DARKKUR 勒索软件加密受害者系统

DARKKUR 代表一种勒索软件，它通过加密数据然后要求赎金来换取解密过程。这种特定类型的恶意软件会在加密文件的文件名后附加受害者特有的唯一 ID、网络犯罪分子的电子邮件地址和扩展名，从而更改加密文件的文件名。

使用的扩展名因勒索软件的变体而异，可能包括“.timecrystal1”、“.DARKKUR1”和“.DarkCrypt”等扩展名。例如，在我们的计算机上进行测试时，扩展名为“.timecrystal1”的变体将名为“1.jpg”的文件转换为“1.jpg.[AE3419DE[TimeCrystal@zohomail.eu].timecrystal1”。

完成加密过程后，DARKKUR 会生成并以两种格式显示勒索信息：标有“info.hta”的弹出窗口和名为“ReadMe.txt”的文本文件。这些勒索信传达了相同的信息，但采用了不同的措辞。他们通知受害者，他们的文件已被加密，重新获得锁定数据访问权限的唯一方法是从攻击者那里购买必要的解密密钥/工具。

两条消息均未指定赎金的金额，但均强调必须使用比特币加密货币支付。在付款之前，受害者可以选择按照某些规范向网络犯罪分子发送两个加密文件来测试解密过程。

此外，赎金还警告不要更改受影响的文件或使用第三方解密工具，因为此类操作可能会导致永久数据丢失。

DARKKUR 勒索信承诺解密两个文件

DARKKUR 勒索信全文如下：

您的所有文件均已被 DARKKUR 加密！

由于您的 PC 存在安全问题。如果您想恢复它们，请发送电子邮件至 TimeCrystal@skiff.com
将此 ID 写在您的消息标题中：-
如果 24 小时内没有回复，请写信至此电子邮件：TimeCrystal@zohomail.eu
你必须用比特币支付解密费用。价格取决于您给我们写信的速度。付款后，我们将向您发送解密所有文件的工具。

免费解密为保障
付款前您可以向我们发送最多 2 个文件以免费解密。文件总大小必须小于 4Mb（非存档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）

如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后按付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在这里找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致永久数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们将其费用添加到我们的费用中），或者您可能成为诈骗的受害者。

像 DARKKUR 这样的勒索软件负载通常是如何分布的？

像 DARKKUR 这样的勒索软件有效负载通常通过各种方法进行分发，网络犯罪分子会采用策略来最大限度地扩大其影响范围并感染大量系统。一些常见的分发方法包括：

• 网络钓鱼电子邮件：网络犯罪分子经常发送伪装成来自信誉良好的组织或个人的合法消息的网络钓鱼电子邮件。这些电子邮件可能包含恶意附件，例如受感染的文档或可执行文件，或者可能包含导致下载勒索软件有效负载的恶意链接。
• 恶意下载：勒索软件可以通过从受感染或恶意网站进行恶意下载来分发。这可能包括虚假软件更新、破解软件、盗版内容或来自不可信来源的下载。
• 漏洞利用工具包：网络犯罪分子利用流行应用程序（例如网络浏览器）中的软件漏洞来传播勒索软件有效负载。他们使用漏洞利用工具包，这些工具包是识别和利用这些漏洞的自动化工具，使恶意软件能够在受害者不知情的情况下下载并在受害者的系统上执行。
• 远程桌面协议 (RDP) 攻击：勒索软件攻击者可能会针对远程桌面协议 (RDP) 连接较弱或配置不当的系统。通过获得对系统的未经授权的访问，他们可以手动安装并执行勒索软件有效负载。
• 恶意广告：网络犯罪分子利用恶意广告（恶意广告）来传播勒索软件。他们将恶意代码注入合法的在线广告中，当用户点击该广告时，会将用户重定向到托管勒索软件负载的网站。
• 偷渡式下载：在这种方法中，勒索软件是通过受感染的网站传播的。当用户访问受感染的网站时，勒索软件有效负载会自动下载并在其系统上执行，而无需用户交互或不知情。

值得注意的是，这些只是勒索软件分发的一些常见方法。攻击者不断改进他们的技术并探索传播勒索软件的新途径，并最大限度地提高感染易受攻击系统的机会。因此，谨慎行事、维护最新的安全软件并保持良好的网络安全卫生至关重要，以最大限度地降低成为勒索软件攻击受害者的风险。