{
	"id": "d9c7c6e3-c8cd-4452-ad97-7c1a0adb2e48",
	"created_at": "2026-04-06T00:06:12.74576Z",
	"updated_at": "2026-04-10T03:21:48.39862Z",
	"deleted_at": null,
	"sha1_hash": "0903a83df09b0befc892d0f86528a03f55779810",
	"title": "DarkSide",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1115037,
	"plain_text": "DarkSide\r\nArchived: 2026-04-06 00:05:56 UTC\r\nDarkSide Ransomware\r\nDarkSide Hand-Ransomware\r\n(шифровальщик-вымогатель, RaaS) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей, крупных  предприятий и организаций с помощью\r\nкомбинации алгоритмов Salsa20+RSA-1024, а затем требует выкуп от  нескольких сотен тысяч до нескольких \r\nмиллионов долларов в BTC, чтобы вернуть файлы. Оригинальное название: DarkSide. Написан на Python. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.32305, Trojan.Encoder.32386, Trojan.Encoder.33337\r\nBitDefender -\u003e Gen:Variant.Razy.734971\r\nAvira (no cloud) -\u003e TR/Crypt.XPACK.Gen\r\nESET-NOD32 -\u003e A Variant Of Generik.MMUYADA\r\nKaspersky -\u003e Trojan-Ransom.Win32.Gen.xyl\r\nMalwarebytes -\u003e Ransom.DarkSide\r\nRising -\u003e Ransom.Gen!8.DE83 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Crypt.Edxi\r\nTrendMicro -\u003e TROJ_GEN.R002H09H820, Ransom.Win32.DARKSIDE.THHABBOA\r\n---\r\n© Генеалогия: Sodinokibi / REvil ? =\u003e DarkSide \u003e BlackMatter\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .\u003crandom\u003e Внимание! Новые расширения, email и тексты\r\nо выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. \r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 1 of 20\n\nНачалом распространения можно считать появление на форумах кибер-андеграунда в начале августа 2020 г.\r\nОриентирован на англоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: README.\u003crandom\u003e.TXT\r\nПример записки от вымогателей: README.97866000.TXT\r\nСодержание записки о выкупе:\r\n----------- [ Welcome to Dark ] -------------\u003e\r\nWhat happend?\r\n----------------------------------------------\r\nYour computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you can\r\nBut you can restore everything by purchasing a special program from us - universal decryptor. This program wil\r\nFollow our instructions below and you will recover all your data.\r\nData leak\r\n----------------------------------------------\r\nFirst of all we have uploaded more then 100 GB data.\r\nExample of data:\r\n - Accounting data\r\n - Executive data\r\n - Sales data\r\n - Customer Support data\r\n - Marketing data\r\n - Quality data\r\n - And more other...\r\nYour personal leak page: http://darksidedxcftmqa.onion/blog/article/id/***\r\nThe data is preloaded and will be automatically published if you do not pay.\r\nAfter publication, your data will be available for at least 6 months on our tor cdn servers.\r\nWe are ready:\r\n- To provide you the evidence of stolen data\r\n- To give you universal decrypting tool for all encrypted files.\r\n- To delete all the stolen data.\r\nWhat guarantees?\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 2 of 20\n\n----------------------------------------------\r\nWe value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our inte\r\nAll our decryption software is perfectly tested and will decrypt your data. We will also provide support in ca\r\nWe guarantee to decrypt one file for free. Go to the site and contact us.\r\nHow to get access on website?\r\n----------------------------------------------\r\nUsing a TOR browser:\r\n1) Download and install TOR browser from this site: https://torproject.org/\r\n2) Open our website: http://darksidfqzcuhtk2.onion/***\r\nWhen you open our website, put the following data in the input form:\r\nKey:\r\n*** [всего 567 знаков]\r\n!!! DANGER !!!\r\nDO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them.\r\n!!! DANGER !!!\r\nПеревод записки на русский язык:\r\n----------- [Добро пожаловать в Dark] -------------\u003e\r\nЧто случилось?