Ransomware Diamond (Duckcryptor) zablokuje Twoje pliki

Przeglądając nowo odkryte próbki złośliwych plików, nasi badacze natknęli się na oprogramowanie ransomware Diamond, znane również jako Duckcryptor. Celem tego złośliwego oprogramowania jest szyfrowanie danych i żądanie zapłaty za ich odszyfrowanie.

W naszym środowisku testowym oprogramowanie ransomware Diamond szyfrowało pliki i dołączało rozszerzenie „.[Dyamond@firemail.de].duckryptor” do ich nazw plików. Na przykład plik pierwotnie nazwany „1.jpg” będzie wyświetlany jako „1.jpg.[Dyamond@firemail.de].duckryptor”, a plik „2.png” będzie miał postać „2.png.[Dyamond@firemail.de .duckryptor” i tak dalej.

Po zaszyfrowaniu ransomware zmieniło tapetę pulpitu i wygenerowało dwie notatki z żądaniem okupu o nazwach „Duckryption_info.hta” i „Duckryption_README.txt”. Chociaż notatki te zawierają inny tekst, niosą ze sobą podobne żądanie: ofiara musi zapłacić okup w kryptowalutie Bitcoin, aby odzyskać zaszyfrowane pliki. Przed spełnieniem żądań okupu ofiara ma możliwość przetestowania odszyfrowania maksymalnie dwóch plików, z zastrzeżeniem określonych specyfikacji.

W okupie przestrzega się przed próbami ręcznego odszyfrowania lub korzystania z narzędzi innych firm, ponieważ działania te mogą prowadzić do trwałej utraty danych. Załączony plik tekstowy szczegółowo opisuje ryzyko związane z szukaniem pomocy u osób trzecich.

Wyskakujące okienko z żądaniem okupu Diamond (Duckcryptor).

Wyskakujące okienko generowane przez ransomware zawiera następujący tekst:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Ransomware generuje kolejną notatkę z żądaniem okupu w zwykłym pliku tekstowym, zawierającym mniej więcej podobne informacje i instrukcje.

W jaki sposób oprogramowanie ransomware może zainfekować Twój komputer?

Ransomware może zainfekować komputer na różne sposoby, w tym:

E-maile phishingowe: Jedną z powszechnych metod są e-maile phishingowe zawierające złośliwe załączniki lub łącza. Te e-maile często wydają się wiarygodne i mogą podszywać się pod zaufane podmioty, takie jak banki, agencje rządowe lub znane firmy. Kliknięcie linków lub pobranie załączników z tych e-maili może spowodować instalację oprogramowania ransomware na Twoim komputerze.

Złośliwe witryny internetowe: odwiedzanie złośliwych lub zagrożonych witryn internetowych może również narazić komputer na oprogramowanie ransomware. Strony te mogą zawierać zestawy exploitów, które automatycznie pobierają i instalują oprogramowanie ransomware w Twoim systemie bez Twojej wiedzy i zgody.

Wykorzystywanie luk w zabezpieczeniach: Ransomware może wykorzystywać luki w zabezpieczeniach nieaktualnego oprogramowania lub systemów operacyjnych. Atakujący wykorzystują znane luki w zabezpieczeniach, aby infiltrować systemy i wdrażać oprogramowanie ransomware.

Protokół Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać słabe lub domyślne hasła do połączeń protokołu Remote Desktop Protocol (RDP), aby uzyskać nieautoryzowany dostęp do komputerów i zainstalować oprogramowanie ransomware.

Złośliwe reklamy: złośliwe reklamy lub złośliwe reklamy wyświetlane na legalnych stronach internetowych mogą przekierowywać użytkowników do złośliwych witryn zawierających oprogramowanie ransomware lub zestawy exploitów.