Dark Power - это относительно новая программа-вымогатель, запущенная в начале февраля 2023 года. Это редкая разновидность ransomware, поскольку она была написана на языке программирования Nim.
Dark Power Ransomware
Информация о векторе заражения, используемом этой группой, в настоящее время отсутствует. Однако, скорее всего, он не будет существенно отличаться от других групп ransomware.
После выполнения Dark Power ransomware завершает следующие процессы для шифрования файлов, которые используются в данный момент:
taskmgr.exe, encsvc.exe, powerpnt.exe, ocssd.exe, steam.exe, isqlplussvc.exe, outlook.exe, sql.exe, ocomm.exe, agntsvc.exe, mspub.exe, onenote.exe, winword.exe, thebat.exe, excel.exe, mydesktopqos.exe, ocautoupds. exe, thunderbird.exe, synctime.exe, infopath.exe, mydesktopservice.exe, firefox.exe, oracle.exe, sqbcoreservice.exe, dbeng50.exe, tbirdconfig.exe, msaccess.exe, visio.exe, dbsnmp.exe, wordpad.exe, xfssvccon.exe
Он также останавливает следующие службы:
veeam, memtas, sql, mssql, backup, vss, Sophos, svc$, mepocs.
Затем программа-вымогатель шифрует файлы и добавляет расширение ".dark_power" к пораженным файлам.
Она избегает шифрования файлов и каталогов со следующими расширениями:
.lib, .pack, .search-ms, .dat, .ini, .regtrans-ms, .vhdx, .ps1, .log2, .log1, .blf, .ldf, .lock, .theme, .msi, .sys, .wpx, .cpl, .adv, .msc, .scr, .bat, .key, .ico, .dll, .hta, .deskthemepack, .nomedia, .msu, . rtp, .msp, .idx, .ani, .386, .diagcfg, .bin, .mod, .ics, .com, .hlpF, .spl, .nls, .cab, .exe, .diagpkg, .icl, .ocx, .rom, .prf, .themepack, .msstyles, .lnk, .icns, .mpa, .drv, .cur, .diagcab, .cmd, .shs, readme. pdf (имя файла, используемое в записке о выкупе, которую бросает Dark Power ransomware), ef.exe (имя файла, используемое Dark Power ransomware), ntldr, thumbs.db, bootsect.bak, autorun.inf, ntuser.dat.log, boot.ini, iconcache.db, bootfont.bin, ntuser.dat, ntuser. ini, desktop.ini, program files, appdata, mozilla, $windows.~ws, application data, $windows.~bt, google, $recycle.bin, windows.old, programdata, system volume information, program files (x86), boot, tor browser, windows, intel, perflogs, msocache.
После того как файлы зашифрованы, Dark Power высылает длинную записку с требованием выкупа в формате "readme.pdf" В записке жертвам угрожают, что если они не отправят криптовалюту Monero (XMR) в размере 10 000 долларов США на кошелек злоумышленника в течение 72 часов, их зашифрованные файлы будут потеряны навсегда.
В ходе нашего исследования мы не увидели, чтобы программа Dark Power ransomware удаляла теневые копии томов на пораженной машине. В результате такие зашифрованные файлы потенциально могут быть восстановлены. Обратите внимание, что перед шифрованием файлов вымогатель останавливает службу Volume Shadow Copy (VSS). Таким образом, файлы, не записанные в теневую копию тома до того, как программа-вымогатель зашифровала их, невозможно восстановить из резервной копии, созданной с помощью VSS.
В записке о выкупе также утверждается, что угроза Dark Power похитила данные со взломанной машины, которые будут опубликованы на ее сайте утечки на Tor, если выкуп не будет выплачен. На момент проведения данного расследования на сайте утечки данных были перечислены десять компаний из различных отраслей промышленности из девяти стран Северной Америки, Европы и Африки.
Похищенные данные, похоже, не хранятся на сайте утечки. Сайт утверждает, что злоумышленник поделится местонахождением файла, если с ним свяжутся через qTox.
Indicators of Compromise
SHA256
- 11ddebd9b22a3a21be11908feda0ea1e1aa97bc67b2dfefe766fcea467367394
- 33c5b4c9a6c24729bb10165e34ae1cd2315cfce5763e65167bd58a57fde9a389
