Dark Power ransomware
A Trellix azonosított egy új Dark Power nevű zsarolóprogramot, amely már megjelenítette az első tíz áldozatát a Dark webes adatszivárogtató oldalán, azzal fenyegetve, hogy közzéteszi az adatokat, ha nem fizetik ki a váltságdíjat. A Trellix szerint viszonylag kis, 10 000 dolláros váltságdíjat kér.
A Trellix nem közöl részleteket a Dark Power fertőzési vektráról, így lehet, hogy kihasználás, adathalász e-mailek vagy egyéb eszközök. Végrehajtáskor a ransomware véletlenszerű, 64 karakter hosszú ASCII karakterláncot hoz létre a titkosítási algoritmus inicializálásához, egyedi kulccsal minden egyes végrehajtásnál, majd a zsarolóprogram bizonyos szolgáltatásokat és folyamatokat leállít az áldozat gépén, hogy felszabadítson fájlokat titkosításra, és minimalizálja annak esélyét, hogy bármi blokkolja a fájlzárolási folyamatot.
A ransomware két változata keringett a hálózatokon, más-más titkosítási kulcs sémával. Az első változat kivonatolja az ASCII karakterláncot az SHA-256 algoritmussal, majd az eredményt két részre osztja, az elsőt AES kulcsként, a másodikat inicializálási vektorként (nonce) használva. A második változat az SHA-256 használja AES-kulcsként, és egy rögzített 128 bites értéket titkosítási nonce-ként.