DarkBit 랜섬웨어는 2023년 이스라엘의 공과대학을 공격 하면서 알려 졌습니다

 

파일 암호화 이후 생성 되는 안내파일의 내용에는 "killing the people (not only Palestinians’ bodies, but also Israelis’ souls) and destroying the future and all dreams we had" 내용의 정치적 메시지가 포함되어 있습니다

 

DarkBit 랜섬웨어는 명령줄 기반의 실행 방법으로 여러가지 인수값을 지정하여 실행 할 수있습니다

 

인수값 (설명)

-all (run on all without timeout counter)

-domain string (domain)

-force (force blacklisted computers)

-list string (List)

-nomutex (force not checking mutex)

-noransom (Just spread/No Encryption)

-password string (password)

-path string (path)

-t int (threads (default -1))

-usename string (username)

 

DarkBit 랜섬웨어는 아래의 확장자 파일과 파일에 대해서는 암호화를 하지 않습니다

-확장자 : .386, .adv, .ani, .bin, .cab, .cmd, .com, .cpl, .cur, .Darkbit, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lock, .log, .mod, .mpa, .msc, .msi, .msilog, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx

 

-파일 : darkbit.jpg, desktop.ini, recovery_darkbit.txt, system volume information, thumbs.db

 

또한 파일 크기가 25MB 이상의 큰 파일인 경우 파일 크기에 따라 암호화 구역을 여러곳으로 나누어 암호화를 합니다

 

암호화된 파일에는 "DARKBIT_ENCRYPTED_FILES"라는 문자열이 추가 되어 있습니다

 

DarkBit 랜섬웨어는 파일 확장자 뿐만 아니라 파일 이름도 <Random 파일명.Darkbit> 형태로 변경 하여 원본 파일이 어떤 것인지 알수 없습니다

 

DarkBit 랜섬웨어 역시 시스템 복구를 무력화 하기위해 볼륨 쉐도우 복사본을 삭제하는 명령을 수행 합니다

 

파일 암호화가 완료된 폴더에는 DARKBIT_ENCRYPTED_FILES.txt 안내 파일이 생성 됩니다

 

백업웨어.gif

 

안내 파일에는 정치적 메시지와 함께 몸값으로 80BTC를 요구하며 복구 진행 연락을 위해 TOX Messenger로 연락할 ID와 토르 웹사이트 주소가 기재 되어 있으며 48시간이 자나면 30%의 비트코인을 추가로 요구 한다는 내용이 있습니다

 

그리고, 5일 후에는 파일 암호화 이전에 유출한 데이터를 외부에 판매 하겠다는 내용이 포함 되어 있습니다

 

백업웨어1.gif

 

DarkBit 랜섬웨어 운영 집단은 자신들의 활동을 알리는 텔레그램과 트위터 계정을 운영하고 있습니다

 

백업웨어2.gif

 

 

번호제목
공지 랜섬웨어 피해예방 5대 수칙
144 랜섬웨어 Hakuna matata - ClipBanker 기능을 이용한 전자지갑 주소 바꿔치기 file
143 랜섬웨어 변종 Magniber - 안내파일 이름 변경과 작업스케줄러 등록 file
142 랜섬웨어 CryptJoker - 빠른 파일 암호화 진행 file
141 랜섬웨어 AXLocker - 디스코드 웹훅 기능을 악용 file
140 랜섬웨어 Rhysida - 칠레 육군의 내부 정보를 유출 file
» 랜섬웨어 DarkBit - 이스라엘 공과대학을 공격한 정치적 목적의 랜섬웨어 file
138 랜섬웨어 RA Group - 유출된 Babuk Locker 랜섬웨어 코드로 만들어진 변종 file
137 랜섬웨어 Royal - 윈도우는 물론 리눅스 에서도 동작 file
136 랜섬웨어 변종 Black Basta - ESET Update 파일로 위장 file
135 랜섬웨어 Akira - VPN을 통해 국내 제약 회사를 공격!! file
134 랜섬웨어 DARKY LOCK - 유출된 Babuk Locker 코드로 만들어진 랜섬웨어 file
133 랜섬웨어 Money Message - 암호화중 변경된 파일 확장명을 되돌려 놓는 랜섬웨어 file
132 랜섬웨어 BTC_azadi - 네트워크 드라이브에서도 실행 file
131 Avast사 TargetCompany 랜섬웨어 복구툴 공개!! file
130 랜섬웨어 Trigona - 서버에 접근 가능한 계정을 획득하여 공격 file
129 BianLian 랜섬웨어 복구툴 공개 !! file
128 랜섬웨어 BianLian - Go 개발 언어로 만들어지고 기업을 대상으로 공격 바이러스 백업웨어 file
127 랜섬웨어 ARCrypter - 수정한 날짜 형식을 변경 file
126 2022년11월 변종 Magniber 랜섬웨어 - 윈도우의 제어된 폴더 엑세스 보안 기능을 해제 file
125 랜섬웨어 Azov - WinRAR 압축 프로그램으로 위장 file