DarkWorld Ransomware
Parece que mais e mais criadores de ransomware estão começando a expandir o escopo de suas criações ameaçadoras além da criptografia de dados apenas nos dispositivos comprometidos. Para aumentar a influência que têm sobre suas vítimas, os hackers estão começando a coletar dados confidenciais do sistema infectado antes que a rotina de criptografia seja inicializada. Os dados exfiltrados podem então ser usados como moeda de troca adicional ao negociar o resgate com a vítima ou leiloados para concorrentes da organização violada. Uma das ameaças de ransomware mais recentes a exibir tal comportamento é o DarkWorld Ransomware.
A análise do DarkWolrd Ransomware revela que, na maior parte, a ameaça atua como um ransomware típico. Ele tem como alvo uma ampla gama de tipos de arquivos populares e os criptografa com um algoritmo de criptografia indecifrável. Os arquivos afetados pela ameaça são: .dll, .jpg, .exe, .rar, .docx, .zip, .txt, .html, .php, .pdf, .xls, .xlsx, .ppt, .png, .jpeg, .mp4, .avi, .mp3, .iso, .tar, .tgz, .gz, .sql, .db, .apk, .js, .css, .scss, .cab, .bin e .lua . Em resumo, o DarkWorld se concentra em arquivos, imagens, arquivos de vídeo e áudio e bancos de dados. Quanto ao processo de criptografia, a ameaça emprega o algoritmo de criptografia Rijndael. Cada arquivo bloqueado terá '.dark' anexado ao seu nome original como uma nova extensão. A nota de resgate da ameaça será descartada como um arquivo de texto chamado 'Importante.txt'.
A funcionalidade de coleta de dados do DarkWorld se manifesta quando a ameaça encontra um arquivo de texto com menos de 2 MB. Todos os arquivos que atendem a esses critérios serão carregados no servidor dos cibercriminosos antes de serem criptografados. Para evitar causar erros críticos e interferir na operação normal do sistema operacional do sistema infectado, o DarkWorld tem uma lista de diretórios codificada para evitar durante sua rotina de criptografia.
A abertura da nota de resgate deixada pela ameaça revela que os hackers querem receber a quantia de $300 a ser paga em Bitcoin. O resgate deve ser enviado para o endereço da carteira moeda digital fornecido. Depois de concluir a transação, as vítimas do DarkWorld Ransomware devem entrar em contato com os hackers enviando um e-mail para o seguinte endereço - 'darksimo@protonmail.com.'
A tendência das ameaças de ransomware se tornarem cada vez mais sofisticadas com a expansão da funcionalidade de ameaças parece estar crescendo. Para ficar à frente dos cibercriminosos, os usuários precisam escolher um programa anti-malware profissional que seja adaptável e ofereça soluções de segurança confiáveis e inovadoras.
