DarkSide Ransomware
(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные бизнес-пользователей и предприятий с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: DarkSide. Написан на Python.
Обнаружения:
DrWeb -> Trojan.Encoder.32305
BitDefender -> Gen:Trojan.Heur.RP.bmGfbKkIF@n
ALYac ->
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 ->
Kaspersky -> Trojan-Ransom.Win32.Gen.xyl
Malwarebytes -> Ransom.DarkSide
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Crypt.Edxi
TrendMicro -> TROJ_GEN.R002H09H820
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> DarkSide
К зашифрованным файлам добавляется расширение: .<random>
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Началом распространения можно считать появление на форумах кибер-андеграунда в начале августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: README.<random>.TXT
Пример записки от вымогателей: README.97866000.TXT
Содержание записки о выкупе:
----------- [ Welcome to Dark ] -------------> What happend? ---------------------------------------------- Your computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data. But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network. Follow our instructions below and you will recover all your data. Data leak ---------------------------------------------- First of all we have uploaded more then 100 GB data. Example of data: - Accounting data - Executive data - Sales data - Customer Support data - Marketing data - Quality data - And more other... Your personal leak page: http://darksidedxcftmqa.onion/blog/article/id/*** The data is preloaded and will be automatically published if you do not pay. After publication, your data will be available for at least 6 months on our tor cdn servers. We are ready: - To provide you the evidence of stolen data - To give you universal decrypting tool for all encrypted files. - To delete all the stolen data. What guarantees? ---------------------------------------------- We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests. All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems. We guarantee to decrypt one file for free. Go to the site and contact us. How to get access on website? ---------------------------------------------- Using a TOR browser: 1) Download and install TOR browser from this site: https://torproject.org/ 2) Open our website: http://darksidfqzcuhtk2.onion/*** When you open our website, put the following data in the input form: Key: *** [всего 567 знаков] !!! DANGER !!! DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them. !!! DANGER !!!
Перевод записки на русский язык:
----------- [Добро пожаловать в Dark] ------------->
Что случилось?
----------------------------------------------
Ваши компьютеры и серверы зашифрованы, резервные копии удалены. Мы используем надежные алгоритмы шифрования, поэтому вы не cможете расшифровать свои данные.
Но вы можете все восстановить, купив у нас специальную программу - универсальный дешифратор. Эта программа восстановит всю вашу сеть.
Следуйте нашим инструкциям ниже и вы восстановите все свои данные.
Утечка данных
----------------------------------------------
Во-первых, мы загрузили более 100 ГБ данных.
Пример данных:
- Данные бухгалтерского учета
- Исполнительные данные
- Данные о продажах
- Данные службы поддержки
- Маркетинговые данные
- Данные о качестве
- И многое другое ...
Ваша личная страница утечки: http://darksidedxcftmqa.onion/blog/article/id/***
Данные предварительно загружены и будут автоматически опубликованы, если вы не заплатите.
После публикации ваши данные будут доступны не менее 6 месяцев на наших серверах tor cdn.
Мы готовы:
- Чтобы предоставить вам доказательства украденных данных
- Чтобы предоставить вам универсальный инструмент для дешифрования всех зашифрованных файлов.
- Удалить все украденные данные.
Какие гарантии?
----------------------------------------------
Мы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не будет платить. Это не в наших интересах.
Все наши программы для дешифрования отлично протестированы и расшифруют ваши данные. Мы также окажем поддержку при возникновения проблем.
Мы гарантируем бесплатную расшифровку одного файла. Зайдите на сайт и свяжитесь с нами.
Как получить доступ на сайт?
----------------------------------------------
Используя браузер TOR:
1) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
2) Откройте наш сайт: http://darksidfqzcuhtk2.onion/***
Когда вы открываете наш веб-сайт, введите в форму ввода следующие данные:
Ключ:
*** [всего 567 знаков]
!!! ОПАСНОСТЬ !!!
НЕ ИЗМЕНЯЙТЕ и НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ файлы самостоятельно. Мы НЕ сможем их ВОССТАНОВИТЬ.
!!! ОПАСНОСТЬ !!!
Технические детали
Распространяется как RaaS на форумах кибер-андеграунда. Использует сеть Tor для сайта и публикации там же украденной информации компаний-жертв.
Darkside
Let's start
We are a new product on the market, but that does not mean that we have no experience and we came from nowhere.
We received millions of dollars profit by partnering with other well-known cryptolockers.
We created DarkSide because we didn't find the perfect product for us. Now we have it
Based on our principles, we will not attack the following targets:
• Medicine (hospitals, hospices).
• Education (schools, universities).
• Non-profit organizations.
• Government sector.
We only attack companies that can pay the requested amount, we do not want to kill your business.
Before any attack, we carefully analyze your accountancy and determine how much you can pay based on your net income.
You can ask all your questions in the chat before paying and our support will answer them.
We provide the following guarantees for our targets:
• We guarantee decryption of one test file.
• We guarantee to provide decryptors after payment, as well as support in case of problems.
• We guarantee deletion of all uploaded data from TOR CDNs after payment.
If you refuse to pay:
• We will publish all your data and store it on our TOR CDNs for at least 6 months.
• We will send notification of your leak to the media and your partners and customers.
• We will NEVER provide you decryptors.
We take our reputation very seriously, so if paid, all guarantees will be fulfilled.
