DC Ransomware

Infosec araştırmacıları, vahşi doğada gizlenen DC Ransomware adlı yeni bir kötü amaçlı yazılım tehdidi belirlediler. Tehdidin altında yatan kodun analizi, kötü amaçlı yazılımın Dharma Ransomware ailesini temel alan bir varyant olduğunu ortaya çıkardı. Bu, DC Ransomware'in diğer varyantlara göre herhangi bir önemli değişiklik veya iyileştirmeden yoksun olduğu anlamına gelse de, tehdidin yıkıma neden olma kapasitesini hiçbir şekilde azaltmaz.

Gerçekten de, DC Ransomware kullanıcıların bilgisayarlarına sızmayı başarırsa, orada depolanan dosyaları kilitlemek için kırılmaz bir şifreleme kodu kullanan bir şifreleme işlemi başlatacaktır. Neredeyse en yaygın dosya türlerinin tümü etkilenecektir - belgeler, PDF'ler, ses, video, arşivler, veritabanları, fotoğraflar vb. DC Ransomware'in müdahaleci eylemlerinin bir sonucu olarak, kullanıcılar etkilenen dosyaları bile açma yeteneğini kaybedecektir.

Tipik Dharma davranışını takiben DC Ransomware, şifrelediği dosyaları da işaretler. Bunu orijinal adlarını değiştirerek yapar. İlk olarak, belirli kurbana atanan bir kimlik dizisi dosyanın adına eklenecektir. Ardından tehdit, saldırganlar tarafından kontrol edilen bir e-posta adresi ekler (dc1@imap.cc). Son olarak, '.DC' yeni bir dosya uzantısı olarak yerleştirilecektir. DC Ransomware, ihlal edilen sistemlere iki fidye notu bırakır. Biri 'FILES ŞİFRELİ.txt' adlı bir metin dosyası tarafından taşınırken, diğeri yeni bir açılır pencerede görüntülenecektir.

DC Ransomware'in Talepleri

Metin dosyası aracılığıyla iletilen mesaj son derece kısadır ve önemli ayrıntılardan yoksundur. Yalnızca, tehdidin kurbanlarının, sağlanan iki e-posta adresine mesaj göndererek saldırganlarla iletişim kurması gerektiğini belirtir - 'dc1@imap.cc' veya 'dc2@imap.cc.' Uygun fidye notu açılır pencerede gösterilecektir. İkinci e-postanın yalnızca, kullanıcılar ilk e-postayla iletişim kurduktan sonra 24 saat içinde bir yanıt almazsa kullanılması gerektiğini açıklığa kavuşturur.

Açılır pencere ayrıca, bilgisayar korsanları tarafından talep edilen fidyenin muhtemelen en popüler kripto para birimi olan Bitcoin kullanılarak ödenmesi gerektiğini belirtir. Görünüşe göre fidyenin fiyatı, kullanıcıların siber suçlularla ne kadar hızlı iletişim kurduklarına bağlı olacak.

Nota göre, mağdurlar ayrıca şifresi çözülecek bir dosyayı ücretsiz olarak gönderme şansına sahip olacaklar. Ancak, seçilen dosya önemli bir bilgi içermemeli ve boyutu 1MB'ı geçmemelidir. Fidye talep eden mesajın son bölümü çeşitli uyarılardan oluşuyor.

Açılır pencerede verilen talimatların tam metni şöyledir:

' Tüm dosyalarınız şifrelendi!

Bilgisayarınızdaki bir güvenlik sorunu nedeniyle tüm dosyalarınız şifrelenmiştir. Onları geri yüklemek istiyorsanız, bize e-posta dc1@imap.cc yazın.
Bu kimliği mesajınızın başlığına yazın -
24 saat içinde cevap gelmemesi durumunda bize bu e-postalara yazın:dc2@imap.cc
Bitcoins'de şifre çözme için ödeme yapmanız gerekir. Fiyat, bize ne kadar hızlı yazdığınıza bağlıdır. Ödeme yapıldıktan sonra size tüm dosyalarınızın şifresini çözecek şifre çözme aracını göndereceğiz.

Garanti olarak ücretsiz şifre çözme
Ödeme yapmadan önce bize ücretsiz şifre çözme için 1 dosya gönderebilirsiniz. Dosyaların toplam boyutu 1 Mb'den (arşivlenmemiş) az olmalı ve dosyalar değerli bilgiler içermemelidir. (veritabanları, yedeklemeler, büyük excel sayfaları vb.)

Bitcoin nasıl elde edilir
Bitcoin satın almanın en kolay yolu LocalBitcoins sitesidir. Kaydolmanız, 'Bitcoin satın al' seçeneğini tıklamanız ve ödeme yöntemine ve fiyata göre satıcıyı seçmeniz gerekir.
hxxps://localbitcoins.com/buy_bitcoins
Ayrıca Bitcoin satın alabileceğiniz başka yerler ve yeni başlayanlar rehberini burada bulabilirsiniz:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Dikkat!
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü taraf yazılımları kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir.
Üçüncü şahısların yardımıyla dosyalarınızın şifresinin çözülmesi, fiyatların artmasına (ücretlerini bize eklerler) neden olabilir veya bir dolandırıcılığın kurbanı olabilirsiniz.

DC Ransomware tarafından oluşturulan metin dosyası aşağıdaki mesajı içerir:

tüm verileriniz bize kilitlendi
dönmek istiyor musun?
dc1@imap.cc veya dc2@imap.cc adresine e-posta yazın .'