Το Diamond (Duckcryptor) Ransomware θα κλειδώσει τα αρχεία σας

Κατά την εξέταση δειγμάτων κακόβουλων αρχείων που ανακαλύφθηκαν πρόσφατα, οι ερευνητές μας βρήκαν το Diamond ransomware, γνωστό και ως Duckcryptor. Αυτό το κακόβουλο λογισμικό έχει σχεδιαστεί για να κρυπτογραφεί δεδομένα και να απαιτεί πληρωμή για την αποκρυπτογράφηση του.

Στο περιβάλλον δοκιμών μας, το Diamond ransomware κρυπτογραφούσε αρχεία και προσάρτησε μια επέκταση ".[Dyamond@firemail.de].duckryptor" στα ονόματα των αρχείων τους. Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" θα εμφανιζόταν ως "1.jpg.[Dyamond@firemail.de].duckryptor", ενώ το "2.png" θα γίνει "2.png.[Dyamond@firemail.de ].duckryptor", και ούτω καθεξής.

Μετά την κρυπτογράφηση, το ransomware άλλαξε την ταπετσαρία της επιφάνειας εργασίας και δημιούργησε δύο σημειώσεις λύτρων με το όνομα "Duckryption_info.hta" και "Duckryption_README.txt". Αν και αυτές οι σημειώσεις περιέχουν διαφορετικό κείμενο, μεταφέρουν μια παρόμοια απαίτηση: το θύμα πρέπει να πληρώσει λύτρα σε κρυπτονομίσματα Bitcoin για να ανακτήσει τα κρυπτογραφημένα αρχεία του. Πριν συμμορφωθεί με τις απαιτήσεις για λύτρα, το θύμα έχει τη δυνατότητα να δοκιμάσει την αποκρυπτογράφηση σε έως και δύο αρχεία, σύμφωνα με ορισμένες προδιαγραφές.

Το λύτρα σημειώνει προσοχή κατά της απόπειρας μη αυτόματης αποκρυπτογράφησης ή χρήσης εργαλείων τρίτων, καθώς αυτές οι ενέργειες μπορεί να οδηγήσουν σε μόνιμη απώλεια δεδομένων. Το συνοδευτικό αρχείο κειμένου επεξεργάζεται περαιτέρω τους κινδύνους που συνδέονται με την αναζήτηση βοήθειας από τρίτους.

Αναδυόμενο παράθυρο Diamond (Duckcryptor) Ransom Note

Το αναδυόμενο παράθυρο που παράγεται από το ransomware περιέχει το ακόλουθο κείμενο:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Το ransomware παράγει μια άλλη σημείωση λύτρων μέσα σε ένα αρχείο απλού κειμένου, που περιέχει λίγο πολύ τις παρόμοιες πληροφορίες και οδηγίες.

Πώς μπορεί το Ransomware να μολύνει τον υπολογιστή σας;

Το Ransomware μπορεί να μολύνει τον υπολογιστή σας με διάφορους τρόπους, όπως:

Email ηλεκτρονικού ψαρέματος: Μια κοινή μέθοδος είναι μέσω email ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου εμφανίζονται συχνά νόμιμα και ενδέχεται να πλαστοπροσωπούν αξιόπιστες οντότητες όπως τράπεζες, κρατικές υπηρεσίες ή γνωστές εταιρείες. Κάνοντας κλικ σε συνδέσμους ή λήψη συνημμένων από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να οδηγήσει στην εγκατάσταση ransomware στον υπολογιστή σας.

Κακόβουλοι ιστότοποι: Η επίσκεψη σε κακόβουλους ή παραβιασμένους ιστότοπους μπορεί επίσης να εκθέσει τον υπολογιστή σας σε ransomware. Αυτοί οι ιστότοποι ενδέχεται να περιέχουν κιτ εκμετάλλευσης που πραγματοποιούν αυτόματη λήψη και εγκατάσταση ransomware στο σύστημά σας χωρίς τη γνώση ή τη συγκατάθεσή σας.

Εκμετάλλευση ευπαθειών: Το Ransomware μπορεί να εκμεταλλευτεί ευπάθειες ασφαλείας σε απαρχαιωμένο λογισμικό ή λειτουργικά συστήματα. Οι εισβολείς εκμεταλλεύονται γνωστά τρωτά σημεία για να διεισδύσουν σε συστήματα και να αναπτύξουν ωφέλιμα φορτία ransomware.

Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς μπορούν να εκμεταλλευτούν αδύναμους ή προεπιλεγμένους κωδικούς πρόσβασης στις συνδέσεις Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP) για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε υπολογιστές και να αναπτύξουν ransomware.

Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις ή κακόβουλες διαφημίσεις, που εμφανίζονται σε νόμιμους ιστότοπους μπορούν να ανακατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους που φιλοξενούν κιτ ransomware ή εκμετάλλευσης.