Το DARKKUR Ransomware κρυπτογραφεί συστήματα θυμάτων

Το DARKKUR αντιπροσωπεύει μια μορφή ransomware που λειτουργεί κρυπτογραφώντας δεδομένα και στη συνέχεια απαιτώντας λύτρα με αντάλλαγμα τη διαδικασία αποκρυπτογράφησης. Αυτός ο συγκεκριμένος τύπος κακόβουλου λογισμικού αλλάζει τα ονόματα αρχείων των κρυπτογραφημένων αρχείων προσαρτώντας τα με ένα μοναδικό αναγνωριστικό συγκεκριμένο για το θύμα, τη διεύθυνση email των εγκληματιών του κυβερνοχώρου και μια επέκταση.

Η επέκταση που χρησιμοποιείται ποικίλλει ανάλογα με την παραλλαγή του ransomware και μπορεί να περιλαμβάνει επεκτάσεις όπως ".timecrystal1", ".DARKKUR1" και ".DarkCrypt". Για παράδειγμα, κατά τη διάρκεια της δοκιμής στον υπολογιστή μας, η παραλλαγή με την επέκταση ".timecrystal1" μεταμόρφωσε ένα αρχείο με το όνομα "1.jpg" σε "1.jpg.[AE3419DE[TimeCrystal@zohomail.eu].timecrystal1".

Με την ολοκλήρωση της διαδικασίας κρυπτογράφησης, το DARKKUR δημιουργεί και εμφανίζει σημειώσεις λύτρων σε δύο μορφές: ένα αναδυόμενο παράθυρο με την ένδειξη "info.hta" και ένα αρχείο κειμένου με το όνομα "ReadMe.txt". Αυτά τα σημειώματα λύτρων μεταφέρουν τις ίδιες πληροφορίες, αλλά χρησιμοποιούν διαφορετική διατύπωση. Ενημερώνουν τα θύματα ότι τα αρχεία τους έχουν κρυπτογραφηθεί και ότι ο μόνος τρόπος για να αποκτήσουν ξανά πρόσβαση στα κλειδωμένα δεδομένα είναι η αγορά των απαραίτητων κλειδιών/εργαλείων αποκρυπτογράφησης από τους εισβολείς.

Το μέγεθος των λύτρων δεν προσδιορίζεται σε κανένα από τα δύο μηνύματα, αλλά και τα δύο τονίζουν ότι πρέπει να πληρωθεί χρησιμοποιώντας το κρυπτονόμισμα Bitcoin. Πριν πραγματοποιήσουν την πληρωμή, τα θύματα έχουν τη δυνατότητα να δοκιμάσουν τη διαδικασία αποκρυπτογράφησης στέλνοντας δύο κρυπτογραφημένα αρχεία στους κυβερνοεγκληματίες, τηρώντας ορισμένες προδιαγραφές.

Επιπλέον, το λύτρο σημειώνει προσοχή κατά της τροποποίησης των επηρεαζόμενων αρχείων ή της χρήσης εργαλείων αποκρυπτογράφησης τρίτων, καθώς τέτοιες ενέργειες μπορεί να οδηγήσουν σε μόνιμη απώλεια δεδομένων.

Το DARKKUR Ransom Note υπόσχεται αποκρυπτογράφηση δύο αρχείων

Το πλήρες κείμενο του σημειώματος λύτρων DARKKUR έχει ως εξής:

Όλα τα αρχεία σας έχουν κρυπτογραφηθεί από το DARKKUR!

λόγω προβλήματος ασφαλείας με τον υπολογιστή σας. Αν θέλετε να τα επαναφέρετε, γράψτε μας στο e-mail TimeCrystal@skiff.com
Γράψτε αυτό το αναγνωριστικό στον τίτλο του μηνύματός σας:-
Σε περίπτωση μη απάντησης σε 24 ώρες γράψτε μας σε αυτό το e-mail:TimeCrystal@zohomail.eu
Πρέπει να πληρώσετε για την αποκρυπτογράφηση σε Bitcoin. Η τιμή εξαρτάται από το πόσο γρήγορα θα μας γράψετε. Μετά την πληρωμή θα σας στείλουμε το εργαλείο που θα αποκρυπτογραφήσει όλα τα αρχεία σας.

Δωρεάν αποκρυπτογράφηση ως εγγύηση
Πριν πληρώσετε μπορείτε να μας στείλετε έως και 2 αρχεία για δωρεάν αποκρυπτογράφηση. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 4 Mb (μη αρχειοθετημένο) και τα αρχεία δεν πρέπει να περιέχουν πολύτιμες πληροφορίες. (βάσεις δεδομένων, αντίγραφα ασφαλείας, μεγάλα φύλλα excel κ.λπ.)