\r\n----------------------------------------------\r\nВаши компьютеры и серверы зашифрованы, резервные копии удалены. Мы используем надежные алгоритмы\r\nшифрования, поэтому вы не cможете расшифровать свои данные.\r\nНо вы можете все восстановить, купив у нас специальную программу - универсальный дешифратор. Эта программа\r\nвосстановит всю вашу сеть.\r\nСледуйте нашим инструкциям ниже и вы восстановите все свои данные.\r\nУтечка данных\r\n----------------------------------------------\r\nВо-первых, мы загрузили более 100 ГБ данных.\r\nПример данных:\r\n - Данные бухгалтерского учета\r\n - Исполнительные данные\r\n - Данные о продажах\r\n - Данные службы поддержки\r\n - Маркетинговые данные\r\n - Данные о качестве\r\n - И многое другое ...\r\nВаша личная страница утечки: http://darksidedxcftmqa.onion/blog/article/id/***\r\nДанные предварительно загружены и будут автоматически опубликованы, если вы не заплатите.\r\nПосле публикации ваши данные будут доступны не менее 6 месяцев на наших серверах tor cdn.\r\nМы готовы:\r\n- Чтобы предоставить вам доказательства украденных данных\r\n- Чтобы предоставить вам универсальный инструмент для дешифрования всех зашифрованных файлов.\r\n- Удалить все украденные данные.\r\nКакие гарантии?\r\n----------------------------------------------\r\nМы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не будет\r\nплатить. Это не в наших интересах.\r\nВсе наши программы для дешифрования отлично протестированы и расшифруют ваши данные. Мы также окажем\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 3 of 20\n\nподдержку при возникновения проблем.\r\nМы гарантируем бесплатную расшифровку одного файла. Зайдите на сайт и свяжитесь с нами.\r\nКак получить доступ на сайт?\r\n----------------------------------------------\r\nИспользуя браузер TOR:\r\n1) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/\r\n2) Откройте наш сайт: http://darksidfqzcuhtk2.onion/***\r\nКогда вы открываете наш веб-сайт, введите в форму ввода следующие данные:\r\nКлюч:\r\n*** [всего 567 знаков]\r\n!!! ОПАСНОСТЬ !!!\r\nНЕ ИЗМЕНЯЙТЕ и НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ файлы самостоятельно. Мы НЕ сможем их\r\nВОССТАНОВИТЬ.\r\n!!! ОПАСНОСТЬ !!!\r\nТехнические детали\r\nРаспространяется как RaaS на форумах кибер-андеграунда. Использует сеть Tor для сайта и публикации там же\r\nукраденной информации компаний-жертв. \r\nТекст со скриншота: \r\nDarkside\r\nLet's start\r\nWe are a new product on the market, but that does not mean that we have no experience and we came from nowhere.\r\nWe received millions of dollars profit by partnering with other well-known cryptolockers.\r\nWe created DarkSide because we didn't find the perfect product for us. Now we have it\r\nBased on our principles, we will not attack the following targets:\r\n• Medicine (hospitals, hospices).\r\n• Education (schools, universities).\r\n• Non-profit organizations.\r\n• Government sector.\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 4 of 20\n\nWe only attack companies that can pay the requested amount, we do not want to kill your business.\r\nBefore any attack, we carefully analyze your accountancy and determine how much you can pay based on your net income.\r\nYou can ask all your questions in the chat before paying and our support will answer them.\r\nWe provide the following guarantees for our targets:\r\n• We guarantee decryption of one test file.\r\n• We guarantee to provide decryptors after payment, as well as support in case of problems.\r\n• We guarantee deletion of all uploaded data from TOR CDNs after payment.\r\nIf you refuse to pay:\r\n• We will publish all your data and store it on our TOR CDNs for at least 6 months.\r\n• We will send notification of your leak to the media and your partners and customers.\r\n• We will NEVER provide you decryptors.\r\nWe take our reputation very seriously, so if paid, all guarantees will be fulfilled.