Программа-вымогатель DARKKUR шифрует системы жертв

DARKKUR представляет собой форму программы-вымогателя, которая работает путем шифрования данных, а затем требует выкуп в обмен на процесс расшифровки. Этот особый тип вредоносного ПО изменяет имена зашифрованных файлов, добавляя к ним уникальный идентификатор, характерный для жертвы, адрес электронной почты киберпреступников и расширение.

Используемое расширение зависит от варианта программы-вымогателя и может включать такие расширения, как «.timecrystal1», «.DARKKUR1» и «.DarkCrypt». Например, во время тестирования на нашей машине вариант с расширением «.timecrystal1» преобразовал файл с именем «1.jpg» в «1.jpg.[AE3419DE[TimeCrystal@zohomail.eu].timecrystal1».

После завершения процедуры шифрования DARKKUR генерирует и отображает заметки о выкупе в двух форматах: всплывающее окно с надписью «info.hta» и текстовый файл с именем «ReadMe.txt». Эти заметки о выкупе содержат одну и ту же информацию, но используют разные формулировки. Они сообщают жертвам, что их файлы были зашифрованы и что единственный способ восстановить доступ к заблокированным данным — это купить у злоумышленников необходимые ключи/инструменты дешифрования.

Размер выкупа не указан ни в одном из сообщений, но в обоих подчеркивается, что он должен быть выплачен с использованием криптовалюты Биткойн. Перед совершением платежа у жертв есть возможность протестировать процесс расшифровки, отправив киберпреступникам два зашифрованных файла с соблюдением определенных спецификаций.

Кроме того, в примечаниях к выкупу предостерегают от изменения затронутых файлов или использования сторонних инструментов дешифрования, поскольку такие действия могут привести к безвозвратной потере данных.

Записка о выкупе DARKKUR обещает расшифровку двух файлов

Полный текст записки DARKKUR о выкупе выглядит следующим образом:

Все ваши файлы были зашифрованы DARKKUR!

из-за проблем с безопасностью вашего ПК. Если вы хотите их восстановить, напишите нам на почту TimeCrystal@skiff.com
Напишите этот идентификатор в заголовке вашего сообщения:-
В случае отсутствия ответа в течение 24 часов напишите нам на этот адрес электронной почты: TimeCrystal@zohomail.eu
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.

Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 2-х файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 4 Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)

Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткойны, и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Как обычно распространяются полезные нагрузки программ-вымогателей, таких как DARKKUR?

Полезные нагрузки программ-вымогателей, таких как DARKKUR, обычно распространяются различными способами, при этом киберпреступники используют тактику, чтобы максимизировать свою досягаемость и заразить большое количество систем. Некоторые распространенные методы распространения включают в себя:

• Фишинговые электронные письма: Киберпреступники часто рассылают фишинговые электронные письма, замаскированные под законные сообщения от авторитетных организаций или частных лиц. Эти электронные письма могут содержать вредоносные вложения, такие как зараженные документы или исполняемые файлы, или они могут содержать вредоносные ссылки, которые ведут к загрузке полезной нагрузки программы-вымогателя.
• Вредоносные загрузки: программы-вымогатели могут распространяться посредством вредоносных загрузок с скомпрометированных или вредоносных веб-сайтов. Это могут быть поддельные обновления программного обеспечения, взломанное программное обеспечение, пиратский контент или загрузки из ненадежных источников.
• Наборы эксплойтов. Киберпреступники используют уязвимости программного обеспечения в популярных приложениях, таких как веб-браузеры, для доставки полезной нагрузки программ-вымогателей. Они используют наборы эксплойтов, которые представляют собой автоматизированные инструменты, которые выявляют и используют эти уязвимости, позволяя загружать вредоносное ПО и запускать его в системе жертвы без их ведома.
• Атаки по протоколу удаленного рабочего стола (RDP). Злоумышленники-вымогатели могут атаковать системы со слабыми или плохо настроенными подключениями по протоколу удаленного рабочего стола (RDP). Получив несанкционированный доступ к системе, они могут вручную установить и запустить полезную нагрузку программы-вымогателя.
• Вредоносная реклама: Киберпреступники используют вредоносную рекламу (вредоносную рекламу) для распространения программ-вымогателей. Они внедряют вредоносный код в законную онлайн-рекламу, при нажатии на которую пользователь перенаправляется на веб-сайт, на котором размещена полезная нагрузка программы-вымогателя.
• Загрузки с диска: в этом методе программы-вымогатели доставляются через скомпрометированные веб-сайты. Когда пользователь посещает зараженный веб-сайт, полезная нагрузка программы-вымогателя автоматически загружается и выполняется в его системе без его участия или ведома.

Важно отметить, что это лишь некоторые из распространенных методов, используемых для распространения программ-вымогателей. Злоумышленники постоянно совершенствуют свои методы и изучают новые способы распространения программ-вымогателей и максимизируют свои шансы на заражение уязвимых систем. Поэтому крайне важно проявлять осторожность, поддерживать актуальное программное обеспечение для обеспечения безопасности и соблюдать правила гигиены кибербезопасности, чтобы свести к минимуму риск стать жертвой атак программ-вымогателей.