DARKKUR Ransomware užšifruoja aukų sistemas

DARKKUR yra išpirkos reikalaujančios programinės įrangos forma, kuri veikia šifruodama duomenis ir reikalaudama išpirkos mainais už iššifravimo procesą. Šis specifinis kenkėjiškų programų tipas pakeičia užšifruotų failų pavadinimus, pridedant prie jų unikalų aukai būdingą ID, kibernetinių nusikaltėlių el. pašto adresą ir plėtinį.

Naudojamas plėtinys skiriasi priklausomai nuo išpirkos reikalaujančios programos varianto ir gali apimti tokius plėtinius kaip „.timecrystal1“, „.DARKKUR1“ ir „.DarkCrypt“. Pavyzdžiui, bandant mūsų mašinoje variantas su plėtiniu „.timecrystal1“ pavertė failą pavadinimu „1.jpg“ į „1.jpg.[AE3419DE[TimeCrystal@zohomail.eu].timecrystal1“.

Užbaigus šifravimo procedūrą, DARKKUR generuoja ir rodo išpirkos kupiūras dviem formatais: iššokančiame lange „info.hta“ ir tekstiniame faile „ReadMe.txt“. Šiuose išpirkos kuponuose pateikiama ta pati informacija, bet vartojamos skirtingos formuluotės. Jie informuoja aukas, kad jų failai buvo užšifruoti ir vienintelis būdas atgauti prieigą prie užrakintų duomenų yra įsigyti iš užpuolikų reikiamus iššifravimo raktus/įrankius.

Išpirkos dydis nenurodomas nei vienoje žinutėje, tačiau abu pabrėžia, kad ją reikia sumokėti naudojant Bitcoin kriptovaliutą. Prieš atlikdami mokėjimą, aukos turi galimybę išbandyti iššifravimo procesą, nusiųsdamos du užšifruotus failus kibernetiniams nusikaltėliams, laikantis tam tikrų specifikacijų.

Be to, išpirkoje nurodoma, kad reikia nekeisti paveiktų failų arba naudoti trečiųjų šalių iššifravimo įrankius, nes tokie veiksmai gali sukelti nuolatinį duomenų praradimą.

DARKKUR Ransom Note žada iššifruoti du failus

Visas DARKKUR išpirkos rašto tekstas skamba taip:

Visi jūsų failai buvo užšifruoti DARKKUR!

dėl kompiuterio saugumo problemos. Jei norite juos atkurti, rašykite mums el.paštu TimeCrystal@skiff.com
Įrašykite šį ID savo pranešimo pavadinime: -
Jei per 24 valandas neatsakysite, parašykite mums šiuo el. paštu: TimeCrystal@zohomail.eu
Turite mokėti už iššifravimą Bitcoinais. Kaina priklauso nuo to, kaip greitai mums rašysite. Po apmokėjimo atsiųsime įrankį, kuris iššifruos visus failus.

Nemokamas iššifravimas kaip garantija
Prieš mokėdami galite atsiųsti mums iki 2 failų nemokamai iššifruoti. Bendras failų dydis turi būti mažesnis nei 4 Mb (nearchyvuoti), o failuose neturi būti vertingos informacijos. (duomenų bazės, atsarginės kopijos, dideli „Excel“ lapai ir kt.)

Kaip gauti Bitcoins
Lengviausias būdas nusipirkti bitkoinų yra „LocalBitcoins“ svetainė. Turite užsiregistruoti, paspausti „Pirkti bitkoinus“ ir pasirinkti pardavėją pagal mokėjimo būdą ir kainą.
hxxps://localbitcoins.com/buy_bitcoins
Čia taip pat galite rasti kitų vietų, kur galite nusipirkti Bitcoins, ir pradedančiųjų vadovą:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Dėmesio!
Nepervardykite užšifruotų failų.
Nebandykite iššifruoti savo duomenų naudodami trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinį duomenų praradimą.
Jūsų failų iššifravimas su trečiųjų šalių pagalba gali padidinti kainą (jie prideda savo mokestį prie mūsų) arba galite tapti sukčiavimo auka.

Kaip paprastai platinami „Ransomware“ naudingi kroviniai, tokie kaip DARKKUR?

Išpirkos reikalaujančios programos, tokios kaip DARKKUR, paprastai platinamos įvairiais metodais, kibernetiniams nusikaltėliams taikant taktiką, kad maksimaliai padidintų savo pasiekiamumą ir užkrėstų daugybę sistemų. Kai kurie įprasti platinimo būdai:

• Sukčiavimo el. laiškai: kibernetiniai nusikaltėliai dažnai siunčia sukčiavimo el. laiškus, paslėptus kaip teisėti pranešimai iš patikimų organizacijų ar asmenų. Šiuose el. laiškuose gali būti kenkėjiškų priedų, pvz., užkrėstų dokumentų ar vykdomųjų failų, arba juose gali būti kenkėjiškų nuorodų, kurios veda į išpirkos reikalaujančios programos naudingojo krovinio atsisiuntimą.
• Kenkėjiški atsisiuntimai: Ransomware gali būti platinamas per kenkėjiškus atsisiuntimus iš pažeistų ar kenkėjiškų svetainių. Tai gali būti netikros programinės įrangos atnaujinimai, nulaužta programinė įranga, piratinis turinys arba atsisiuntimai iš nepatikimų šaltinių.
• Išnaudojimo rinkiniai: Kibernetiniai nusikaltėliai naudojasi populiarių programų, pvz., žiniatinklio naršyklių, programinės įrangos pažeidžiamumu, kad pristatytų išpirkos reikalaujančias programas. Jie naudoja išnaudojimo rinkinius, kurie yra automatiniai įrankiai, identifikuojantys ir išnaudojantys šiuos pažeidžiamumus, leidžiantys atsisiųsti kenkėjišką programą ir paleisti ją aukos sistemoje be jų žinios.
• Nuotolinio darbalaukio protokolo (RDP) atakos: Ransomware užpuolikai gali nusitaikyti į sistemas, kuriose yra silpnos arba prastai sukonfigūruotos nuotolinio darbalaukio protokolo (RDP) ryšiai. Gavę neteisėtą prieigą prie sistemos, jie gali rankiniu būdu įdiegti ir vykdyti išpirkos reikalaujančią programinę įrangą.
• Kenkėjiška reklama: kibernetiniai nusikaltėliai naudoja kenkėjišką reklamą (kenksmingą reklamą), kad platintų išpirkos reikalaujančias programas. Jie įveda kenkėjišką kodą į teisėtus internetinius skelbimus, kuriuos spustelėjus vartotojas nukreipiamas į svetainę, kurioje yra išpirkos reikalaujančios programos.
• „Drive-by“ atsisiuntimai: naudojant šį metodą, išpirkos reikalaujančios programos pristatomos per pažeistas svetaines. Kai vartotojas apsilanko užkrėstoje svetainėje, išpirkos reikalaujanti programa automatiškai atsisiunčiama ir vykdoma jų sistemoje be jo sąveikos ar žinios.

Svarbu pažymėti, kad tai tik keletas dažniausiai naudojamų išpirkos reikalaujančių programų platinimo būdų. Užpuolikai nuolat tobulina savo metodus ir ieško naujų būdų, kaip platinti išpirkos reikalaujančią programinę įrangą ir maksimaliai padidinti savo tikimybę užkrėsti pažeidžiamas sistemas. Todėl labai svarbu būti atsargiems, atnaujinti saugos programinę įrangą ir laikytis geros kibernetinio saugumo higienos, kad būtų sumažinta rizika tapti išpirkos reikalaujančių programų atakomis.