Программа-вымогатель DarkWorld

Похоже, что все больше и больше создателей программ-вымогателей начинают расширять сферу своих угрожающих творений за пределы только шифрования данных на скомпрометированных устройствах. Чтобы усилить влияние, которое они имеют на своих жертв, хакеры начинают собирать конфиденциальные данные из зараженной системы до инициализации процедуры шифрования. Полученные данные затем могут быть использованы как дополнительный козырь при переговорах о выкупе с жертвой или проданы с аукциона конкурентам взломанной организации. Одной из последних угроз вымогателей, демонстрирующих такое поведение, является программа-вымогатель DarkWorld.

Анализ программы-вымогателя DarkWolrd показывает, что по большей части угроза действует как типичная программа-вымогатель. Он нацелен на широкий спектр популярных типов файлов и зашифровал их с помощью не поддающегося взлому алгоритма шифрования. Файлы, затронутые угрозой: .dll, .jpg, .exe, .rar, .docx, .zip, .txt, .html, .php, .pdf, .xls, .xlsx, .ppt, .png, .jpeg, .mp4, .avi, .mp3, .iso, .tar, .tgz, .gz, .sql, .db, .apk, .js, .css, .scss, .cab, .bin и .lua . Таким образом, DarkWorld фокусируется на архивах, изображениях, видео и аудио файлах и базах данных. Что касается процесса шифрования, угроза использует алгоритм шифрования Rijndael. К каждому заблокированному файлу будет добавлено расширение «.dark» к его исходному имени в качестве нового расширения. Уведомление о выкупе угрозы будет удалено в виде текстового файла с именем «Important.txt».

Функция сбора данных DarkWorld проявляется, когда угроза встречает текстовый файл размером менее 2 МБ. Все файлы, соответствующие этим критериям, будут загружены на сервер киберпреступников перед шифрованием. Чтобы избежать каких-либо критических ошибок и нарушения нормальной работы ОС зараженной системы, DarkWorld имеет жестко запрограммированный список каталогов, которых следует избегать во время процедуры шифрования.

Открытие записки о выкупе, оставленной угрозой, показывает, что хакеры хотят получить сумму в 300 долларов, подлежащую выплате в биткойнах. Выкуп должен быть отправлен на указанный адрес криптокошелька. Ожидается, что после завершения транзакции жертвы программы-вымогателя DarkWorld свяжутся с хакерами, отправив электронное письмо на следующий адрес - darksimo@protonmail.com.

Тенденция к тому, что угрозы программ-вымогателей становятся все более изощренными с расширенными функциональными возможностями, похоже, нарастает. Чтобы опережать киберпреступников, пользователи должны выбрать профессиональную программу защиты от вредоносных программ, которая адаптируется и предлагает как надежные, так и инновационные решения безопасности.