Πώς να αποκτήσετε Bitcoins
Ο ευκολότερος τρόπος για να αγοράσετε bitcoin είναι ο ιστότοπος LocalBitcoins. Πρέπει να εγγραφείτε, να κάνετε κλικ στο «Αγοράστε bitcoins» και να επιλέξετε τον πωλητή κατά τρόπο πληρωμής και τιμή.
hxxps://localbitcoins.com/buy_bitcoins
Επίσης, μπορείτε να βρείτε άλλα μέρη για να αγοράσετε Bitcoins και οδηγό για αρχάριους εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Προσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.

Πώς διανέμονται συνήθως τα ωφέλιμα φορτία Ransomware όπως το DARKKUR;

Τα ωφέλιμα φορτία ransomware όπως το DARKKUR διανέμονται συνήθως με διάφορες μεθόδους, με τους εγκληματίες του κυβερνοχώρου να χρησιμοποιούν τακτικές για να μεγιστοποιήσουν την απήχησή τους και να μολύνουν μεγάλο αριθμό συστημάτων. Μερικές κοινές μέθοδοι διανομής περιλαμβάνουν:

• Emails ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν μηνύματα ηλεκτρονικού ψαρέματος μεταμφιεσμένα ως νόμιμα μηνύματα από αξιόπιστους οργανισμούς ή άτομα. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να περιέχουν κακόβουλα συνημμένα, όπως μολυσμένα έγγραφα ή εκτελέσιμα αρχεία ή μπορεί να περιλαμβάνουν κακόβουλους συνδέσμους που οδηγούν στη λήψη του ωφέλιμου φορτίου ransomware.
• Κακόβουλες λήψεις: Το Ransomware μπορεί να διανεμηθεί μέσω κακόβουλων λήψεων από παραβιασμένους ή κακόβουλους ιστότοπους. Αυτό μπορεί να περιλαμβάνει πλαστές ενημερώσεις λογισμικού, σπασμένο λογισμικό, πειρατικό περιεχόμενο ή λήψεις από αναξιόπιστες πηγές.
• Κιτ εκμετάλλευσης: Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται ευπάθειες λογισμικού σε δημοφιλείς εφαρμογές, όπως προγράμματα περιήγησης ιστού, για να παρέχουν ωφέλιμα φορτία ransomware. Χρησιμοποιούν κιτ εκμετάλλευσης, τα οποία είναι αυτοματοποιημένα εργαλεία που εντοπίζουν και εκμεταλλεύονται αυτά τα τρωτά σημεία, επιτρέποντας τη λήψη και την εκτέλεση του κακόβουλου λογισμικού στο σύστημα του θύματος χωρίς να το γνωρίζουν.
• Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς ransomware ενδέχεται να στοχεύουν συστήματα που έχουν αδύναμες ή κακώς διαμορφωμένες συνδέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Αποκτώντας μη εξουσιοδοτημένη πρόσβαση στο σύστημα, μπορούν να εγκαταστήσουν και να εκτελέσουν με μη αυτόματο τρόπο το ωφέλιμο φορτίο ransomware.
• Malvertising: Οι κυβερνοεγκληματίες χρησιμοποιούν κακόβουλες διαφημίσεις (malvertising) για τη διανομή ransomware. Εισάγουν κακόβουλο κώδικα σε νόμιμες διαδικτυακές διαφημίσεις, οι οποίες, όταν κάνουν κλικ, ανακατευθύνουν τον χρήστη σε έναν ιστότοπο που φιλοξενεί το ωφέλιμο φορτίο ransomware.
• Λήψεις Drive-by: Σε αυτήν τη μέθοδο, το ransomware παραδίδεται μέσω ιστοτόπων που έχουν παραβιαστεί. Όταν ένας χρήστης επισκέπτεται έναν μολυσμένο ιστότοπο, το ωφέλιμο φορτίο ransomware κατεβάζεται αυτόματα και εκτελείται στο σύστημά του χωρίς την αλληλεπίδραση ή τη γνώση του.

Είναι σημαντικό να σημειωθεί ότι αυτές είναι μερικές μόνο από τις κοινές μεθόδους που χρησιμοποιούνται για τη διανομή ransomware. Οι εισβολείς εξελίσσουν συνεχώς τις τεχνικές τους και εξερευνούν νέους δρόμους για να διανείμουν ransomware και να μεγιστοποιήσουν τις πιθανότητές τους να μολύνουν ευάλωτα συστήματα. Επομένως, είναι σημαντικό να είστε προσεκτικοί, να διατηρείτε ενημερωμένο λογισμικό ασφαλείας και να εφαρμόζετε καλή υγιεινή στον κυβερνοχώρο για να ελαχιστοποιήσετε τον κίνδυνο να πέσετε θύματα επιθέσεων ransomware.