DarkBit Ransomware

DarkBit Ransomware działa poprzez szyfrowanie danych i żądanie okupu za odszyfrowanie. Podczas procesu szyfrowania DarkBit zmienia nazwy plików, których dotyczy problem, zmieniając ich nazwy za pomocą losowego ciągu znaków, po którym następuje rozszerzenie „.Darkbit”. Na przykład plik pierwotnie nazwany „1.jpg” pojawiłby się jako „5oCWq6Fp1676362581.Darkbit”, a „2.png” jako „QV3xwMP11776363582.Darkbit” i tak dalej.

Po zakończeniu procesu szyfrowania DarkBit generuje żądanie okupu zatytułowane „RECOVERY_DARKBIT.txt” i umieszcza je na pulpicie zainfekowanego systemu. Notatka zawiera instrukcje, w jaki sposób ofiary mogą zapłacić okup i otrzymać klucz deszyfrujący, aby odblokować zaszyfrowane pliki.

Żądania DarkBit Ransomware

Żądanie okupu od DarkBit zaczyna się od wiadomości politycznej lub geopolitycznej, sugerującej, że ransomware atakuje duże podmioty, takie jak firmy, a nie użytkowników domowych. Wiadomość ostrzega ofiary, że ich pliki zostały zaszyfrowane przy użyciu silnego algorytmu kryptograficznego AES-256, a poufne dane zostały zebrane lub wyeksfiltrowane.

Notatka ostrzega ofiary, że próba użycia narzędzi lub usług do odzyskiwania danych innych firm może doprowadzić do trwałej utraty danych. Według atakujących jedynym sposobem na odzyskanie zaszyfrowanych plików jest zakup od nich kluczy lub narzędzi do odszyfrowania. Żądana kwota okupu to 80 Bitcoinów (BTC), co przy obecnym kursie wymiany Bitcoinów jest warte około 1,7 miliona dolarów amerykańskich. Należy zauważyć, że kursy wymiany stale się zmieniają, a przeliczenie może nie być dokładne.

Wysokość okupu potwierdza założenie, że DarkBit zazwyczaj nie jest używany do atakowania użytkowników domowych. Jeśli w ciągu 48 godzin nie zostaną podjęte żadne działania, kwota okupu wzrośnie o 30%, a po pięciu dniach zebrane dane zostaną wystawione na sprzedaż.

Zalecane kroki po ataku ze strony zagrożeń takich jak DarkBit Ransomware

Opierając się na swoim doświadczeniu w analizowaniu licznych infekcji ransomware, specjaliści ds. cyberbezpieczeństwa generalnie odradzają płacenie atakującym jakiejkolwiek kwoty pieniędzy. W większości przypadków odszyfrowanie jest rzadko możliwe bez kluczy lub narzędzi do odszyfrowania, które posiadają tylko osoby atakujące. Pewne odszyfrowanie może być możliwe w przypadkach, gdy oprogramowanie ransomware jest albo poważnie wadliwe, albo wciąż w fazie rozwoju, ale jest to raczej wyjątek niż reguła. Podobnie jak w przypadku każdego ataku ransomware, ofiarom zaleca się zgłoszenie incydentu organom ścigania i skorzystanie z renomowanego rozwiązania do cyberbezpieczeństwa i ochrony przed złośliwym oprogramowaniem w celu usunięcia złośliwego oprogramowania i zapobieżenia przyszłym atakom.

Żądanie okupu porzucone przez DarkBit Ransomware brzmi:

'Drodzy koledzy,
Z przykrością informujemy, że musieliśmy całkowicie zhakować sieć Technion i przenieść „wszystkie” dane na nasze bezpieczne serwery.
Więc zachowaj spokój, weź oddech i pomyśl o reżimie apartheidu, który tu i ówdzie powoduje kłopoty.
Powinni zapłacić za swoje kłamstwa i zbrodnie, swoje imię i hańbę. Powinni płacić za okupację, zbrodnie wojenne przeciwko ludzkości,
zabijając ludzi (nie tylko ciała Palestyńczyków, ale także dusze Izraelczyków) i niszcząc przyszłość i wszystkie nasze marzenia.
Powinni płacić za zwalnianie wysoko wykwalifikowanych ekspertów.

W każdym razie nie ma się czym martwić (jako osoba fizyczna).
To jest zadanie administracji, aby postępować zgodnie z naszymi instrukcjami dotyczącymi odzyskiwania sieci.
Ale możesz skontaktować się z nami za pośrednictwem komunikatora TOX, jeśli chcesz odzyskać swoje pliki osobiście. (ID TOX: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Nasza instrukcja dla administracji:
Wszystkie twoje pliki są szyfrowane przy użyciu algorytmu klasy wojskowej AES-256. Więc,

Nie próbuj odzyskać danych, ponieważ zaszyfrowanych plików nie można odzyskać, chyba że masz klucz.
Każda próba odzyskania danych bez klucza (za pomocą aplikacji/firm trzecich) powoduje TRWAŁE uszkodzenie. Potraktuj to poważnie.

Musisz nam zaufać. To jest nasz biznes (po wyrzuceniu z firm high-tech) i reputacja to wszystko, co mamy.

Wszystko, co musisz zrobić, to postępować zgodnie z procedurą płatności, a następnie otrzymasz klucz deszyfrujący, którego użyjesz do zwrotu wszystkich plików i maszyn wirtualnych.

Metoda płatności:
Wpisz poniższy link
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Wpisz poniżej ID i zapłać rachunek (80 BTC)

Otrzymasz klucz deszyfrujący po dokonaniu płatności.

Zauważ, że masz tylko 48 godzin. Po upływie terminu do ceny zostanie doliczona kara 30%.
Wystawiamy dane na sprzedaż po 5 dniach.
Potraktuj to poważnie i nie słuchaj prawdopodobnych rad głupiego rządu.

Powodzenia!
„Ciemny kawałek”