DarkMystic Ransomware: un blocco silenzioso con un orologio che ticchetta

Un nuovo nome nella famiglia BlackBit

Una nuova variante di ransomware nota come DarkMystic ha fatto il suo ingresso sulla scena, portando con sé le impronte digitali della famigerata famiglia di ransomware BlackBit . DarkMystic, come i suoi predecessori, è progettato per crittografare i dati e estorcere denaro alle vittime a scopo di lucro. Sui computer infetti, rinomina i file incorporando l'indirizzo email dell'aggressore e un ID specifico della vittima, aggiungendo l'estensione ".darkmystic" a ogni file bloccato. Ad esempio, un tipico file immagine denominato "documento.pdf" diventa "[darkmystic@onionmail.com][ID univoco]documento.pdf.darkmystic".

Le richieste di riscatto e gli avvertimenti ostili

Una volta completata la crittografia, DarkMystic invia il suo messaggio forte e chiaro. Modifica lo sfondo del desktop della vittima e rilascia due distinte richieste di riscatto: un file di testo intitolato "Restore-My-Files.txt" e una finestra pop-up denominata "info.hta". Entrambi i messaggi esortano le vittime a contattare gli aggressori per avviare il processo di recupero.

Il pop-up contiene dettagli aggiuntivi, sottolineando che è richiesto un pagamento in Bitcoin per decriptare i file. Alle vittime viene comunicato che il mancato pagamento entro 48 ore comporterà il raddoppio del riscatto. Oltre a ciò, gli aggressori minacciano di cancellare i file e danneggiare il disco rigido, inducendo ulteriormente gli utenti a obbedire. È inclusa un'offerta limitata di "decriptazione di prova", che consente alla vittima di recuperare fino a tre file non critici prima del pagamento, come prova di capacità.

Ecco cosa dice effettivamente la richiesta di riscatto:

All your files have been encrypted by BLACKBIT!

29d,23:55:54 LEFT TO LOSE ALL OF YOUR FILES

All your files have been encrypted due to a security problem with your PC.
If you want to restore them, please send an email darkmystic@onionmail.com

You have to pay for decryption in Bitcoin. The price depends on how fast you contact us.
After payment we will send you the decryption tool.
You have to 48 hours(2 Days) To contact or paying us After that, you have to Pay Double.
In case of no answer in 24 hours (1 Day) write to this email darkmystic@tutamail.com
Your unique ID is : -

You only have LIMITED time to get back your files!
•If timer runs out and you dont pay us , all of files will be DELETED and you hard disk will be seriously DAMAGED.
•You will lose some of your data on day 2 in the timer.
•You can buy more time for pay. Just email us.
•THIS IS NOT A JOKE! you can wait for the timer to run out ,and watch deletion of your files 🙂

What is our decryption guarantee?
•Before paying you can send us up to 3 test files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Attention!
•DO NOT pay any money before decrypting the test files.
•DO NOT trust any intermediary. they wont help you and you may be victim of scam. just email us , we help you in any steps.
•DO NOT reply to other emails. ONLY this two emails can help you.
•Do not rename encrypted files.
•Do not try to decrypt your data using third party software, it may cause permanent data loss.
•Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Cosa fa realmente un ransomware come DarkMystic

In sostanza, il ransomware è un tipo di software dannoso che impedisce l'accesso ai dati crittografandoli con algoritmi complessi. La decrittazione richiede una chiave univoca, posseduta solo dall'aggressore. Senza tale chiave, il ripristino è praticamente impossibile, a meno che non esista un backup pulito o che il ransomware stesso non sia imperfetto, uno scenario raro in ceppi più avanzati come DarkMystic.

DarkMystic utilizza metodi di crittografia avanzati e i ricercatori avvertono che il recupero senza la chiave di decrittazione è irrealistico. Sebbene gli aggressori offrano un modo per riottenere l'accesso, pagare il riscatto è fortemente sconsigliato . Non vi è alcuna garanzia che la chiave venga consegnata e molte vittime sono rimaste a mani vuote anche dopo aver effettuato il pagamento.

L'elevato costo della conformità

Inviare denaro agli operatori di DarkMystic non solo finanzia le attività criminali, ma supporta anche lo sviluppo continuo di malware ancora più potenti. La conformità incoraggia questi gruppi a continuare a colpire individui, aziende e istituzioni con strumenti sempre più sofisticati.

Rimuovere il ransomware da un sistema è essenziale per interrompere l'ulteriore crittografia, ma ciò non ripristinerà i file già bloccati. L'unico metodo affidabile per recuperare i dati è tramite backup , idealmente archiviati in più posizioni sicure, come unità offline e server remoti. In assenza di backup di questo tipo, i dati potrebbero essere persi definitivamente.

Tattiche di distribuzione: come si diffonde DarkMystic

Ransomware come DarkMystic si diffondono spesso tramite email di phishing, download ingannevoli e pacchetti di software . Un allegato o un link apparentemente innocuo potrebbe contenere il payload del malware. Questi file si presentano sotto diverse forme: archivi compressi, programmi eseguibili, documenti di Office, PDF o persino file JavaScript. La sola apertura di un file dannoso può innescare l'infezione.

I metodi di distribuzione più avanzati includono i download drive-by , in cui il malware si installa silenziosamente tramite siti web compromessi, e il malvertising , in cui annunci pubblicitari dannosi reindirizzano gli utenti a contenuti dannosi. Inoltre, trojan e backdoor vengono spesso utilizzati per installare ransomware dietro le quinte. Alcuni ransomware si diffondono persino lateralmente attraverso reti locali e unità USB, prendendo di mira automaticamente i sistemi connessi.

Le migliori pratiche per evitare il ransomware

Per evitare il ransomware, è necessario iniziare con cautela e vigilanza . Le email sospette, in particolare quelle con allegati o contenuti urgenti, devono essere gestite con cautela. Link e file provenienti da fonti sconosciute o non verificate non devono mai essere aperti.

Anche le abitudini di download sicure sono molto utili. Per tutte le installazioni software, affidatevi a siti web ufficiali e fonti affidabili . Evitate software "craccati", programmi di aggiornamento di terze parti o strumenti di attivazione, noti per contenere malware. Mantenete aggiornati il sistema operativo e il software antivirus per eliminare le falle di sicurezza più comuni.

Parole finali

Il ransomware DarkMystic rappresenta un'evoluzione preoccupante nella famiglia BlackBit, combinando crittografia aggressiva, estorsione finanziaria e pressione psicologica per costringere le vittime ad agire. Sebbene la minaccia sia reale, il panico non è la soluzione . Rimanere informati, mantenere backup sicuri e adottare un'igiene digitale intelligente sono le migliori difese contro questa e altre varianti del ransomware.

Con una risposta ponderata e una strategia di sicurezza proattiva, individui e organizzazioni possono proteggersi meglio dalle tattiche subdole dei cyber-estorsori.