DARKKUR Ransomware krypterer offersystemer

DARKKUR representerer en form for løsepengeprogramvare som fungerer ved å kryptere data og deretter kreve løsepenger i bytte for dekrypteringsprosessen. Denne spesifikke typen skadelig programvare endrer filnavnene til krypterte filer ved å tilføye dem en unik ID spesifikk for offeret, e-postadressen til nettkriminelle og en utvidelse.

Utvidelsen som brukes varierer avhengig av varianten av løsepengevaren og kan inkludere utvidelser som ".timecrystal1", ".DARKKUR1" og ".DarkCrypt." For eksempel, under testing på maskinen vår, transformerte varianten med utvidelsen ".timecrystal1" en fil kalt "1.jpg" til "1.jpg.[AE3419DE[TimeCrystal@zohomail.eu].timecrystal1".

Etter å ha fullført krypteringsprosedyren, genererer og viser DARKKUR løsepenger i to formater: et popup-vindu merket "info.hta" og en tekstfil kalt "ReadMe.txt." Disse løsepengene gir den samme informasjonen, men har en annen ordlyd. De informerer ofrene om at filene deres er kryptert og at den eneste måten å få tilbake tilgang til de låste dataene på er ved å kjøpe nødvendige dekrypteringsnøkler/verktøy fra angriperne.

Størrelsen på løsepengene er ikke spesifisert i noen av meldingene, men begge understreker at den må betales med Bitcoin-kryptovalutaen. Før de foretar betalingen, har ofrene muligheten til å teste dekrypteringsprosessen ved å sende to krypterte filer til nettkriminelle, i henhold til visse spesifikasjoner.

Videre advarer løsepengene mot å endre de berørte filene eller bruke tredjeparts dekrypteringsverktøy, da slike handlinger kan føre til permanent tap av data.

DARKKUR løsepengenotat lover dekryptering av to filer

Den fullstendige teksten til DARKKUR løsepengenotatet lyder som følger:

Alle filene dine er kryptert av DARKKUR!

på grunn av et sikkerhetsproblem med PC-en din. Hvis du vil gjenopprette dem, skriv til e-posten TimeCrystal@skiff.com
Skriv denne ID-en i tittelen på meldingen:-
Hvis du ikke får svar innen 24 timer, skriv til denne e-posten: TimeCrystal@zohomail.eu
Du må betale for dekryptering i Bitcoins. Prisen avhenger av hvor raskt du skriver til oss. Etter betaling vil vi sende deg verktøyet som vil dekryptere alle filene dine.

Gratis dekryptering som garanti
Før du betaler kan du sende oss opptil 2 filer for gratis dekryptering. Den totale størrelsen på filene må være mindre enn 4 Mb (ikke arkivert), og filene skal ikke inneholde verdifull informasjon. (databaser, sikkerhetskopier, store excel-ark, etc.)

Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.

Hvordan distribueres ransomware-nyttelaster som DARKKUR vanligvis?

Ransomware-nyttelaster som DARKKUR distribueres vanligvis gjennom ulike metoder, med nettkriminelle som bruker taktikk for å maksimere rekkevidden og infisere et stort antall systemer. Noen vanlige distribusjonsmetoder inkluderer:

• Phishing-e-poster: Nettkriminelle sender ofte ut phishing-e-poster forkledd som legitime meldinger fra anerkjente organisasjoner eller enkeltpersoner. Disse e-postene kan inneholde ondsinnede vedlegg, for eksempel infiserte dokumenter eller kjørbare filer, eller de kan inneholde skadelige lenker som fører til nedlasting av løsepengeprogramvare.
• Ondsinnede nedlastinger: Ransomware kan distribueres gjennom ondsinnede nedlastinger fra kompromitterte eller ondsinnede nettsteder. Dette kan inkludere falske programvareoppdateringer, knust programvare, piratkopiert innhold eller nedlastinger fra upålitelige kilder.
• Utnyttelsessett: Nettkriminelle utnytter programvaresårbarheter i populære applikasjoner, for eksempel nettlesere, for å levere løsepenger. De bruker utnyttelsessett, som er automatiserte verktøy som identifiserer og utnytter disse sårbarhetene, slik at skadevare kan lastes ned og kjøres på offerets system uten deres viten.
• Remote Desktop Protocol (RDP)-angrep: Ransomware-angripere kan målrette mot systemer som har svake eller dårlig konfigurerte RDP-forbindelser (Remote Desktop Protocol). Ved å få uautorisert tilgang til systemet, kan de manuelt installere og utføre løsepengeprogramvare.
• Malvertising: Nettkriminelle bruker ondsinnet reklame (malvertising) for å distribuere løsepengeprogramvare. De injiserer ondsinnet kode i legitime nettannonser, som, når de klikkes på, omdirigerer brukeren til et nettsted som er vert for løsepengevaren.
• Drive-by-nedlastinger: I denne metoden leveres løsepengevare gjennom kompromitterte nettsteder. Når en bruker besøker et infisert nettsted, lastes løsepengevaren automatisk ned og kjøres på systemet deres uten deres interaksjon eller kunnskap.

Det er viktig å merke seg at dette bare er noen av de vanlige metodene som brukes for ransomware-distribusjon. Angripere utvikler stadig teknikkene sine og utforsker nye veier for å distribuere løsepengevare og maksimere sjansene for å infisere sårbare systemer. Derfor er det avgjørende å utvise forsiktighet, opprettholde oppdatert sikkerhetsprogramvare og praktisere god cybersikkerhetshygiene for å minimere risikoen for å bli offer for løsepengevareangrep.