\r\nIf you don't want to pay, you will add to the list of published companies on our blog and become an example for others.\r\nПеревод на русский язык: \r\nDarkside\r\nДавайте начнем\r\nМы новый продукт на рынке, но это не значит, что у нас нет опыта и мы пришли из ниоткуда.\r\nМы получили прибыль в миллионы долларов, сотрудничая с другими известными крипто-локерами.\r\nМы создали DarkSide, потому что не нашли для себя идеального продукта. Теперь у нас он есть\r\nИсходя из наших принципов, мы не будем атаковать следующие цели:\r\n• Медицина (больницы, хосписы).\r\n• Образование (школы, университеты).\r\n• Некоммерческие организации.\r\n• Государственный сектор.\r\nМы атакуем только компании, которые могут заплатить запрошенную сумму, мы не хотим губить ваш бизнес.\r\nПеред любой атакой мы тщательно анализируем вашу бухгалтерию и определяем, сколько вы можете заплатить,\r\nисходя из вашего чистого дохода.\r\nВы можете задать все интересующие вас вопросы в чате перед оплатой, и наша служба поддержки ответит на них.\r\nМы предоставляем следующие гарантии для наших целей:\r\n• Мы гарантируем расшифровку одного тестового файла.\r\n• Мы гарантируем предоставление дешифраторов после оплаты, а также поддержку в случае возникновения\r\nпроблем.\r\n• Мы гарантируем удаление всех загруженных данных из TOR CDN после оплаты.\r\nЕсли вы отказываетесь платить:\r\n• Мы опубликуем все ваши данные и будем хранить их на наших TOR CDN в течение как минимум 6 месяцев.\r\n• Мы отправим уведомление о вашей утечке средствам массовой информации, вашим партнерам и клиентам.\r\n• Мы НИКОГДА не предоставим вам дешифраторы.\r\nМы очень серьезно относимся к своей репутации, поэтому в случае оплаты все гарантии будут выполнены.\r\nЕсли вы не хотите платить, вы добавитесь в список опубликованных компаний в нашем блоге и станете примером\r\nдля других.\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и\r\nвредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 5 of 20\n\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы\r\nделайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использует пару методов для проверки принадлежности ПК к некоторым странам СНГ (проверяет\r\nGetSystemDefaultUILanguage - язык системы, GetUserDefaultLangID - язык пользователя по умолчанию). Таким\r\nобразом, не должен шифровать файлы из этих стран.\r\n➤ Перед шифрованием завершает следующие процессы, которые могут помешать шифрованию файлов: \r\nsql\r\noracle\r\nocssd\r\ndbsnmp\r\nsynctime\r\nagntsvc\r\nisqlplussvc\r\nxfssvccon\r\nmydesktopservice\r\nocautoupds\r\nencsvc\r\nfirefox\r\ntbirdconfig\r\nmydesktopqos\r\nocomm\r\ndbeng50\r\nsqbcoreservice\r\nexcel\r\ninfopath\r\nmsaccess\r\nmspub\r\nonenote\r\noutlook\r\npowerpnt\r\nsteam\r\nthebat\r\nthunderbird\r\nvisio\r\nwinword\r\nwordpad\r\nnotepad\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nВсе файлы, кроме тех, что находятся в списках пропускаемых расширений, файлов, папок, процессов.  \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\r\nобразов, архивы и пр.\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 6 of 20\n\nСписок пропускаемых расширений:\r\n.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta,\r\n.icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf,\r\n.ps1., .rom, rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx (50 расширений). \r\nСписок пропускаемых директорий:\r\nwindows\r\nappdata\r\napplication data\r\nboot\r\ngoogle\r\nmozilla\r\nprogram files\r\nprogram files (x86)\r\nprogramdata\r\nsystem volume information\r\ntor browser\r\nwindows.old\r\nintel\r\nmsocache\r\nperflogs\r\nx64dbg\r\npublic\r\nall users\r\ndefault\r\nСписок пропускаемых файлов:\r\n$recycle.bin\r\nconfig.msi\r\n$windows.~bt\r\n$windows.~ws\r\nСписок пропускаемых процессов:\r\nvmcompute.exe\r\nvmms.exe\r\nvmwp.exe\r\nsvchost.exe\r\nTeamViewer.exe\r\nexplorer.exe\r\nФайлы, связанные с этим Ransomware:\r\nacer.exe - исполняемый файл\r\nREADME.