DarkWorld Ransomware

Il semble que de plus en plus de créateurs de ransomwares commencent à élargir la portée de leurs créations menaçantes au-delà du cryptage des données sur les appareils compromis uniquement. Pour augmenter l'influence qu'ils ont sur leurs victimes, les pirates commencent à collecter des données sensibles du système infecté avant l'initialisation de la routine de cryptage. Les données exfiltrées peuvent ensuite être utilisées comme monnaie d'échange supplémentaire lors de la négociation de la rançon avec la victime ou vendues aux enchères à des concurrents de l'organisation violée. L'une des dernières menaces de ransomware à afficher un tel comportement est le DarkWorld Ransomware.

L'analyse du DarkWolrd Ransomware révèle que pour la plupart, la menace agit comme un ransomware typique. Il cible un large éventail de types de fichiers populaires et les a chiffrés avec un algorithme de chiffrement incassable. Les fichiers concernés par la menace sont: .dll, .jpg, .exe, .rar, .docx, .zip, .txt, .html, .php, .pdf, .xls, .xlsx, .ppt, .png, .jpeg, .mp4, .avi, .mp3, .iso, .tar, .tgz, .gz, .sql, .db, .apk, .js, .css, .scss, .cab, .bin et .lua . En résumé, DarkWorld se concentre sur les archives, les images, les fichiers vidéo et audio et les bases de données. En ce qui concerne le processus de cryptage, la menace utilise l'algorithme de cryptage Rijndael. Chaque fichier verrouillé aura «.dark» ajouté à son nom d'origine en tant que nouvelle extension. La note de rançon de la menace sera supprimée sous forme de fichier texte nommé «Important.txt».

La fonctionnalité de collecte de données de DarkWorld se manifeste lorsque la menace rencontre un fichier texte d'une taille inférieure à 2 Mo. Tous les fichiers qui répondent à ces critères seront téléchargés sur le serveur des cybercriminels avant d'être cryptés. Pour éviter de provoquer des erreurs critiques et d'interférer avec le fonctionnement normal du système d'exploitation du système infecté, DarkWorld dispose d'une liste de répertoires codée en dur à éviter lors de sa routine de cryptage.

L'ouverture de la note de rançon laissée par la menace révèle que les pirates veulent recevoir la somme de 300 $ payable en Bitcoin. La rançon doit être envoyée à l'adresse du portefeuille crypté fournie. Une fois la transaction terminée, les victimes du DarkWorld Ransomware devraient contacter les pirates en envoyant un e-mail à l'adresse suivante - «darksimo@protonmail.com».

La tendance des menaces de ransomware à devenir de plus en plus sophistiquées avec des fonctionnalités de menace étendues semble se développer. Pour garder une longueur d'avance sur les cybercriminels, les utilisateurs doivent choisir un programme anti-malware professionnel, adaptable et offrant des solutions de sécurité à la fois fiables et innovantes.