Diamond (Duckcryptor) Ransomware sperrt Ihre Dateien

Beim Durchsehen neu entdeckter bösartiger Dateibeispiele stießen unsere Forscher auf die Diamond-Ransomware, auch bekannt als Duckcryptor. Diese Schadsoftware ist darauf ausgelegt, Daten zu verschlüsseln und für deren Entschlüsselung eine Zahlung zu verlangen.

In unserer Testumgebung verschlüsselte die Diamond-Ransomware Dateien und fügte ihren Dateinamen die Erweiterung „.[Dyamond@firemail.de].duckryptor“ hinzu. So würde beispielsweise eine Datei mit dem ursprünglichen Namen „1.jpg“ als „1.jpg.[Dyamond@firemail.de].duckryptor“ erscheinen, während „2.png“ zu „2.png.[Dyamond@firemail.de].duckryptor“ würde und so weiter.

Nach der Verschlüsselung änderte die Ransomware das Desktop-Hintergrundbild und generierte zwei Lösegeldforderungen mit den Namen „Duckryption_info.hta“ und „Duckryption_README.txt“. Obwohl diese Forderungen unterschiedlichen Text aufweisen, enthalten sie eine ähnliche Forderung: Das Opfer muss ein Lösegeld in der Kryptowährung Bitcoin zahlen, um seine verschlüsselten Dateien wiederherzustellen. Bevor das Opfer der Lösegeldforderung nachkommt, hat es die Möglichkeit, die Entschlüsselung an bis zu zwei Dateien unter bestimmten Bedingungen zu testen.

Die Lösegeldforderung warnt vor manuellen Entschlüsselungsversuchen oder der Verwendung von Drittanbieter-Tools, da diese Aktionen zu einem dauerhaften Datenverlust führen können. Die beigefügte Textdatei erläutert die Risiken, die mit der Inanspruchnahme der Hilfe von Drittanbietern verbunden sind, ausführlicher.

Diamond (Duckcryptor) Lösegeldforderung-Popup

Das von der Ransomware erzeugte Popup enthält den folgenden Text:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Die Ransomware erstellt einen weiteren Lösegeldbrief in einer einfachen Textdatei, der mehr oder weniger ähnliche Informationen und Anweisungen enthält.

Wie kann Ransomware Ihren Computer infizieren?

Ransomware kann Ihren Computer auf verschiedene Weise infizieren, unter anderem:

Phishing-E-Mails: Eine gängige Methode sind Phishing-E-Mails mit schädlichen Anhängen oder Links. Diese E-Mails erscheinen oft legitim und geben sich möglicherweise als vertrauenswürdige Stellen wie Banken, Behörden oder bekannte Unternehmen aus. Wenn Sie auf Links aus diesen E-Mails klicken oder Anhänge herunterladen, kann dies zur Installation von Ransomware auf Ihrem Computer führen.

Bösartige Websites: Der Besuch bösartiger oder manipulierter Websites kann Ihren Computer auch Ransomware aussetzen. Diese Websites können Exploit-Kits enthalten, die ohne Ihr Wissen oder Ihre Zustimmung automatisch Ransomware herunterladen und auf Ihrem System installieren.

Ausnutzen von Schwachstellen: Ransomware kann Sicherheitslücken in veralteter Software oder Betriebssystemen ausnutzen. Angreifer nutzen bekannte Schwachstellen aus, um Systeme zu infiltrieren und Ransomware-Payloads bereitzustellen.

Remote Desktop Protocol (RDP): Angreifer können schwache oder standardmäßige Passwörter bei Remote Desktop Protocol (RDP)-Verbindungen ausnutzen, um unbefugten Zugriff auf Computer zu erhalten und Ransomware zu installieren.

Malvertising: Bösartige Werbung oder Malvertising, die auf legitimen Websites angezeigt wird, kann Benutzer auf bösartige Websites umleiten, die Ransomware oder Exploit-Kits hosten.