomware
Het bericht dat via het tekstbestand wordt afgeleverd, is uiterst summier en bevat geen belangrijke details. Er staat alleen dat slachtoffers van de dreiging contact moeten opnemen met de aanvallers door een bericht te sturen naar de twee opgegeven e-mailadressen - 'dc1@imap.cc' of 'dc2@imap.cc'. De juiste losgeldnota wordt getoond in het pop-upvenster. Het verduidelijkt dat de tweede e-mail alleen mag worden gebruikt als gebruikers geen antwoord ontvangen binnen 24 uur nadat ze contact hebben opgenomen met de eerste e-mail.
Het pop-upvenster geeft ook aan dat het losgeld dat door de hackers wordt geëist, moet worden betaald met Bitcoin, misschien wel de meest populaire cryptocurrency. Blijkbaar hangt de prijs van het losgeld af van hoe snel gebruikers contact leggen met cybercriminelen.
Volgens de notitie krijgen slachtoffers ook de kans om één bestand gratis te laten ontsleutelen. Het gekozen bestand mag echter geen belangrijke informatie bevatten en mag niet groter zijn dan 1 MB. Het laatste deel van het bericht waarin om losgeld wordt gevraagd, bestaat uit verschillende waarschuwingen.
De volledige tekst van de instructies in het pop-upvenster is:
' Al uw bestanden zijn versleuteld!
Al uw bestanden zijn versleuteld vanwege een beveiligingsprobleem met uw pc. Als u ze wilt herstellen, schrijf ons dan naar de e-mail dc1@imap.cc
Schrijf deze ID in de titel van uw bericht -
In het geval van geen antwoord binnen 24 uur, schrijf ons dan naar deze e-mails:dc2@imap.cc
U moet betalen voor decodering in Bitcoins. De prijs hangt af van hoe snel u ons schrijft. Na betaling sturen we u de decoderingstool die al uw bestanden zal decoderen.Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 1 bestand sturen voor gratis decodering. De totale grootte van bestanden moet kleiner zijn dan 1 MB (niet gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, enz.)Hoe Bitcoins te verkrijgen
De gemakkelijkste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Je kunt hier ook andere plaatsen vinden om Bitcoins en beginnersgids te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Aandacht!
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te ontsleutelen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.Het tekstbestand gegenereerd door DC Ransomware bevat het volgende bericht:
al uw gegevens zijn bij ons vergrendeld
Wil je terugkeren?
Schrijf een e-mail dc1@imap.cc of dc2@imap.cc .'
