删除系统上的卷影卷副本,使其无法用于恢复文件。 根据 Advanced Intel 的 Vitali Kremez 的说法,然后它会终止各种数据库、办公应用程序和邮件客户端,为机器加密做好准备。加密计算机时,DarkSide 将避免终止某些进程。
专门避开 TeamViewer 的情况并
不常见(如果在勒索软件中见过),并且可能表明威胁行为者正在使用它来远程访问计算机。分析 澳大利亚电话号码数据 加密过程的 Michael Gillespie 告诉 BleepingComputer,勒索软件利用 SALSA20 密钥来加密文件。
然后使用可执行文件中包含的公共 RSA-1024 密钥对该密钥进行加密。每个受害者还将拥有一个使用受害者 MAC 地址的自定义校验和创建的自定义扩展。
每个可执行文件都经过定制
包括个性化的“欢迎来到黑暗”勒索字条,其中包括被盗的数据量、数据类型以及数据泄露网站上数据的链接。此时,勒索软件看起来牢不可破,并且没有办法免费恢复文件。
可能与 REvil 有关 – 不会感染东欧国家 在分析DarkSide时,发现它与REvil勒索软件有一些相 JPB目录 似之处。最明显的相似之处是勒索字条,它使用了几乎相同的模板,如下图的 REvil 勒索字条所示。在 BleepingComputer 对 DarkSide 的行为分析中,我们注意到它在首次执行时会执行编码的 PowerShell 脚本。
