Обзор

Недавно Центр безопасности 360 обнаружил программу-вымогатель, которая маскировала часто используемое программное обеспечение и появлялась в сети. В письме с требованием выкупа вирус назвал себя DarkWorld.

В отличие от традиционного метода вымогателей, который в прошлом шифрует только программы-вымогатели, вирус также играет двойную роль в качестве кражи информации при выкупе.

Информация, украденная автором вируса, может быть продана с целью получения прибыли. С этого момента деструктивный режим вымогателей изменился. Можно предвидеть, что традиционное вредоносное ПО может постепенно пересносным поведением, но превратится в многофункционалтать удовлетворяться одним вредоьного интегратора вредоносного кода, вызывая множество разрушительных последствий.

После того, как вирус зашифрует файлы жертвы, он попросит выкуп в биткойнах, эквивалентный 300 долларам. Однако беспокойтесь, 360 Total Security может перехватить и уничтожить программы-вымогатели до того, как возникнут проблемы.

Поведение троянского коня и метод шифрования

1. Отравление

После запуска, программы-вымогателя DarkWorld зашифрует файл с помощью алгоритма шифрования Rijndael, а затем добавит суффикс зашифрованного файла «.dark» и создаст «Important.txt» в качестве письма с требованием выкупа. Письмо с требованием выкупа требует, чтобы жертва отправила «1EdxGR5fxRjhWtxNSbyDHv4nVdx5BP54L2». Этот адрес кошелька переводит эквивалент 300 долларов США в виде выкупа в биткойнах и отправляет идентификатор жертвы на почтовый ящик автора вируса darksimo@protonmail.com для получения ключа дешифрования и расшифровки файлов жертвы.

Зашифрованные файлы добавляются с расширением «.dark».

2. Шифрование шантажа и кража информации.

Троянец выдает себя за имя и значок файла стороннего программного обеспечения, чтобы побудить пользователей дважды щелкнуть его, чтобы запустить его. А затем он начинает просматривать файл, чтобы зашифровать и украсть информацию с помощью алгоритма шифрования Rijndael.

Перед запуском шифрования вирус сначала отправляет сгенерированный случайный ключ шифрования и другую информацию на сервер автора вируса. После этого он начал просматривать файлы и шифровать файлы с указанным суффиксом с помощью алгоритма шифрования Rijndael. В то же время он избежит указанной системной папки, чтобы не повлиять на операционную систему. txt-файлы размером менее 2M, украдены и загружены на сервер автора, а затем зашифрованы.

Перед запуском шифрования вирус сначала генерирует ключ шифрования, состоящий из строки «случайное число + текущее время», а затем получает имя машины жертвы и идентификатор жертвы, отправляет их на сервер троянца.

Вирус также  избежит указанного системного каталога файлов, чтобы не повлиять на операционную систему, а затем шифрует файл с указанным расширением.

Файлы DarkWorld избегают системных каталогов

Расширение целевого файла

В потоке шифрования файлов вируса размер txt-файла также оценивается, чтобы определить, украсть ли локальный файл пользователя на сервере.  Поток шифрования украдет txt-файлы размером менее 2M (2097200 байт) и загрузит их на троянский сервер.

DarkWorld ворует локальные файлы

DarkWorld использует алгоритм шифрования Rijndael

Совет по безопасности

1. Перейдите на сайт http://www.360totalsecurity.com/, чтобы загрузить и установить 360 Total Security и сохранить постоянный процесс 360 Total Security, который может эффективно защитить от подобных вирусных угроз;
2. Повысьте осведомленность о безопасности личной сети и не упростите загрузку так называемых «бесплатных» инструментов активации и другого программного обеспечения с различных сайтов загрузки. Рекомендуется загружать и устанавливать программное обеспечение с официальных каналов, таких как официальный сайт программного обеспечения. Не продолжайте запускать незнакомое программное обеспечение, заблокированное 360 Total Securityи, и не добавьте его в доверие.