DarkBit Ransomware

Програма-вимагач DarkBit працює шляхом шифрування даних і вимагає викуп за розшифровку. Під час процесу шифрування DarkBit змінює назви уражених файлів, перейменовуючи їх випадковим рядком символів із розширенням «.Darkbit». Наприклад, файл із початковою назвою «1.jpg» відображатиметься як «5oCWq6Fp1676362581.Darkbit», а «2.png» — як «QV3xwMP11776363582.Darkbit» і так далі.

Після завершення процесу шифрування DarkBit створює повідомлення про викуп під назвою «RECOVERY_DARKBIT.txt» і розміщує його на робочому столі зараженої системи. Записка містить інструкції щодо того, як жертви можуть заплатити викуп і отримати ключ розшифровки, щоб розблокувати свої зашифровані файли.

Вимоги програми-вимагача DarkBit

Записка DarkBit про викуп починається з політичного чи геополітичного повідомлення, маючи на увазі, що програма-вимагач націлена на великі організації, наприклад компанії, а не на домашніх користувачів. Повідомлення попереджає жертв про те, що їх файли були зашифровані за допомогою сильного криптографічного алгоритму AES-256, а конфіденційні дані були зібрані або викрадені.

У примітці жертви попереджають, що спроба використання сторонніх інструментів або служб відновлення може призвести до остаточної втрати даних. Єдиний спосіб відновити зашифровані файли, на думку зловмисників, це придбати у них ключі або інструменти дешифрування. Вимагається сума викупу в 80 біткойнів (BTC), що за поточним курсом біткойна коштує близько 1,7 мільйона доларів США. Слід зазначити, що обмінні курси постійно коливаються, і цей перерахунок може бути неточним.

Розмір викупу підтверджує припущення, що DarkBit зазвичай не використовується для націлювання на домашніх користувачів. Якщо протягом 48 годин не вжити заходів, сума викупу збільшується на 30%, а через п'ять днів зібрані дані будуть виставлені на продаж.

Рекомендовані дії після атаки загроз, як-от DarkBit Ransomware

На основі свого досвіду аналізу численних заражень програмами-вимагачами фахівці з кібербезпеки зазвичай радять не платити зловмисникам будь-які суми грошей. У більшості випадків дешифрування рідко можливо без ключів або інструментів дешифрування, якими володіють лише зловмисники. Дешифрування може бути можливим у випадках, коли програмне забезпечення-вимагач або має серйозні недоліки, або все ще розробляється, але це радше виняток, ніж правило. Як і під час будь-якої атаки програм-вимагачів, жертвам рекомендується повідомити про інцидент правоохоронні органи та скористатися надійним рішенням для кібербезпеки та захисту від шкідливих програм, щоб видалити зловмисне програмне забезпечення та запобігти майбутнім атакам.

Записка про викуп, яку опублікував DarkBit Ransomware, говорить:

'Дорогі колеги,
Нам прикро повідомляти вам, що нам довелося повністю зламати мережу Technion і перенести «всі» дані на наші безпечні сервери.
Отже, зберігайте спокій, переведіть подих і подумайте про режим апартеїду, який створює неприємності тут і там.
Вони повинні платити за свою брехню і злочини, свої імена і ганьбу. Вони повинні платити за окупацію, військові злочини проти людства,
вбиваючи людей (не лише тіла палестинців, а й душі ізраїльтян) і руйнуючи майбутнє та всі наші мрії.
Вони повинні платити за звільнення висококваліфікованих спеціалістів.

У будь-якому випадку, вам (як людині) нема про що хвилюватися.
Це завдання адміністрації – виконати нашу інструкцію щодо відновлення мережі.
Але ви можете зв’язатися з нами через месенджер TOX, якщо хочете відновити свої файли особисто. (TOX ID: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Наша інструкція для адміністрації:
Усі ваші файли зашифровано за допомогою військового алгоритму AES-256. Так,

Не намагайтеся відновити дані, тому що зашифровані файли неможливо відновити, якщо у вас немає ключа.
Будь-яка спроба відновити дані без ключа (за допомогою сторонніх програм/компаній) завдає ПОСТІЙНОЇ шкоди. Поставтеся до цього серйозно.

Ви повинні довіряти нам. Це наш бізнес (після звільнення з високотехнологічних компаній), і репутація — це все, що ми маємо.

Все, що вам потрібно зробити, це виконати процедуру оплати, після чого ви отримаєте ключ розшифровки, який використовується для повернення всіх ваших файлів і віртуальних машин.

Спосіб оплати:
Введіть посилання нижче
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Введіть ID нижче та сплатіть рахунок (80 BTC)

Ключ дешифрування ви отримаєте після оплати.

Зверніть увагу, що у вас є лише 48 годин. Після закінчення терміну до ціни буде додано штраф у розмірі 30%.
Виставляємо дані на продаж через 5 днів.
Поставтеся до цього серйозно і не слухайте ймовірних порад дурного уряду.

Удачі!
«DarkBit»