Diamond (Duckcryptor) Ransomware kommer att låsa dina filer

När vi gick igenom nyupptäckta skadliga filprover, stötte våra forskare på Diamond ransomware, även känd som Duckcryptor. Denna skadliga programvara är konstruerad för att kryptera data och kräva betalning för dess dekryptering.

I vår testmiljö krypterade Diamond ransomware filer och lade till ett ".[Dyamond@firemail.de].duckryptor"-tillägg till sina filnamn. Till exempel skulle en fil som ursprungligen hette "1.jpg" visas som "1.jpg.[Dyamond@firemail.de].duckryptor", medan "2.png" skulle bli "2.png.[Dyamond@firemail.de" ].duckryptor", och så vidare.

Efter kryptering ändrade ransomware skrivbordsunderlägget och genererade två lösensedlar med namnet "Duckryption_info.hta" och "Duckryption_README.txt". Även om dessa anteckningar har en annan text, förmedlar de ett liknande krav: offret måste betala en lösensumma i Bitcoin kryptovaluta för att återställa sina krypterade filer. Innan offret uppfyller kraven på lösen har offret möjlighet att testa dekryptering på upp till två filer, med förbehåll för vissa specifikationer.

Lösenanteckningarna varnar för att försöka manuellt dekryptera eller använda verktyg från tredje part, eftersom dessa åtgärder kan leda till permanent dataförlust. Den medföljande textfilen utvecklar ytterligare riskerna med att söka hjälp från tredje part.

Popup-fönster för Diamond (Duckcryptor) Ransom Note

Popup-fönstret som produceras av ransomware innehåller följande text:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Lösenprogrammet producerar ytterligare en lösennota i en vanlig textfil, som innehåller mer eller mindre liknande information och instruktioner.

Hur kan Ransomware infektera din dator?

Ransomware kan infektera din dator på olika sätt, inklusive:

Nätfiske-e-post: En vanlig metod är genom nätfiske-e-postmeddelanden som innehåller skadliga bilagor eller länkar. Dessa e-postmeddelanden verkar ofta legitima och kan vara betrodda enheter som banker, statliga myndigheter eller välkända företag. Att klicka på länkar eller ladda ner bilagor från dessa e-postmeddelanden kan leda till installation av ransomware på din dator.

Skadliga webbplatser: Att besöka skadliga eller komprometterade webbplatser kan också utsätta din dator för ransomware. Dessa webbplatser kan innehålla exploateringssatser som automatiskt laddar ner och installerar ransomware på ditt system utan din vetskap eller medgivande.

Utnyttja sårbarheter: Ransomware kan utnyttja säkerhetssårbarheter i föråldrad programvara eller operativsystem. Angripare utnyttjar kända sårbarheter för att infiltrera system och distribuera nyttolaster för ransomware.

Remote Desktop Protocol (RDP): Angripare kan utnyttja svaga eller standardlösenord på Remote Desktop Protocol (RDP)-anslutningar för att få obehörig åtkomst till datorer och distribuera ransomware.

Malvertising: Skadlig reklam, eller malvertising, som visas på legitima webbplatser kan omdirigera användare till skadliga webbplatser som är värd för ransomware eller exploateringssatser.