DarkBit Ransomware

DarkBit Ransomware работает, шифруя данные и требуя выкуп за расшифровку. В процессе шифрования DarkBit изменяет имена затронутых файлов, переименовывая их со случайной строкой символов, за которой следует расширение «.Darkbit». Например, файл с исходным названием «1.jpg» будет отображаться как «5oCWq6Fp1676362581.Darkbit», а «2.png» — как «QV3xwMP11776363582.Darkbit» и так далее.

После завершения процесса шифрования DarkBit создает записку с требованием выкупа под названием «RECOVERY_DARKBIT.txt» и помещает ее на рабочий стол зараженной системы. В записке содержатся инструкции о том, как жертвы могут заплатить выкуп и получить ключ дешифрования, чтобы разблокировать свои зашифрованные файлы.

Требования DarkBit Ransomware

Записка DarkBit о выкупе начинается с политического или геополитического сообщения, подразумевающего, что программа-вымогатель нацелена на крупные организации, такие как компании, а не на домашних пользователей. Сообщение предупреждает жертв, что их файлы были зашифрованы с использованием надежного криптографического алгоритма AES-256, а конфиденциальные данные были собраны или украдены.

Примечание предупреждает жертв, что попытка использовать сторонние инструменты или службы восстановления может привести к безвозвратной потере данных. Единственный способ восстановить зашифрованные файлы, по мнению злоумышленников, — это приобрести у них ключи или инструменты дешифрования. Требуемая сумма выкупа составляет 80 биткойнов (BTC), что по текущему обменному курсу биткойнов составляет около 1,7 миллиона долларов США. Следует отметить, что обменные курсы постоянно колеблются, и это преобразование может быть неточным.

Размер выкупа подтверждает предположение, что DarkBit обычно не используется для домашних пользователей. Если в течение 48 часов не будет предпринято никаких действий, сумма выкупа увеличивается на 30%, а через пять дней собранные данные будут выставлены на продажу.

Рекомендуемые действия после атаки таких угроз, как программа-вымогатель DarkBit

Основываясь на своем опыте анализа многочисленных заражений программами-вымогателями, специалисты по кибербезопасности обычно советуют не платить злоумышленникам какие-либо суммы денег. В большинстве случаев расшифровка редко возможна без ключей или инструментов расшифровки, которыми обладают только злоумышленники. Некоторая расшифровка может быть возможна в случаях, когда программа-вымогатель либо имеет серьезные недостатки, либо все еще находится в разработке, но это скорее исключение, чем правило. Как и в случае любой атаки программ-вымогателей, жертвам рекомендуется сообщить об инциденте в правоохранительные органы и использовать надежное решение для кибербезопасности и защиты от вредоносных программ, чтобы удалить вредоносное ПО и предотвратить будущие атаки.

Записка о выкупе, сброшенная программой-вымогателем DarkBit, гласит:

'Уважаемые коллеги,
С сожалением сообщаем вам, что нам пришлось полностью взломать сеть Технион и перенести «все» данные на наши защищенные серверы.
Итак, сохраняйте спокойствие, переведите дух и подумайте о режиме апартеида, который вызывает проблемы то здесь, то там.
Они должны заплатить за свою ложь и преступления, за свои имена и позор. Они должны платить за оккупацию, военные преступления против человечества,
убивая людей (не только тела палестинцев, но и души израильтян) и разрушая будущее и все наши мечты.
Они должны платить за увольнение высококвалифицированных специалистов.

В любом случае, вам (как личности) не о чем беспокоиться.
Это задача администрации выполнить нашу инструкцию по восстановлению сети.
Но вы можете связаться с нами через мессенджер TOX, если хотите восстановить свои файлы лично. (ID TOX: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Наша инструкция для администрации:
Все ваши файлы зашифрованы с использованием алгоритма военного уровня AES-256. Так,

Не пытайтесь восстановить данные, потому что зашифрованные файлы невозможно восстановить, если у вас нет ключа.
Любая попытка восстановления данных без ключа (с использованием сторонних приложений/компаний) приводит к ПОСТОЯННОМУ повреждению. Отнеситесь к этому серьезно.

Вы должны доверять нам. Это наш бизнес (после увольнения из высокотехнологичных компаний) и репутация - это все, что у нас есть.

Все, что вам нужно сделать, это выполнить процедуру оплаты, после чего вы получите ключ дешифрования, который будет использоваться для возврата всех ваших файлов и виртуальных машин.

Способ оплаты:
Введите ссылку ниже
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Введите идентификатор ниже и оплатите счет (80 BTC)

Вы получите ключ расшифровки после оплаты.

Обратите внимание, что у вас всего 48 часов. По истечении указанного срока к цене будет добавлен штраф в размере 30%.
Выставляем данные на продажу через 5 дней.
Отнеситесь к этому серьезно и не слушайте возможных советов глупого правительства.

Удачи!
«Даркбит»