DARKKUR Ransomware crittografa i sistemi delle vittime

DARKKUR rappresenta una forma di ransomware che opera crittografando i dati e quindi richiedendo un riscatto in cambio del processo di decrittazione. Questo tipo specifico di malware altera i nomi dei file crittografati aggiungendo loro un ID univoco specifico della vittima, l'indirizzo e-mail dei criminali informatici e un'estensione.

L'estensione utilizzata varia a seconda della variante del ransomware e può includere estensioni come ".timecrystal1", ".DARKKUR1" e ".DarkCrypt". Ad esempio, durante i test sulla nostra macchina, la variante con estensione ".timecrystal1" ha trasformato un file denominato "1.jpg" in "1.jpg.[AE3419DE[TimeCrystal@zohomail.eu].timecrystal1".

Dopo aver completato la procedura di crittografia, DARKKUR genera e visualizza le note di riscatto in due formati: una finestra pop-up denominata "info.hta" e un file di testo denominato "ReadMe.txt". Queste note di riscatto trasmettono le stesse informazioni ma utilizzano una formulazione diversa. Informano le vittime che i loro file sono stati crittografati e che l'unico modo per riottenere l'accesso ai dati bloccati è acquistare le chiavi/gli strumenti di decrittazione necessari dagli aggressori.

La dimensione del riscatto non è specificata in nessuno dei due messaggi, ma entrambi sottolineano che deve essere pagato utilizzando la criptovaluta Bitcoin. Prima di effettuare il pagamento, le vittime hanno la possibilità di testare il processo di decrittazione inviando due file crittografati ai criminali informatici, aderendo a determinate specifiche.

Inoltre, le note di riscatto mettono in guardia contro l'alterazione dei file interessati o l'utilizzo di strumenti di decrittazione di terze parti, poiché tali azioni possono portare alla perdita permanente dei dati.

DARKKUR Nota di riscatto promette la decrittazione di due file

Il testo completo della richiesta di riscatto DARKKUR recita quanto segue:

Tutti i tuoi file sono stati crittografati da DARKKUR!

a causa di un problema di sicurezza con il tuo PC. Se vuoi ripristinarli, scrivici all'e-mail TimeCrystal@skiff.com
Scrivi questo ID nel titolo del tuo messaggio:-
In caso di mancata risposta entro 24 ore scrivici a questa e-mail:TimeCrystal@zohomail.eu
Devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi. Dopo il pagamento ti invieremo lo strumento che decritterà tutti i tuoi file.

Decrittazione gratuita come garanzia
Prima di pagare puoi inviarci fino a 2 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 4 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.)

Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore in base al metodo di pagamento e al prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o puoi diventare vittima di una truffa.

Come vengono solitamente distribuiti i payload di ransomware come DARKKUR?

I payload di ransomware come DARKKUR sono in genere distribuiti attraverso vari metodi, con i criminali informatici che impiegano tattiche per massimizzare la loro portata e infettare un gran numero di sistemi. Alcuni metodi di distribuzione comuni includono:

• E-mail di phishing: i criminali informatici spesso inviano e-mail di phishing camuffate da messaggi legittimi da organizzazioni o individui rispettabili. Queste e-mail possono contenere allegati dannosi, come documenti infetti o file eseguibili, oppure possono includere collegamenti dannosi che portano al download del payload del ransomware.
• Download dannosi: il ransomware può essere distribuito tramite download dannosi da siti Web compromessi o dannosi. Ciò può includere aggiornamenti software falsi, software crackato, contenuto piratato o download da fonti non affidabili.
• Kit di exploit: i criminali informatici sfruttano le vulnerabilità del software nelle applicazioni più diffuse, come i browser Web, per distribuire payload di ransomware. Usano exploit kit, che sono strumenti automatizzati che identificano e sfruttano queste vulnerabilità, consentendo al malware di essere scaricato ed eseguito sul sistema della vittima a sua insaputa.
• Attacchi RDP (Remote Desktop Protocol): gli aggressori ransomware possono prendere di mira i sistemi con connessioni RDP (Remote Desktop Protocol) deboli o mal configurate. Ottenendo l'accesso non autorizzato al sistema, possono installare ed eseguire manualmente il payload del ransomware.
• Malvertising: i criminali informatici utilizzano pubblicità dannosa (malvertising) per distribuire ransomware. Iniettano codice dannoso in pubblicità online legittime che, se cliccate, reindirizzano l'utente a un sito Web che ospita il payload del ransomware.
• Download drive-by: in questo metodo, il ransomware viene distribuito attraverso siti Web compromessi. Quando un utente visita un sito Web infetto, il payload del ransomware viene automaticamente scaricato ed eseguito sul proprio sistema a sua insaputa o interazione.

È importante notare che questi sono solo alcuni dei metodi comuni utilizzati per la distribuzione del ransomware. Gli aggressori evolvono costantemente le loro tecniche ed esplorano nuove strade per distribuire ransomware e massimizzare le loro possibilità di infettare i sistemi vulnerabili. Pertanto, è fondamentale prestare attenzione, mantenere aggiornato il software di sicurezza e praticare una buona igiene della sicurezza informatica per ridurre al minimo il rischio di cadere vittima di attacchi ransomware.