payload متعلق به Dark Power به زبان Nim نوشته شده، که یک زبان چند پلتفرمی با چندین مزیت مرتبط با سرعت است، که آن را برای برنامههای کاربردی حیاتی مانند باج افزار، تبدیل به گزینه مناسبی میکند. همچنین، از آنجایی که Nim در بین هکرها محبوبیت پیدا کرده است، بهطورکلی بهعنوان یک انتخاب در نظر گرفته میشود که بعید است توسط ابزارهای دفاعی شناسایی شود. هرچند جزئیاتی در مورد نقطه آغازین آلودگی Dark Power ارائه نشده است، اما میتواند یک اکسپلویت، ایمیلهای فیشینگ یا ابزارهای دیگر باشد. پس از اجرا، باج افزار یک رشته ASCII تصادفی ۶۴ کاراکتری برای مقداردهی اولیه الگوریتم رمزگذاری با یک کلید منحصربهفرد در هر اجرا ایجاد میکند و پس از آن، باجافزار سرویسهای خاصی را در دستگاه قربانی را متوقف میکند تا فایلها را برای رمزگذاری آزاد کند و احتمال مسدود کردن فرآیند قفل کردن فایل را به حداقل برساند. در طی آن، باجافزار Volume Shadow Copy Service (VSS)، سرویسهای پشتیبانگیری از دادهها و محصولات ضد بدافزار را در فهرست کدگذاریشده خود، متوقف میکند. پس از بین رفتن سرویسها، باج افزار برای ٣٠ ثانیه به حالت غیرفعال فرو رفته و لاگهای کنسول و سیستم ویندوز را پاک میکند تا از تجزیهوتحلیل متخصصان بازیابی اطلاعات، جلوگیری شود. گزارش شده که دهها قربانی از آمریکا، فرانسه، ترکیه، چک، الجزایر و مصر را دیر لیست قربانیان دیده است که نشان از دامنه هدفگیری جهانی این باجافزار دارد.
بدون دیدگاه