1

T 1688-5863 / 010-8678-1397

랜섬웨어 DarkBit - 이스라엘 공과대학을 공격한 정치적 목적의 랜섬웨어

DarkBit 랜섬웨어는 2023년 이스라엘의 공과대학을 공격 하면서 알려 졌습니다

 

파일 암호화 이후 생성 되는 안내파일의 내용에는 "killing the people (not only Palestinians’ bodies, but also Israelis’ souls) and destroying the future and all dreams we had" 내용의 정치적 메시지가 포함되어 있습니다

 

DarkBit 랜섬웨어는 명령줄 기반의 실행 방법으로 여러가지 인수값을 지정하여 실행 할 수있습니다

 

인수값 (설명)

-all (run on all without timeout counter)

-domain string (domain)

-force (force blacklisted computers)

-list string (List)

-nomutex (force not checking mutex)

-noransom (Just spread/No Encryption)

-password string (password)

-path string (path)

-t int (threads (default -1))

-usename string (username)

 

DarkBit 랜섬웨어는 아래의 확장자 파일과 파일에 대해서는 암호화를 하지 않습니다

-확장자 : .386, .adv, .ani, .bin, .cab, .cmd, .com, .cpl, .cur, .Darkbit, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lock, .log, .mod, .mpa, .msc, .msi, .msilog, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx

 

-파일 : darkbit.jpg, desktop.ini, recovery_darkbit.txt, system volume information, thumbs.db

 

또한 파일 크기가 25MB 이상의 큰 파일인 경우 파일 크기에 따라 암호화 구역을 여러곳으로 나누어 암호화를 합니다

 

암호화된 파일에는 "DARKBIT_ENCRYPTED_FILES"라는 문자열이 추가 되어 있습니다

 

DarkBit 랜섬웨어는 파일 확장자 뿐만 아니라 파일 이름도 <Random 파일명.Darkbit> 형태로 변경 하여 원본 파일이 어떤 것인지 알수 없습니다

 

DarkBit 랜섬웨어 역시 시스템 복구를 무력화 하기위해 볼륨 쉐도우 복사본을 삭제하는 명령을 수행 합니다

 

파일 암호화가 완료된 폴더에는 DARKBIT_ENCRYPTED_FILES.txt 안내 파일이 생성 됩니다

 

백업웨어.gif

 

안내 파일에는 정치적 메시지와 함께 몸값으로 80BTC를 요구하며 복구 진행 연락을 위해 TOX Messenger로 연락할 ID와 토르 웹사이트 주소가 기재 되어 있으며 48시간이 자나면 30%의 비트코인을 추가로 요구 한다는 내용이 있습니다

 

그리고, 5일 후에는 파일 암호화 이전에 유출한 데이터를 외부에 판매 하겠다는 내용이 포함 되어 있습니다

 

백업웨어1.gif

 

DarkBit 랜섬웨어 운영 집단은 자신들의 활동을 알리는 텔레그램과 트위터 계정을 운영하고 있습니다

 

백업웨어2.gif

 

 

목록

이 게시물을

공유하기

번호
제목
랜섬웨어 피해예방 5대 수칙
146
랜섬웨어 RansomBlox - Roblox(로블록스) 게임 플레이를 요구
145
랜섬웨어 Paradise-AweSun 원격 제어 프로그램의 취약점을 악용
144
랜섬웨어 Hakuna matata - ClipBanker 기능을 이용한 전자지갑 주소 바꿔치기
143
랜섬웨어 변종 Magniber - 안내파일 이름 변경과 작업스케줄러 등록
142
랜섬웨어 CryptJoker - 빠른 파일 암호화 진행
141
랜섬웨어 AXLocker - 디스코드 웹훅 기능을 악용
140
랜섬웨어 Rhysida - 칠레 육군의 내부 정보를 유출
랜섬웨어 DarkBit - 이스라엘 공과대학을 공격한 정치적 목적의 랜섬웨어
138
랜섬웨어 RA Group - 유출된 Babuk Locker 랜섬웨어 코드로 만들어진 변종
137
랜섬웨어 Royal - 윈도우는 물론 리눅스 에서도 동작
136
랜섬웨어 변종 Black Basta - ESET Update 파일로 위장
135
랜섬웨어 Akira - VPN을 통해 국내 제약 회사를 공격!!
134
랜섬웨어 DARKY LOCK - 유출된 Babuk Locker 코드로 만들어진 랜섬웨어
133
랜섬웨어 Money Message - 암호화중 변경된 파일 확장명을 되돌려 놓는 랜섬웨어
132
랜섬웨어 BTC_azadi - 네트워크 드라이브에서도 실행
131
Avast사 TargetCompany 랜섬웨어 복구툴 공개!!
130
랜섬웨어 Trigona - 서버에 접근 가능한 계정을 획득하여 공격
129
BianLian 랜섬웨어 복구툴 공개 !!
128
랜섬웨어 BianLian - Go 개발 언어로 만들어지고 기업을 대상으로 공격 바이러스 백업웨어
127
랜섬웨어 ARCrypter - 수정한 날짜 형식을 변경
랜섬웨어 피해예방 5대 수칙
랜섬웨어 RansomBlox - Roblox(로블록스) 게임 플레이를 요구
랜섬웨어 Paradise-AweSun 원격 제어 프로그램의 취약점을 악용
랜섬웨어 Hakuna matata - ClipBanker 기능을 이용한 전자지갑 주소 바꿔치기
랜섬웨어 변종 Magniber - 안내파일 이름 변경과 작업스케줄러 등록
랜섬웨어 CryptJoker - 빠른 파일 암호화 진행
랜섬웨어 AXLocker - 디스코드 웹훅 기능을 악용
랜섬웨어 Rhysida - 칠레 육군의 내부 정보를 유출
랜섬웨어 DarkBit - 이스라엘 공과대학을 공격한 정치적 목적의 랜섬웨어
랜섬웨어 RA Group - 유출된 Babuk Locker 랜섬웨어 코드로 만들어진 변종
랜섬웨어 Royal - 윈도우는 물론 리눅스 에서도 동작
랜섬웨어 변종 Black Basta - ESET Update 파일로 위장
랜섬웨어 Akira - VPN을 통해 국내 제약 회사를 공격!!
랜섬웨어 DARKY LOCK - 유출된 Babuk Locker 코드로 만들어진 랜섬웨어
랜섬웨어 Money Message - 암호화중 변경된 파일 확장명을 되돌려 놓는 랜섬웨어
랜섬웨어 BTC_azadi - 네트워크 드라이브에서도 실행
Avast사 TargetCompany 랜섬웨어 복구툴 공개!!
랜섬웨어 Trigona - 서버에 접근 가능한 계정을 획득하여 공격
BianLian 랜섬웨어 복구툴 공개 !!
랜섬웨어 BianLian - Go 개발 언어로 만들어지고 기업을 대상으로 공격 바이러스 백업웨어
랜섬웨어 ARCrypter - 수정한 날짜 형식을 변경

LOGIN

로그인

회원가입

SEARCH

MENU NAVIGATION