DarkMystic Ransomware: тихая изоляция с тикающими часами

Новое имя в семье BlackBit

На сцену вышел новый штамм вируса-вымогателя, известный как DarkMystic , несущий цифровые отпечатки печально известного семейства вирусов-вымогателей BlackBit . DarkMystic, как и его предшественники, создан для шифрования данных и вымогательства у жертв финансовой выгоды. На зараженных машинах он переименовывает файлы, внедряя адрес электронной почты злоумышленника и идентификатор жертвы, а также добавляя расширение «.darkmystic» к каждому заблокированному файлу. Например, типичный файл изображения с именем «document.pdf» становится «[darkmystic@onionmail.com][UniqueID]document.pdf.darkmystic».

Требования выкупа и враждебные предупреждения

После завершения шифрования DarkMystic доносит свое сообщение громко и четко. Он изменяет обои рабочего стола жертвы и сбрасывает две отдельные записки с требованием выкупа: текстовый файл с названием «Restore-My-Files.txt» и всплывающее окно с названием «info.hta». Оба сообщения призывают жертв связаться с атакующими, чтобы начать процесс восстановления.

Всплывающее окно содержит дополнительные сведения, в частности, о том, что для расшифровки файлов требуется оплата в биткоинах . Жертвам сообщают, что неуплата в течение 48 часов приведет к удвоению выкупа. Кроме того, злоумышленники угрожают удалить файлы и повредить жесткий диск, еще больше заставляя пользователей подчиниться. Включено ограниченное предложение «тестовой расшифровки», позволяющее жертве восстановить до трех некритических файлов до оплаты в качестве доказательства возможности.

Вот что на самом деле говорится в записке о выкупе:

All your files have been encrypted by BLACKBIT!

29d,23:55:54 LEFT TO LOSE ALL OF YOUR FILES

All your files have been encrypted due to a security problem with your PC.
If you want to restore them, please send an email darkmystic@onionmail.com

You have to pay for decryption in Bitcoin. The price depends on how fast you contact us.
After payment we will send you the decryption tool.
You have to 48 hours(2 Days) To contact or paying us After that, you have to Pay Double.
In case of no answer in 24 hours (1 Day) write to this email darkmystic@tutamail.com
Your unique ID is : -

You only have LIMITED time to get back your files!
•If timer runs out and you dont pay us , all of files will be DELETED and you hard disk will be seriously DAMAGED.
•You will lose some of your data on day 2 in the timer.
•You can buy more time for pay. Just email us.
•THIS IS NOT A JOKE! you can wait for the timer to run out ,and watch deletion of your files 🙂

What is our decryption guarantee?
•Before paying you can send us up to 3 test files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Attention!
•DO NOT pay any money before decrypting the test files.
•DO NOT trust any intermediary. they wont help you and you may be victim of scam. just email us , we help you in any steps.
•DO NOT reply to other emails. ONLY this two emails can help you.
•Do not rename encrypted files.
•Do not try to decrypt your data using third party software, it may cause permanent data loss.
•Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Что на самом деле делает программа-вымогатель вроде DarkMystic

По своей сути, ransomware — это тип вредоносного ПО , которое предотвращает доступ к данным, шифруя их с помощью сложных алгоритмов. Для расшифровки требуется уникальный ключ, которым владеет только злоумышленник. Без этого ключа восстановление практически невозможно, если только не существует чистой резервной копии или сам ransomware не является уязвимым — редкий сценарий в более продвинутых штаммах, таких как DarkMystic.

По сообщениям, DarkMystic использует сильные методы шифрования , и исследователи предупреждают, что восстановление без ключа дешифрования нереально. Хотя злоумышленники предлагают способ восстановить доступ, платить выкуп крайне не рекомендуется . Нет никаких гарантий, что ключ будет доставлен, и многие жертвы остались с пустыми руками даже после внесения платежей.

Высокая стоимость соответствия

Отправка денег операторам DarkMystic не только финансирует преступные предприятия, но и поддерживает текущую разработку еще более мощного вредоносного ПО. Соблюдение норм поощряет эти группы продолжать атаковать отдельных лиц, предприятия и учреждения с помощью все более сложных инструментов.

Удаление программы-вымогателя из системы необходимо для остановки дальнейшего шифрования, но это не восстановит уже заблокированные файлы. Единственный надежный метод восстановления данных — резервное копирование , в идеале хранящееся в нескольких безопасных местах, таких как автономные диски и удаленные серверы. Если таких резервных копий нет, данные могут быть утеряны навсегда.

Тактика распространения: как распространяется DarkMystic

Программы-вымогатели, такие как DarkMystic, часто распространяются через фишинговые письма, обманные загрузки и пакеты программного обеспечения . Безобидное на первый взгляд вложение или ссылка могут нести вредоносную нагрузку. Эти файлы поставляются в различных обличьях — сжатые архивы, исполняемые программы, документы Office, PDF-файлы или даже файлы JavaScript. Простое открытие вредоносного файла может вызвать заражение.

Более продвинутые методы распространения включают в себя скрытые загрузки , когда вредоносное ПО устанавливается скрытно через взломанные веб-сайты, и вредоносную рекламу , когда вредоносная реклама перенаправляет пользователей на вредоносный контент. Кроме того, трояны и бэкдоры часто используются для скрытой установки программ-вымогателей. Некоторые программы-вымогатели даже распространяются горизонтально через локальные сети и USB-накопители, автоматически нацеливаясь на подключенные системы.

Лучшие практики по предотвращению программ-вымогателей

Избежание программ-вымогателей начинается с осторожности и бдительности . К подозрительным письмам, особенно с вложениями или срочным текстом, следует подходить с осторожностью. Ссылки и файлы из неизвестных или непроверенных источников никогда не следует открывать.

Безопасные привычки загрузки также имеют большое значение. Придерживайтесь официальных веб-сайтов и надежных источников для всех установок программного обеспечения. Избегайте «взломанного» программного обеспечения, сторонних обновлений или инструментов активации, которые печально известны тем, что несут в себе встроенное вредоносное ПО. Обновляйте операционную систему и антивирусное программное обеспечение, чтобы закрыть распространенные дыры в безопасности.

Заключительные слова

DarkMystic ransomware представляет собой тревожную эволюцию в семействе BlackBit, сочетающую агрессивное шифрование, финансовое вымогательство и психологическое давление, чтобы принудить жертв к действию. Хотя угроза реальна, паника — это не ответ . Лучшая защита от этого и других вариантов ransomware — быть в курсе событий, поддерживать надежные резервные копии и практиковать разумную цифровую гигиену.

Благодаря взвешенному ответу и проактивной стратегии безопасности отдельные лица и организации могут лучше защитить себя от темных приемов кибервымогателей.