Il ransomware Diamond (Duckcryptor) bloccherà i tuoi file

Analizzando campioni di file dannosi appena scoperti, i nostri ricercatori si sono imbattuti nel ransomware Diamond, noto anche come Duckcryptor. Questo software dannoso è progettato per crittografare i dati e richiedere il pagamento per la decrittografia.

Nel nostro ambiente di test, il ransomware Diamond ha crittografato i file e ha aggiunto l'estensione ".[Dyamond@firemail.de].duckryptor" ai nomi dei file. Ad esempio, un file originariamente chiamato "1.jpg" apparirebbe come "1.jpg.[Dyamond@firemail.de].duckryptor", mentre "2.png" diventerebbe "2.png.[Dyamond@firemail.de ].duckryptor", e così via.

Dopo la crittografia, il ransomware ha alterato lo sfondo del desktop e ha generato due richieste di riscatto denominate "Duckryption_info.hta" e "Duckryption_README.txt". Sebbene queste note contengano testo diverso, trasmettono una richiesta simile: la vittima deve pagare un riscatto in criptovaluta Bitcoin per recuperare i propri file crittografati. Prima di soddisfare le richieste di riscatto, la vittima ha la possibilità di testare la decrittazione su un massimo di due file, in base a determinate specifiche.

Il riscatto avverte di cautela contro il tentativo di decrittazione manuale o l'utilizzo di strumenti di terze parti, poiché queste azioni potrebbero portare alla perdita permanente dei dati. Il file di testo allegato approfondisce ulteriormente i rischi associati alla richiesta di assistenza da parte di terzi.

Pop-up della richiesta di riscatto di Diamond (Duckcryptor).

Il pop-up prodotto dal ransomware contiene il seguente testo:

Diamond Ransomware
All your files have been Encrypted

What Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.de

How can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.com

What is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.

Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Il ransomware produce un'altra richiesta di riscatto all'interno di un file di testo semplice, contenente più o meno informazioni e istruzioni simili.

Come può il ransomware infettare il tuo computer?

Il ransomware può infettare il tuo computer in vari modi, tra cui:

E-mail di phishing: un metodo comune è tramite e-mail di phishing che contengono allegati o collegamenti dannosi. Queste e-mail spesso appaiono legittime e possono spacciarsi per entità fidate come banche, agenzie governative o aziende rinomate. Fare clic sui collegamenti o scaricare allegati da queste e-mail può portare all'installazione di ransomware sul tuo computer.

Siti Web dannosi: anche visitare siti Web dannosi o compromessi può esporre il tuo computer a ransomware. Questi siti Web possono contenere kit di exploit che scaricano e installano automaticamente ransomware sul tuo sistema a tua insaputa o senza il tuo consenso.

Sfruttare le vulnerabilità: il ransomware può sfruttare le vulnerabilità della sicurezza in software o sistemi operativi obsoleti. Gli aggressori sfruttano le vulnerabilità note per infiltrarsi nei sistemi e distribuire payload ransomware.

Remote Desktop Protocol (RDP): gli aggressori possono sfruttare password deboli o predefinite sulle connessioni Remote Desktop Protocol (RDP) per ottenere accesso non autorizzato ai computer e distribuire ransomware.

Malvertising: annunci pubblicitari dannosi, o malvertising, visualizzati su siti Web legittimi possono reindirizzare gli utenti a siti Web dannosi che ospitano ransomware o kit di exploit.