Diamond (Duckcryptor) Ransomware bloqueará seus arquivos

Ao analisar amostras de arquivos maliciosos recém-descobertos, nossos pesquisadores encontraram o ransomware Diamond, também conhecido como Duckcryptor. Este software malicioso é projetado para encriptar dados e exigir pagamento pela sua desencriptação.

Em nosso ambiente de teste, o ransomware Diamond criptografou arquivos e anexou uma extensão ".[Dyamond@firemail.de].duckryptor" aos seus nomes de arquivo. Por exemplo, um arquivo originalmente chamado "1.jpg" apareceria como "1.jpg.[Dyamond@firemail.de].duckryptor", enquanto "2.png" se tornaria "2.png.[Dyamond@firemail.de]. .duckryptor" e assim por diante.

Após a criptografia, o ransomware alterou o papel de parede da área de trabalho e gerou duas notas de resgate chamadas "Duckryption_info.hta" e "Duckryption_README.txt". Embora essas notas apresentem textos diferentes, elas transmitem uma demanda semelhante: a vítima deve pagar um resgate em criptomoeda Bitcoin para recuperar seus arquivos criptografados. Antes de cumprir as exigências de resgate, a vítima tem a opção de testar a desencriptação de até dois ficheiros, sujeito a certas especificações.

As notas de resgate alertam contra a tentativa de descriptografia manual ou o uso de ferramentas de terceiros, pois essas ações podem levar à perda permanente de dados. O arquivo de texto que acompanha detalha os riscos associados à busca de assistência de terceiros.

Pop-up de nota de resgate Diamond (Duckcryptor)

O pop-up produzido pelo ransomware contém o seguinte texto:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

O ransomware produz outra nota de resgate dentro de um arquivo de texto simples, contendo mais ou menos informações e instruções semelhantes.

Como o ransomware pode infectar seu computador?

O ransomware pode infectar seu computador por vários meios, incluindo:

E-mails de phishing: um método comum é por meio de e-mails de phishing que contêm anexos ou links maliciosos. Esses e-mails geralmente parecem legítimos e podem se passar por entidades confiáveis, como bancos, agências governamentais ou empresas conhecidas. Clicar em links ou baixar anexos desses e-mails pode levar à instalação de ransomware em seu computador.

Sites maliciosos: visitar sites maliciosos ou comprometidos também pode expor seu computador a ransomware. Esses sites podem conter kits de exploração que baixam e instalam ransomware automaticamente em seu sistema sem o seu conhecimento ou consentimento.

Explorando vulnerabilidades: O ransomware pode explorar vulnerabilidades de segurança em software ou sistemas operacionais desatualizados. Os invasores aproveitam vulnerabilidades conhecidas para se infiltrar em sistemas e implantar cargas de ransomware.

Protocolo de Área de Trabalho Remota (RDP): Os invasores podem explorar senhas fracas ou padrão em conexões de Protocolo de Área de Trabalho Remota (RDP) para obter acesso não autorizado a computadores e implantar ransomware.

Malvertising: Anúncios maliciosos, ou malvertising, exibidos em sites legítimos podem redirecionar os usuários para sites maliciosos que hospedam ransomware ou kits de exploração.