DarkBit Ransomware

DarkBit Ransomware hoạt động bằng cách mã hóa dữ liệu và yêu cầu tiền chuộc để giải mã. Trong quá trình mã hóa, DarkBit thay đổi tên tệp của các tệp bị ảnh hưởng bằng cách đổi tên chúng bằng một chuỗi ký tự ngẫu nhiên, theo sau là phần mở rộng '.Darkbit'. Ví dụ: một tệp có tên ban đầu là '1.jpg' sẽ xuất hiện dưới dạng '5oCWq6Fp1676362581.Darkbit', trong khi '2.png' sẽ xuất hiện dưới dạng 'QV3xwMP11776363582.Darkbit', v.v.

Khi quá trình mã hóa hoàn tất, DarkBit sẽ tạo một ghi chú đòi tiền chuộc có tiêu đề 'RECOVERY_DARKBIT.txt' và đặt nó trên màn hình của hệ thống bị nhiễm. Ghi chú chứa hướng dẫn về cách nạn nhân có thể trả tiền chuộc và nhận khóa giải mã để mở khóa các tệp được mã hóa của họ.

Yêu cầu của DarkBit Ransomware

Ghi chú đòi tiền chuộc của DarkBit bắt đầu bằng một thông điệp chính trị hoặc địa chính trị, ngụ ý rằng phần mềm tống tiền nhắm mục tiêu đến các thực thể lớn, chẳng hạn như các công ty, thay vì người dùng gia đình. Thông báo cảnh báo nạn nhân rằng các tệp của họ đã được mã hóa bằng thuật toán mã hóa mạnh AES-256 và dữ liệu nhạy cảm đã được thu thập hoặc bị đánh cắp.

Ghi chú cảnh báo các nạn nhân rằng việc cố gắng sử dụng các công cụ hoặc dịch vụ khôi phục của bên thứ ba có thể dẫn đến mất dữ liệu vĩnh viễn. Theo những kẻ tấn công, cách duy nhất để khôi phục các tệp được mã hóa là mua các khóa hoặc công cụ giải mã từ chúng. Số tiền chuộc yêu cầu được nêu là 80 Bitcoin (BTC), theo tỷ giá hối đoái Bitcoin hiện tại trị giá khoảng 1,7 triệu đô la Mỹ. Cần lưu ý rằng tỷ giá hối đoái biến động liên tục và việc chuyển đổi này có thể không còn chính xác.

Quy mô của khoản tiền chuộc củng cố giả định rằng DarkBit thường không được sử dụng để nhắm mục tiêu người dùng gia đình. Nếu không có hành động nào được thực hiện trong vòng 48 giờ, số tiền chuộc sẽ tăng 30% và sau năm ngày, dữ liệu thu thập được sẽ được rao bán.

Các bước được đề xuất sau một cuộc tấn công từ các mối đe dọa như phần mềm tống tiền DarkBit

Dựa trên kinh nghiệm phân tích nhiều trường hợp lây nhiễm ransomware, các chuyên gia an ninh mạng thường khuyên không nên trả bất kỳ khoản tiền nào cho những kẻ tấn công. Trong hầu hết các trường hợp, hiếm khi có thể giải mã được nếu không có khóa hoặc công cụ giải mã mà chỉ những kẻ tấn công mới sở hữu. Một số giải mã có thể thực hiện được trong trường hợp phần mềm tống tiền bị lỗi nghiêm trọng hoặc vẫn đang được phát triển, nhưng đây là ngoại lệ chứ không phải quy tắc. Như với bất kỳ cuộc tấn công ransomware nào, nạn nhân nên báo cáo vụ việc với cơ quan thực thi pháp luật và sử dụng giải pháp chống phần mềm độc hại và an ninh mạng có uy tín để xóa phần mềm độc hại và ngăn chặn các cuộc tấn công trong tương lai.

Thông báo đòi tiền chuộc do DarkBit Ransomware gửi có nội dung:

'Các đồng nghiệp thân mến,
Chúng tôi rất tiếc phải thông báo với bạn rằng chúng tôi đã phải hack hoàn toàn mạng Technion và chuyển “tất cả” dữ liệu sang các máy chủ bảo mật của chúng tôi.
Vì vậy, hãy bình tĩnh, hít một hơi và nghĩ về một chế độ phân biệt chủng tộc gây rắc rối đây đó.
Họ phải trả giá cho những lời nói dối và tội ác, tên tuổi và sự xấu hổ của họ. Họ phải trả giá cho sự chiếm đóng, tội ác chiến tranh chống lại loài người,
giết người (không chỉ thể xác của người Palestine, mà cả linh hồn của người Israel) và phá hủy tương lai và tất cả những giấc mơ mà chúng ta từng có.
Họ nên trả tiền cho việc sa thải các chuyên gia có tay nghề cao.

Dù sao, không có gì để bạn (với tư cách cá nhân) phải lo lắng.
Đó là nhiệm vụ của chính quyền để làm theo hướng dẫn của chúng tôi để khôi phục mạng.
Tuy nhiên, bạn có thể liên hệ với chúng tôi qua TOX messenger nếu bạn muốn tự mình khôi phục các tệp của mình. (ID TOX: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)

Hướng dẫn của chúng tôi cho chính quyền:
Tất cả các tệp của bạn được mã hóa bằng thuật toán cấp độ quân sự AES-256. Vì thế,

Đừng cố khôi phục dữ liệu vì các tệp được mã hóa không thể khôi phục được trừ khi bạn có khóa.
Bất kỳ nỗ lực khôi phục dữ liệu nào mà không có khóa (sử dụng ứng dụng/công ty của bên thứ ba) đều gây ra thiệt hại VĨNH VIỄN. Hãy nghiêm túc.

Bạn phải tin tưởng chúng tôi. Đây là công việc kinh doanh của chúng tôi (sau khi bị sa thải khỏi các công ty công nghệ cao) và danh tiếng là tất cả những gì chúng tôi có.

Tất cả những gì bạn cần làm là làm theo quy trình thanh toán và sau đó bạn sẽ nhận được khóa giải mã sử dụng để trả về tất cả các tệp và máy ảo của mình.

Phương thức thanh toán:
Nhập liên kết dưới đây
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/support
Nhập ID bên dưới và thanh toán hóa đơn (80 BTC)

Bạn sẽ nhận được khóa giải mã sau khi thanh toán.

Lưu ý rằng bạn chỉ có 48 giờ. Sau thời hạn, một hình phạt 30% sẽ được thêm vào giá.
Chúng tôi đưa dữ liệu để bán sau 5 ngày.
Hãy nghiêm túc và đừng nghe những lời khuyên có thể xảy ra của một chính phủ ngu ngốc.

Chúc may mắn!
“Bit tối”