\u003crandom\u003e.TXT - название файла с требованием выкупа\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 7 of 20\n\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nМьютекс Global\\\\3e93e49583d6401ba148cd68d1f84af7 создается, чтобы могла работать только одна копия\r\nRansomware.\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: xxxx://darksidedxcftmqa.onion/\r\nEmail: - \r\nBTC: \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\n🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 8 of 20\n\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 11 августа 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .2b026f49\r\nЗаписка: README.2b026f49.TXT\r\nРезультаты анализов: VT + HA\r\n➤ Содержание записки от вымогателей:\r\n----------- [ Welcome to Dark ] -------------\u003e\r\nWhat happend?\r\n----------------------------------------------\r\nYour computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt\r\nyour data.\r\nBut you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all\r\nyour network.\r\nFollow our instructions below and you will recover all your data.\r\nData leak\r\n----------------------------------------------\r\nFirst of all we have uploaded more then 100 GB data.\r\nExample of data:\r\n - Accounting data\r\n - Executive data\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 9 of 20\n\n- Sales data\r\n - Customer Support data\r\n - Marketing data\r\n - Quality data\r\n - And more other...\r\nYour personal leak page: http://darksidedxcftmqa.onion/blog/article/id/6/dQDclB_6Kg-c-6fJesONyHoaKh9BtI8j9Wkw2inG8O72jWaOcKbrxMWbPfKrUbHC\r\nThe data is preloaded and will be automatically published if you do not pay.\r\nAfter publication, your data will be available for at least 6 months on our tor cdn servers.\r\nWe are ready:\r\n- To provide you the evidence of stolen data\r\n- To give you universal decrypting tool for all encrypted files.\r\n- To delete all the stolen data.\r\nWhat guarantees?\r\n----------------------------------------------\r\nWe value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.\r\nAll our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.\r\nWe guarantee to decrypt one file for free. Go to the site and contact us.\r\nHow to get access on website? \r\n----------------------------------------------\r\nUsing a TOR browser:\r\n1) Download and install TOR browser from this site: https://torproject.org/\r\n2) Open our website:\r\nhttp://darksidfqzcuhtk2.onion/K71D6P88YTX04R3ISCJZHMD5IYV55V9247QHJY0HJYUXX68H2P05XPRIR5SP2U68\r\nWhen you open our website, put the following data in the input form:\r\nKey:\r\npr9gzRnMz6qEwr6ovMT0cbjd9yT56NctfQZGIiVVL [всего 567 знаков]\r\n!!! DANGER !!!\r\nDO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them. \r\n!!! DANGER !!!\r\n---\r\n➤ Ссылки на сообщение для пострадавшего:\r\nhttp://darksidedxcftmqa.onion/blog/article/id/6\r\nhttp://darksidedxcftmqa.onion/blog/article/id/6/dQDclB_6Kg-c-6fJesONyHoaKh9BtI8j9Wkw2inG8O72jWaOcKbrxMWbPfKrUbHC\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 10 of 20\n\n➤ Сообщение для пострадавшей компании:\r\nEBSCO.com - More then 100 GB sensitive data.\r\nAutomatic leak publication:\r\nWe downloaded a lot of interesting data from your network.\r\nIncluded:\r\n    Accounting data\r\n    Executive data\r\n    Sales data\r\n    Customer Support data\r\n    Marketing data\r\n    Quality data\r\n    And more other...\r\nif you need proofs, we are ready to provide you with it.\r\nThe data is preloaded and will be automatically published if you do not pay.\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 11 of 20\n\nAfter publication, your data will be available for at least 6 months on our tor cdn servers.