Diamond (Duckcryptor) Ransomware vil låse filene dine

Mens vi gikk gjennom nyoppdagede ondsinnede filprøver, kom våre forskere over Diamond løsepengeprogramvare, også kjent som Duckcryptor. Denne ondsinnede programvaren er konstruert for å kryptere data og kreve betaling for dekrypteringen.

I vårt testmiljø krypterte Diamond løsepengevaren filer og la til en ".[Dyamond@firemail.de].duckryptor"-utvidelse til filnavnene deres. For eksempel vil en fil opprinnelig kalt "1.jpg" vises som "1.jpg.[Dyamond@firemail.de].duckryptor", mens "2.png" vil bli "2.png.[Dyamond@firemail.de" ].duckryptor", og så videre.

Etter kryptering endret løsepengevaren skrivebordsbakgrunnen og genererte to løsepenger med navnet "Duckryption_info.hta" og "Duckryption_README.txt". Selv om disse notatene har forskjellig tekst, formidler de et lignende krav: offeret må betale løsepenger i Bitcoin kryptovaluta for å gjenopprette sine krypterte filer. Før offeret etterkommer løsepengekravene, har offeret muligheten til å teste dekryptering på opptil to filer, underlagt visse spesifikasjoner.

Løsepengene advarer mot å forsøke manuell dekryptering eller bruke tredjepartsverktøy, da disse handlingene kan føre til permanent tap av data. Den medfølgende tekstfilen utdyper ytterligere risikoene forbundet med å søke bistand fra tredjeparter.

Pop-up for Diamond (Duckcryptor) løsepengenotat

Popup-vinduet produsert av løsepengevaren inneholder følgende tekst:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Løsepengevaren produserer en annen løsepengenota i en ren tekstfil, som inneholder mer eller mindre lignende informasjon og instruksjoner.

Hvordan kan ransomware infisere datamaskinen din?

Ransomware kan infisere datamaskinen din på forskjellige måter, inkludert:

Phishing-e-poster: En vanlig metode er gjennom phishing-e-poster som inneholder ondsinnede vedlegg eller lenker. Disse e-postene virker ofte legitime og kan utgi seg for pålitelige enheter som banker, offentlige etater eller kjente selskaper. Å klikke på lenker eller laste ned vedlegg fra disse e-postene kan føre til installasjon av løsepengevare på datamaskinen din.

Ondsinnede nettsteder: Å besøke ondsinnede eller kompromitterte nettsteder kan også utsette datamaskinen din for løsepengeprogramvare. Disse nettstedene kan inneholde utnyttelsessett som automatisk laster ned og installerer løsepengevare på systemet ditt uten din viten eller samtykke.

Utnyttelse av sårbarheter: Ransomware kan utnytte sikkerhetssårbarheter i utdatert programvare eller operativsystemer. Angripere utnytter kjente sårbarheter for å infiltrere systemer og distribuere løsepengeprogramvare.

Remote Desktop Protocol (RDP): Angripere kan utnytte svake eller standard passord på Remote Desktop Protocol (RDP)-tilkoblinger for å få uautorisert tilgang til datamaskiner og distribuere løsepengeprogramvare.

Malvertising: Ondsinnede annonser, eller malvertising, som vises på legitime nettsteder kan omdirigere brukere til ondsinnede nettsteder som er vert for løsepengeprogramvare eller utnyttelsessett.