Что такое программа-вымогатель DarkBit?
При исследовании новых штаммов вредоносного ПО наша команда наткнулась на DarkBit — программу-вымогатель, которая шифрует данные и требует выкуп за расшифровку. После запуска образца DarkBit он немедленно начинает шифровать файлы и переименовывать их со случайной строкой символов и расширением «.Darkbit».
Как только процесс шифрования был завершен, DarkBit создал записку с требованием выкупа под названием «RECOVERY_DARKBIT.txt» и оставил ее на рабочем столе. В отличие от других заметок о выкупе, сообщение DarkBit началось с политической тирады, из чего следует, что программа-вымогатель предназначалась для крупных организаций, таких как компании, а не для домашних пользователей.
Согласно записке о выкупе, файлы были зашифрованы с использованием криптографического алгоритма AES-256, а конфиденциальные данные были похищены. Примечание предостерегает жертв от использования сторонних инструментов или служб восстановления, которые могут привести к безвозвратной потере данных.
Злоумышленники требуют выкуп в размере 80 BTC (криптовалюта биткойн) за ключи/инструменты дешифрования, что эквивалентно примерно 1,7 миллиона долларов США (в зависимости от обменного курса). Сумма выкупа свидетельствует о том, что программа-вымогатель обычно не используется против домашних пользователей. В примечании также указано, что если в течение 48 часов не будет предпринято никаких действий, сумма выкупа увеличится на 30%, а через пять дней злоумышленники выставят украденные данные на продажу.
Записка о выкупе DarkBit становится политической
Полный текст файла «RECOVERY_DARKBIT.txt», содержащего примечание о выкупе, выглядит следующим образом:
Уважаемые коллеги,
С сожалением сообщаем вам, что нам пришлось полностью взломать сеть Технион и перенести «все» данные на наши защищенные серверы.
Итак, сохраняйте спокойствие, переведите дух и подумайте о режиме апартеида, который вызывает проблемы то здесь, то там.
Они должны заплатить за свою ложь и преступления, за свои имена и позор. Они должны платить за оккупацию, военные преступления против человечества,
убивая людей (не только тела палестинцев, но и души израильтян) и разрушая будущее и все наши мечты.
Они должны платить за увольнение высококвалифицированных специалистов.В любом случае, вам (как личности) не о чем беспокоиться.
Это задача администрации выполнить нашу инструкцию по восстановлению сети.
Но вы можете связаться с нами через мессенджер TOX, если хотите восстановить свои файлы лично. (ID TOX: AB33BC51AFAC64D98226826E70B483593C81CB22E6A3B504F7A75348C38C862F00042F5245AC)Наша инструкция для администрации:
Все ваши файлы зашифрованы с использованием алгоритма военного уровня AES-256. Так,
- Не пытайтесь восстановить данные, потому что зашифрованные файлы невозможно восстановить, если у вас нет ключа.
Любая попытка восстановления данных без ключа (с использованием сторонних приложений/компаний) приводит к ПОСТОЯННОМУ повреждению. Отнеситесь к этому серьезно.- Вы должны доверять нам. Это наш бизнес (после увольнения из высокотехнологичных компаний) и репутация - это все, что у нас есть.
- Все, что вам нужно сделать, это выполнить процедуру оплаты, после чего вы получите ключ дешифрования, который будет использоваться для возврата всех ваших файлов и виртуальных машин.
- Способ оплаты:
Введите ссылку ниже
hxxp://iw6v2p3cruy7tqfup3yl4dgt4pfibfa3ai4zgnu5df2q3hus3lm7c7ad.onion/supportВведите идентификатор ниже и оплатите счет (80 BTC)
Вы получите ключ расшифровки после оплаты.
Обратите внимание, что у вас всего 48 часов. По истечении указанного срока к цене будет добавлен штраф в размере 30%.
Выставляем данные на продажу через 5 дней.
Отнеситесь к этому серьезно и не слушайте возможных советов глупого правительства.Удачи!
ДаркБит
Почему некоторые варианты программ-вымогателей, такие как DarkBit, выбирают таргетинг на компании, а не на домашних пользователей?
Согласно записке о выкупе, оставленной DarkBit, похоже, что она нацелена на крупные организации, такие как компании, а не на домашних пользователей. Хотя точные мотивы авторов программ-вымогателей могут различаться, одной из возможных причин нацеливания на компании является возможность получения более крупных выплат. Компании могут иметь более ценные или конфиденциальные данные, чем отдельные пользователи, и они могут быть готовы заплатить более крупный выкуп, чтобы избежать сбоев и потенциальной юридической ответственности, которые могут возникнуть в результате утечки данных. Кроме того, компании могут иметь менее надежные меры безопасности по сравнению с домашними пользователями, что делает их более уязвимыми для атак. Однако важно отметить, что любая организация или физическое лицо может стать целью атаки программ-вымогателей, независимо от их размера или отрасли.