\r\n---\r\n➤ Сообщение для пострадавшей компании до и после ввода ключа:\r\n \r\n \r\nСумма выкупа:  $ 2,000,000 / 193.247 BTC / 22810.219 XMR \r\nMonero-кошелек:\r\n86R5YKD3DbMTJ1mgqiYjjsVULxwcxN5h5YyJt7Sz4B2oZEpZCnGBDZY4DG293xeeZSeF6iaDJqAoRVMeQXgUNM5x3fzyZ\r\nBTC-кошелек: bc1qena2vfl7xhc5ad7q06eeuyd563ykxmwardnt2d\r\n---\r\nВариант от 26 августа 2020:\r\nРасширение (пример): .97866079\r\nЗаписка (пример): README.97866079.TXT\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 12 of 20\n\nРезультаты анализов: VT + AR\r\nОбновление от 11 ноября 2020:\r\nОбновление от 13 ноября 2020:\r\nDarkSide Ransomware работает как RaaS, где разработчики отвечают за программирование ПО Ransomware и сайта\r\nплатежей, а аффилированные лица нанимаются для взлома предприятий и шифрования их устройств. Разработчики\r\nзабирают 10-25%, а аффилированные лица получают 75-90% от любых произведенных ими выкупных\r\nплатежей. Чтобы пресечь вымогательство правоохранительные органы и компании, занимающиеся\r\nкибербезопасностью, активно пытаются заблокировать сайты утечки данных. Вопреки этому DarkSide заявляет, что\r\nони планируют создать распределенную \"устойчивую систему хранения\" в Иране для хранения украденных данных\r\nжертвы в течение шести месяцев.\r\nПредставитель DarkSide заявляет, что не разрешает атаки на:\r\n - медицинские учреждения (больницы, хосписы);\r\n- образоватеьные учреждения (школы, университеты);\r\n- некоммерческие организации;\r\n- государственный сектор.\r\nНо сдержит ли DarkSide свое обещание не нацеливаться на них, покажет время.\r\nОбновление от 10 декабря 2020:\r\nTor-URL: xxxx://darksidfqzcuhtk2.onion\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 13 of 20\n\nОбновление от 11 января 2021:\r\nСпециалисты BitDefender выпустили дешифровщик для файлов, зашифрованных DarkSide Ransomware.\r\nОбновление от 12 января 2021:\r\nВымогатели внесли изменения в шифрование и сообщили об этом на форуме.\r\nВариант от 15 января 2921:\r\nРасширение (пример): .c06622a1\r\nЗаписка (пример): README.c06622a1.TXT\r\nШтамп даты: 23 декабря 2020. \r\nРезультат анализов: VT + VMR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33337\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.DarkSide.A\r\nTrendMicro -\u003e Ransom.Win32.DARKSIDE.SMYAAK-B\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 14 of 20\n\nВариант от 24 января 2021:\r\nСообщение \u003e\u003e\r\nРасширение: .c06622a1\r\nTor-URL: darksidedxcftmqa.onion/***\r\nTor-URL: darksidfqzcuhtk2.onion/***\r\nURL: securebestapp20.com\r\nРезультаты анализов: VT + HA + VMR\r\nВариант от 3 февраля 2021:\r\nРасширение: .0b4dc49f\r\nПримеры записок: \r\nREADME.418990b0.TXT\r\nREADME.0b4dc49f.TXT\r\nРезультты анализов: VT + AR + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33337\r\nALYac -\u003e Trojan.Ransom.DarkSide\r\nBitDefender -\u003e Gen:Heur.Ransom.RTH.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.DarkSide.A\r\nMalwarebytes -\u003e Ransom.DarkSide\r\nSymantec -\u003e Ransom.Darkside\r\nTrendMicro -\u003e Ransom.Win32.DARKSIDE.SMYAAK-B\r\nВариант 23 февраля 2021: \r\nРасширение: .0b4dc49f\r\nЗаписка: README.0b4dc49f.TXT\r\nСумма выкупа: $ 6.000.000\r\nURL: xxxx://darksidfqzcuhtk2.onion/***\r\nРезультаты анализов: AR\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 15 of 20\n\nВариант 28 февраля 2021: \r\nФайл: calimalimodumator.exe\r\nРезультаты анализов: AR + AR + VT + HA\r\nВариант 28 февраля 2021: \r\nРасширение: .0b4dc49f\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 16 of 20\n\nЗаписка: README.0b4dc49f.TXT\r\nURL: xxxx://darksidfqzcuhtk2.onion/***\r\nФайл: homie.exe, MicSwitch.exe\r\nРезультаты анализов: AR + VT + IA\r\n \r\nОбновление от 11 марта 2021:\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 17 of 20\n\nВариант от 1 мая 2021: \r\nСообщение \u003e\u003e\r\nРасширение: .425b93ba\r\nЗаписка: README.425b93ba.TXT\r\nTor-URL: hxxx://dark24zz36xm4y2phwe7yvnkkkkhxionhfrwp67awpb3r3bdcneivoqd.onion/*\r\nРезультаты анализов: VT + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33763\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 18 of 20\n\nBitDefender -\u003e Trojan.GenericKD.46189032\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.DarkSide.B\r\nMalwarebytes -\u003e Ransom.DarkSide\r\nMicrosoft -\u003e Ransom:Win32/DarkSide.DA!MTB\r\nTrendMicro -\u003e Ransom_DarkSide.R002C0DE121\r\nСообщение от 18 мая 2021:\r\nВымогатели, использующие DarkSide Ransomware, собрали с пострадавших около 90 миллионов долларов в виде\r\nвыкупа, выплаченного жертвами за последние девять месяцев на несколько BTC-кошельков. Подсчитано, что \r\nразработчики DarkSide Ransomware получил из общей прибыли биткойны на сумму 15,5 млн долларов. Филиалы\r\nили партнеры обычно получают львиную долю денег, потому что они делают большую часть работы: взламывают\r\nсети жертв, крадут данные и развертывают вредоносное ПО для шифрования файлов. В случае с DarkSide они\r\nполучали от 75% до 90% прибыли, в зависимости от размера выкупа.\r\nСообщение от 18 июня 2021:\r\nЭлементы вымогательства (email-адреса, BTC-кошелек) будут идентифицироваться на сайте \"ID Ransomware\" как\r\n\"Fake DarkSide\". \r\nОт имени DarkSide с 4 июня 2021 года проводится мошенническая email-компания, нацеленная на email-адреса\r\nкомпаний энергетической и пищевой промышленности. Никаких фактических атак не было прослежено. \r\nЦелевые станы: Аргентина, Австралия, Канада, США, Великобритания, Индия, Китай, Колумбия, Мексика,\r\nНидерланды, Таиланд, \r\nEmail: darkside@99email.xyz, darkside@solpatu.space\r\nBTC: bc1qcwrl3yaj8pqevj5hw3363tycx2x6m4nkaaqd5e\r\nСумма выкупа до 100 BTC. \r\n➤ Образец текста электронного письма:\r\nHi, this is DarkSide. \r\nIt took us a lot of time to hack your servers and access all your accounting reporting. Also, we got access to many financial\r\ndocuments and other data that can greatly affect your reputation if we publish them.\r\nIt was difficult, but luck was helped by us - one of your employees is extremely unqualified in network security issues. You\r\ncould hear about us from the press - recently we held a successful attack on the Colonial Pipeline.\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 19 of 20\n\nFor non-disclosure of your confidential information, we require not so much - 100 bitcoins. Think about it, these documents\r\nmay be interested not only by ordinary people, but also the tax service and other organizations, if they are in open access ...\r\nWe are not going to wait long - you have several days.\r\nOur bitcoin wallet - bc1qcwrl3yaj8pqevj5hw3363tycx2x6m4nkaaqd5e\r\n---\r\nБиткойн-кошелек в конце каждого письма одинаков для всех целей. На момент написания этого сообщения на BTC-кошелёк платежи не поступали. \r\nКроме рассылки целевых email-писем те же злоумышленники заполнили контактные формы на сайтах некоторых\r\nкомпаний. Содержание такое же, как и в email-письмах. Один IP-адрес отправителей, 205.185.127.35, оказался\r\nвыходным узлом сети Tor. \r\n---\r\n«В целом, эта кампания выглядит дилетантской по сравнению с известными предыдущими мероприятиями\r\nDarkSide. Мы считаем, что большинство компаний не будут платить эту сумму, пока не получат какие-либо\r\nреальные доказательства того, что сеть была скомпрометирована и конфиденциальные могут быть опубликованы», -\r\nсообщает Trend Micro. \r\n***\r\nИтак, проект DarkSide закрыт, а на его основе был запущен другой вымогательский проект, который\r\nназывается BlackMatter Ransomware. Исследователи считают его прямым продолжением DarkSide, но так ли на\r\nсамом деле, никто не знает. \r\nИсследования прекращены. Статья закрыта. \r\nSource: https://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html\r\nPage 20 of 20",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/08/darkside-ransomware.html"
	],
	"report_names": [
		"darkside-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775433972,
	"ts_updated_at": 1775791308,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/0903a83df09b0befc892d0f86528a03f55779810.pdf",
		"text": "https://archive.orkl.eu/0903a83df09b0befc892d0f86528a03f55779810.txt",
		"img": "https://archive.orkl.eu/0903a83df09b0befc892d0f86528a03f55779810.jpg"
	}
}