Diamond (Duckcryptor) Ransomware vergrendelt uw bestanden

Terwijl ze nieuw ontdekte kwaadaardige bestandsvoorbeelden doornamen, kwamen onze onderzoekers de Diamond-ransomware tegen, ook bekend als Duckcryptor. Deze schadelijke software is ontworpen om gegevens te versleutelen en betaling te eisen voor de ontsleuteling ervan.

Op onze testomgeving versleutelde de Diamond ransomware bestanden en voegde een ".[Dyamond@firemail.de].duckryptor" extensie toe aan hun bestandsnamen. Een bestand dat oorspronkelijk "1.jpg" heette, zou bijvoorbeeld verschijnen als "1.jpg.[Dyamond@firemail.de].duckryptor", terwijl "2.png" "2.png.[Dyamond@firemail.de" zou worden. ].duckryptor", enzovoort.

Na de versleuteling veranderde de ransomware de bureaubladachtergrond en genereerde twee losgeldbriefjes genaamd "Duckryption_info.hta" en "Duckryption_README.txt". Hoewel deze aantekeningen een andere tekst bevatten, brengen ze een soortgelijke eis over: het slachtoffer moet losgeld in Bitcoin-cryptocurrency betalen om zijn gecodeerde bestanden te herstellen. Voordat het slachtoffer aan de losgeldeisen voldoet, heeft het de mogelijkheid om de decodering van maximaal twee bestanden te testen, afhankelijk van bepaalde specificaties.

Het losgeld vermeldt voorzichtigheid bij pogingen tot handmatige decodering of het gebruik van tools van derden, aangezien deze acties kunnen leiden tot permanent gegevensverlies. In het bijbehorende tekstbestand wordt nader ingegaan op de risico’s die gepaard gaan met het inschakelen van hulp van derden.

Diamond (Duckcryptor) pop-up met losgeldbriefje

De pop-up die door de ransomware wordt geproduceerd, bevat de volgende tekst:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

De ransomware produceert nog een losgeldbrief in een tekstbestand, met min of meer vergelijkbare informatie en instructies.

Hoe kan ransomware uw computer infecteren?

Ransomware kan uw computer op verschillende manieren infecteren, waaronder:

Phishing-e-mails: Een veelgebruikte methode is het gebruik van phishing-e-mails die kwaadaardige bijlagen of links bevatten. Deze e-mails lijken vaak legitiem en kunnen zich voordoen als vertrouwde entiteiten zoals banken, overheidsinstanties of bekende bedrijven. Als u op links klikt of bijlagen van deze e-mails downloadt, kan dit leiden tot de installatie van ransomware op uw computer.

Schadelijke websites: Het bezoeken van kwaadaardige of gecompromitteerde websites kan uw computer ook blootstellen aan ransomware. Deze websites kunnen exploitkits bevatten die automatisch ransomware downloaden en op uw systeem installeren zonder uw medeweten of toestemming.

Kwetsbaarheden misbruiken: Ransomware kan misbruik maken van beveiligingskwetsbaarheden in verouderde software of besturingssystemen. Aanvallers profiteren van bekende kwetsbaarheden om systemen te infiltreren en ransomware-payloads te implementeren.

Remote Desktop Protocol (RDP): Aanvallers kunnen zwakke of standaardwachtwoorden op Remote Desktop Protocol (RDP)-verbindingen misbruiken om ongeautoriseerde toegang tot computers te verkrijgen en ransomware te implementeren.

Malvertising: Schadelijke advertenties, of malvertising, die op legitieme websites worden weergegeven, kunnen gebruikers omleiden naar kwaadaardige websites die ransomware of exploitkits hosten.