A Diamond (Duckcryptor) Ransomware zárolja a fájljait
Az újonnan felfedezett rosszindulatú fájlminták áttekintése közben kutatóink rábukkantak a Diamond ransomware-re, más néven Duckcryptorra. Ezt a rosszindulatú szoftvert úgy tervezték, hogy titkosítsa az adatokat, és fizetést kérjen a visszafejtéséért.
Tesztkörnyezetünkben a Diamond ransomware titkosította a fájlokat, és egy „[Dyamond@firemail.de].duckryptor” kiterjesztést fűzött a fájlnevekhez. Például az eredetileg „1.jpg” nevű fájl „1.jpg[Dyamond@firemail.de].duckryptor”-ként jelenik meg, míg a „2.png” a következőképpen alakul: „2.png.[Dyamond@firemail.de”. ].duckryptor", és így tovább.
A titkosítást követően a zsarolóprogram megváltoztatta az asztal háttérképét, és két váltságdíj-jegyzetet generált, „Duckryption_info.hta” és „Duckryption_README.txt” néven. Bár ezek a jegyzetek eltérő szöveget tartalmaznak, hasonló követelést közvetítenek: az áldozatnak váltságdíjat kell fizetnie Bitcoin-kriptovalutában, hogy visszaszerezze titkosított fájljait. A váltságdíj követeléseinek teljesítése előtt az áldozatnak lehetősége van tesztelni a visszafejtést legfeljebb két fájlon, bizonyos előírásoknak megfelelően.
A váltságdíj felhívja a figyelmet a kézi visszafejtési kísérletekre vagy a harmadik féltől származó eszközök használatára, mivel ezek a műveletek végleges adatvesztéshez vezethetnek. A mellékelt szöveges fájl tovább részletezi a harmadik felektől való segítségkéréssel kapcsolatos kockázatokat.
Diamond (Duckcryptor) Ransom Note előugró ablak
A ransomware által létrehozott felugró ablak a következő szöveget tartalmazza:
Diamond Ransomware
All your files have been EncryptedWhat Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.deHow can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.comWhat is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.
A ransomware egy másik váltságdíj-jegyzetet készít egy egyszerű szöveges fájlban, amely többé-kevésbé hasonló információkat és utasításokat tartalmaz.
Hogyan fertőzheti meg a Ransomware a számítógépét?
A zsarolóprogramok különféle módokon fertőzhetik meg számítógépét, többek között:
Adathalász e-mailek: Az egyik gyakori módszer az adathalász e-mailek, amelyek rosszindulatú mellékleteket vagy hivatkozásokat tartalmaznak. Ezek az e-mailek gyakran legitimnek tűnnek, és megbízható szervezeteknek, például bankoknak, kormányzati szerveknek vagy jól ismert cégeknek adják ki magukat. Ha ezekből az e-mailekből linkekre kattint, vagy mellékleteket tölt le, az zsarolóvírusok telepítéséhez vezethet a számítógépére.
Rosszindulatú webhelyek: A rosszindulatú vagy feltört webhelyek felkeresése zsarolóprogramoknak is kiteheti számítógépét. Ezek a webhelyek olyan kizsákmányoló készleteket tartalmazhatnak, amelyek automatikusan letöltik és telepítik a ransomware-t a rendszerére az Ön tudta vagy beleegyezése nélkül.
A sebezhetőségek kihasználása: A Ransomware kihasználhatja az elavult szoftverek vagy operációs rendszerek biztonsági réseit. A támadók kihasználják az ismert sebezhetőségeket, hogy beszivárogjanak a rendszerekbe, és zsarolóprogramokat telepítsenek.
Remote Desktop Protocol (RDP): A támadók kihasználhatják a távoli asztali protokoll (RDP) kapcsolatok gyenge vagy alapértelmezett jelszavait, hogy illetéktelenül hozzáférjenek a számítógépekhez, és zsarolóvírusokat telepítsenek.
Rosszindulatú hirdetések: A törvényes webhelyeken megjelenő rosszindulatú hirdetések vagy rosszindulatú hirdetések átirányíthatják a felhasználókat olyan rosszindulatú webhelyekre, amelyek ransomware-t vagy kizsákmányoló készleteket tartalmaznak.