DARKKUR Ransomware szyfruje systemy ofiar

DARKKUR reprezentuje formę oprogramowania ransomware, które działa poprzez szyfrowanie danych, a następnie żądanie okupu w zamian za proces odszyfrowywania. Ten specyficzny typ złośliwego oprogramowania zmienia nazwy zaszyfrowanych plików, dodając do nich unikalny identyfikator charakterystyczny dla ofiary, adres e-mail cyberprzestępców oraz rozszerzenie.

Wykorzystywane rozszerzenie różni się w zależności od wariantu ransomware i może zawierać rozszerzenia takie jak „.timecrystal1”, „.DARKKUR1” i „.DarkCrypt”. Na przykład podczas testów na naszej maszynie wariant z rozszerzeniem „.timecrystal1” przekształcił plik o nazwie „1.jpg” w „1.jpg.[AE3419DE[TimeCrystal@zohomail.eu].timecrystal1”.

Po zakończeniu procedury szyfrowania DARKKUR generuje i wyświetla żądanie okupu w dwóch formatach: w oknie pop-up oznaczonym jako "info.hta" oraz w pliku tekstowym o nazwie "ReadMe.txt". Te żądania okupu przekazują te same informacje, ale używają innych sformułowań. Informują ofiary, że ich pliki zostały zaszyfrowane i że jedynym sposobem na odzyskanie dostępu do zablokowanych danych jest zakup niezbędnych kluczy/narzędzi deszyfrujących od atakujących.

Wysokość okupu nie jest określona w żadnej wiadomości, ale obie podkreślają, że musi on zostać zapłacony przy użyciu kryptowaluty Bitcoin. Przed dokonaniem płatności ofiary mają możliwość przetestowania procesu deszyfrowania poprzez wysłanie cyberprzestępcom dwóch zaszyfrowanych plików, zgodnie z określonymi specyfikacjami.

Ponadto żądanie okupu ostrzega przed modyfikowaniem plików, których dotyczy problem, lub stosowaniem narzędzi deszyfrujących stron trzecich, ponieważ takie działania mogą prowadzić do trwałej utraty danych.

Żądanie okupu DARKKUR obiecuje odszyfrowanie dwóch plików

Pełny tekst żądania okupu DARKKUR brzmi następująco:

Wszystkie twoje pliki zostały zaszyfrowane przez DARKKUR!

z powodu problemu z bezpieczeństwem komputera. Jeśli chcesz je przywrócić, napisz do nas na e-mail TimeCrystal@skiff.com
Wpisz ten identyfikator w tytule wiadomości:-
W przypadku braku odpowiedzi w ciągu 24 godzin napisz do nas na ten e-mail: TimeCrystal@zohomail.eu
Za odszyfrowanie trzeba zapłacić w bitcoinach. Cena zależy od tego, jak szybko do nas napiszesz. Po dokonaniu płatności wyślemy Ci narzędzie, które odszyfruje wszystkie Twoje pliki.

Bezpłatne odszyfrowywanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam do 2 plików do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 4 MB (niearchiwizowane), a pliki nie powinny zawierać wartościowych informacji. (bazy danych, kopie zapasowe, duże arkusze Excela itp.)

Jak zdobyć Bitcoiny
Najprostszym sposobem na zakup bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do kupowania Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie twoich plików z pomocą osób trzecich może spowodować wzrost ceny (doliczą oni swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

W jaki sposób zazwyczaj dystrybuowane są ładunki ransomware, takie jak DARKKUR?

Ładunki oprogramowania ransomware, takie jak DARKKUR, są zwykle dystrybuowane różnymi metodami, a cyberprzestępcy stosują taktyki, aby zmaksymalizować swój zasięg i zainfekować dużą liczbę systemów. Niektóre popularne metody dystrybucji obejmują:

• E-maile phishingowe: Cyberprzestępcy często wysyłają e-maile phishingowe podszywające się pod legalne wiadomości od renomowanych organizacji lub osób. Te wiadomości e-mail mogą zawierać złośliwe załączniki, takie jak zainfekowane dokumenty lub pliki wykonywalne, lub mogą zawierać złośliwe łącza prowadzące do pobrania ładunku ransomware.
• Złośliwe pliki do pobrania: Ransomware może być dystrybuowane poprzez złośliwe pliki do pobrania z zainfekowanych lub złośliwych stron internetowych. Może to obejmować fałszywe aktualizacje oprogramowania, złamane oprogramowanie, pirackie treści lub pliki do pobrania z niewiarygodnych źródeł.
• Zestawy exploitów: Cyberprzestępcy wykorzystują luki w zabezpieczeniach popularnych aplikacji, takich jak przeglądarki internetowe, do dostarczania ładunków ransomware. Używają zestawów exploitów, które są zautomatyzowanymi narzędziami, które identyfikują i wykorzystują te luki, umożliwiając pobranie i uruchomienie złośliwego oprogramowania w systemie ofiary bez jej wiedzy.
• Ataki Remote Desktop Protocol (RDP): atakujący ransomware mogą atakować systemy, które mają słabe lub źle skonfigurowane połączenia Remote Desktop Protocol (RDP). Uzyskując nieautoryzowany dostęp do systemu, mogą ręcznie zainstalować i uruchomić ładunek ransomware.
• Malvertising: Cyberprzestępcy wykorzystują złośliwe reklamy (malvertising) do dystrybucji ransomware. Wstrzykują złośliwy kod do legalnych reklam internetowych, które po kliknięciu przekierowują użytkownika do strony internetowej zawierającej ładunek ransomware.
• Drive-by Downloads: w tej metodzie oprogramowanie ransomware jest dostarczane przez zainfekowane strony internetowe. Gdy użytkownik odwiedza zainfekowaną stronę internetową, ładunek ransomware jest automatycznie pobierany i uruchamiany w jego systemie bez jego interakcji lub wiedzy.

Należy zauważyć, że to tylko niektóre z typowych metod dystrybucji ransomware. Atakujący stale rozwijają swoje techniki i odkrywają nowe sposoby dystrybucji oprogramowania ransomware i maksymalizacji szans na zainfekowanie wrażliwych systemów. Dlatego tak ważne jest zachowanie ostrożności, aktualizowanie oprogramowania zabezpieczającego i przestrzeganie zasad higieny cyberbezpieczeństwa, aby zminimalizować ryzyko padnięcia ofiarą ataków ransomware.