If you don't want to pay, you will add to the list of published companies on our blog and become an example for others.
Перевод на русский язык:
Darkside
Давайте начнем
Мы новый продукт на рынке, но это не значит, что у нас нет опыта и мы пришли из ниоткуда.
Мы получили прибыль в миллионы долларов, сотрудничая с другими известными крипто-локерами.
Мы создали DarkSide, потому что не нашли для себя идеального продукта. Теперь у нас он есть
Исходя из наших принципов, мы не будем атаковать следующие цели:
• Медицина (больницы, хосписы).
• Образование (школы, университеты).
• Некоммерческие организации.
• Государственный сектор.
Мы атакуем только компании, которые могут заплатить запрошенную сумму, мы не хотим губить ваш бизнес.
Перед любой атакой мы тщательно анализируем вашу бухгалтерию и определяем, сколько вы можете заплатить, исходя из вашего чистого дохода.
Вы можете задать все интересующие вас вопросы в чате перед оплатой, и наша служба поддержки ответит на них.
Мы предоставляем следующие гарантии для наших целей:
• Мы гарантируем расшифровку одного тестового файла.
• Мы гарантируем предоставление дешифраторов после оплаты, а также поддержку в случае возникновения проблем.
• Мы гарантируем удаление всех загруженных данных из TOR CDN после оплаты.
Если вы отказываетесь платить:
• Мы опубликуем все ваши данные и будем хранить их на наших TOR CDN в течение как минимум 6 месяцев.
• Мы отправим уведомление о вашей утечке средствам массовой информации, вашим партнерам и клиентам.
• Мы НИКОГДА не предоставим вам дешифраторы.
Мы очень серьезно относимся к своей репутации, поэтому в случае оплаты все гарантии будут выполнены.
Если вы не хотите платить, вы добавитесь в список опубликованных компаний в нашем блоге и станете примером для других.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует пару методов для проверки принадлежности ПК к некоторым странам СНГ (проверяет GetSystemDefaultUILanguage - язык системы, GetUserDefaultLangID - язык пользователя по умолчанию). Таким образом, не должен шифровать файлы из этих стран.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
acer.exe - исполняемый файл
README.<random>.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: xxxx://darksidedxcftmqa.onion/
Email: -
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 11 августа 2020:
Пост в Твиттере >>
Расширение: .2b026f49
Записка: README.2b026f49.TXT
Результаты анализов: VT + HA
----------- [ Welcome to Dark ] ------------->
What happend?
----------------------------------------------
Your computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data.
But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.
Follow our instructions below and you will recover all your data.
Data leak
----------------------------------------------
First of all we have uploaded more then 100 GB data.
Example of data:
- Accounting data
- Executive data
- Sales data
- Customer Support data
- Marketing data
- Quality data
- And more other...
Your personal leak page: http://darksidedxcftmqa.onion/blog/article/id/6/dQDclB_6Kg-c-6fJesONyHoaKh9BtI8j9Wkw2inG8O72jWaOcKbrxMWbPfKrUbHC
The data is preloaded and will be automatically published if you do not pay.
After publication, your data will be available for at least 6 months on our tor cdn servers.
We are ready:
- To provide you the evidence of stolen data
- To give you universal decrypting tool for all encrypted files.
- To delete all the stolen data.
What guarantees?
----------------------------------------------
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
We guarantee to decrypt one file for free. Go to the site and contact us.
How to get access on website?
----------------------------------------------
Using a TOR browser:
1) Download and install TOR browser from this site: https://torproject.org/
2) Open our website: http://darksidfqzcuhtk2.onion/K71D6P88YTX04R3ISCJZHMD5IYV55V9247QHJY0HJYUXX68H2P05XPRIR5SP2U68
When you open our website, put the following data in the input form:
Key:
pr9gzRnMz6qEwr6ovMT0cbjd9yT56NctfQZGIiVVL [всего 567 знаков]
!!! DANGER !!!
DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them.
!!! DANGER !!!
---
➤ Ссылки на сообщение для пострадавшего:
http://darksidedxcftmqa.onion/blog/article/id/6
http://darksidedxcftmqa.onion/blog/article/id/6/dQDclB_6Kg-c-6fJesONyHoaKh9BtI8j9Wkw2inG8O72jWaOcKbrxMWbPfKrUbHC
EBSCO.com - More then 100 GB sensitive data.
Automatic leak publication:
We downloaded a lot of interesting data from your network.
Included:
Accounting data
Executive data
Sales data
Customer Support data
Marketing data
Quality data
And more other...
if you need proofs, we are ready to provide you with it.
The data is preloaded and will be automatically published if you do not pay.
After publication, your data will be available for at least 6 months on our tor cdn servers.
---
➤ Сообщение для пострадавшей компании до и после ввода ключа:
Сумма выкупа: $ 2,000,000 / 193.247 BTC / 22810.219 XMR
Monero-кошелек: 86R5YKD3DbMTJ1mgqiYjjsVULxwcxN5h5YyJt7Sz4B2oZEpZCnGBDZY4DG293xeeZSeF6iaDJqAoRVMeQXgUNM5x3fzyZru
BTC-кошелек: bc1qena2vfl7xhc5ad7q06eeuyd563ykxmwardnt2d
---
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as DarkSide) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Ravi Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
