DarkBit Ransomware

DarkBit Ransomware deluje tako, da šifrira podatke in zahteva odkupnino za dešifriranje. Med postopkom šifriranja DarkBit spremeni imena prizadetih datotek tako, da jih preimenuje z naključnim nizom znakov, ki mu sledi končnica '.Darkbit'. Na primer, datoteka s prvotnim imenom »1.jpg« bi bila prikazana kot »5oCWq6Fp1676362581.Darkbit«, medtem ko bi bila »2.png« prikazana kot »QV3xwMP11776363582.Darkbit« in tako naprej.

Ko je postopek šifriranja končan, DarkBit ustvari obvestilo o odkupnini z naslovom 'RECOVERY_DARKBIT.txt' in ga postavi na namizje okuženega sistema. Opomba vsebuje navodila, kako lahko žrtve plačajo odkupnino in prejmejo ključ za dešifriranje za odklepanje svojih šifriranih datotek.

Zahteve DarkBit Ransomware

DarkBitovo obvestilo o odkupnini se začne s političnim ali geopolitičnim sporočilom, kar namiguje, da je izsiljevalska programska oprema namenjena velikim subjektom, kot so podjetja, in ne domačim uporabnikom. Sporočilo žrtve opozarja, da so bile njihove datoteke šifrirane z močnim kriptografskim algoritmom AES-256 in da so bili občutljivi podatki zbrani ali izločeni.

Opomba opozarja žrtve, da lahko poskusi uporabe orodij ali storitev za obnovitev tretjih oseb povzročijo trajno izgubo podatkov. Po mnenju napadalcev je edini način za obnovitev šifriranih datotek ta, da od njih kupite ključe ali orodja za dešifriranje. Zahtevani znesek odkupnine je naveden kot 80 bitcoinov (BTC), kar je po trenutnem menjalnem tečaju bitcoina vredno približno 1,7 milijona ameriških dolarjev. Upoštevati je treba, da menjalni tečaji nenehno nihajo in ta pretvorba morda ni več točna.

Velikost odkupnine krepi domnevo, da se DarkBit običajno ne uporablja za ciljanje domačih uporabnikov. Če v 48 urah ne ukrepate, se znesek odkupnine poveča za 30 %, po petih dneh pa bodo zbrani podatki naprodaj.

Priporočeni koraki po napadu groženj, kot je izsiljevalska programska oprema DarkBit

Na podlagi izkušenj z analizo številnih okužb z izsiljevalsko programsko opremo strokovnjaki za kibernetsko varnost na splošno odsvetujejo plačilo kakršnega koli zneska napadalcem. V večini primerov je dešifriranje le redko mogoče brez ključev ali orodij za dešifriranje, ki jih imajo samo napadalci. Nekaj dešifriranja je morda možno v primerih, ko ima izsiljevalska programska oprema resne napake ali je še v razvoju, vendar je to prej izjema kot pravilo. Kot pri vsakem napadu z izsiljevalsko programsko opremo, žrtvam svetujemo, da incident prijavijo organom pregona in uporabijo ugledno rešitev za kibernetsko varnost in zaščito pred zlonamerno programsko opremo, da odstranijo zlonamerno programsko opremo in preprečijo prihodnje napade.

Opomba o odkupnini, ki jo je poslala DarkBit Ransomware, se glasi:

'Dragi kolegi,
Žal vas moramo obvestiti, da smo morali popolnoma vdreti v omrežje Technion in prenesti “vse” podatke na naše varne strežnike.
Torej, ostanite mirni, zadihajte in pomislite na režim apartheida, ki tu in tam povzroča težave.
Plačati morajo za svoje laži in zločine, svoja imena in sramote. Morali bi plačati za okupacijo, vojne zločine proti človečnosti,
ubijanje ljudi (ne le teles Palestincev, ampak tudi duš Izraelcev) in uničenje prihodnosti in vseh sanj, ki smo jih imeli.
Plačati bi morali odpuščanje visoko usposobljenih strokovnjakov.

Kakorkoli, zate (kot posameznika) ni razloga za skrb.
To je naloga administracije, da sledi našim navodilom za obnovitev omrežja.
Lahko pa nas kontaktirate preko TOX messengerja, če želite osebno obnoviti svoje datoteke. (TOX ID: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Naše navodilo za upravo:
Vse vaše datoteke so šifrirane z uporabo vojaškega algoritma AES-256. Torej,

Ne poskušajte obnoviti podatkov, ker šifriranih datotek ni mogoče obnoviti, razen če imate ključ.
Vsak poskus obnovitve podatkov brez ključa (z uporabo aplikacij/podjetij tretjih oseb) povzroči TRAJNO škodo. Vzemi resno.

Morate nam zaupati. To je naš posel (po odpuščanju iz visokotehnoloških podjetij) in ugled je vse, kar imamo.

Vse, kar morate storiti, je, da sledite postopku plačila, nato pa boste prejeli ključ za dešifriranje, ki se uporablja za vračilo vseh vaših datotek in VM-jev.

Način plačila:
Vnesite spodnjo povezavo
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Vnesite spodnji ID in plačajte račun (80 BTC)

Po plačilu prejmete ključ za dešifriranje.

Upoštevajte, da imate samo 48 ur. Po preteku roka se ceni prišteje 30% kazen.
Podatke damo v prodajo po 5 dneh.
Vzemite resno in ne poslušajte verjetnih nasvetov neumne vlade.

Vso srečo!
"DarkBit"