Diamond (Duckcryptor) Ransomware låser dine filer

Mens vi gennemgik nyligt opdagede ondsindede filprøver, stødte vores forskere på Diamond ransomware, også kendt som Duckcryptor. Denne ondsindede software er udviklet til at kryptere data og kræve betaling for dets dekryptering.

I vores testmiljø krypterede Diamond ransomware filer og tilføjede en ".[Dyamond@firemail.de].duckryptor"-udvidelse til deres filnavne. For eksempel vil en fil, der oprindeligt hedder "1.jpg" vises som "1.jpg.[Dyamond@firemail.de].duckryptor", mens "2.png" ville blive "2.png.[Dyamond@firemail.de" ].duckryptor", og så videre.

Efter kryptering ændrede ransomware skrivebordsbaggrunden og genererede to løsesumsedler ved navn "Duckryption_info.hta" og "Duckryption_README.txt". Selvom disse noter har forskellig tekst, formidler de et lignende krav: offeret skal betale en løsesum i Bitcoin kryptovaluta for at gendanne deres krypterede filer. Før offeret efterkommer løsesumskravene, har offeret mulighed for at teste dekryptering på op til to filer, underlagt visse specifikationer.

Løsepengenotaterne advarer mod at forsøge manuel dekryptering eller bruge tredjepartsværktøjer, da disse handlinger kan føre til permanent datatab. Den medfølgende tekstfil uddyber yderligere de risici, der er forbundet med at søge bistand fra tredjepart.

Pop-up for diamant (Duckcryptor) løsepengenotat

Pop op-vinduet produceret af ransomwaren indeholder følgende tekst:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Ransomwaren producerer en anden løsesum note inde i en almindelig tekstfil, der indeholder mere eller mindre lignende oplysninger og instruktioner.

Hvordan kan Ransomware inficere din computer?

Ransomware kan inficere din computer på forskellige måder, herunder:

Phishing-e-mails: En almindelig metode er gennem phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links. Disse e-mails fremstår ofte som legitime og kan efterligne betroede enheder såsom banker, offentlige myndigheder eller velkendte virksomheder. Hvis du klikker på links eller downloader vedhæftede filer fra disse e-mails, kan det føre til installation af ransomware på din computer.

Ondsindede websteder: Besøg af ondsindede eller kompromitterede websteder kan også udsætte din computer for ransomware. Disse websteder kan indeholde udnyttelsessæt, der automatisk downloader og installerer ransomware på dit system uden din viden eller samtykke.

Udnyttelse af sårbarheder: Ransomware kan udnytte sikkerhedssårbarheder i forældet software eller operativsystemer. Angribere udnytter kendte sårbarheder til at infiltrere systemer og implementere ransomware-nyttelast.

Remote Desktop Protocol (RDP): Angribere kan udnytte svage adgangskoder eller standardadgangskoder på RDP-forbindelser (Remote Desktop Protocol) for at få uautoriseret adgang til computere og implementere ransomware.

Malvertising: Ondsindede annoncer eller malvertising, der vises på legitime websteder, kan omdirigere brugere til ondsindede websteder, der hoster ransomware eller udnyttelsessæt.