Программа-вымогатель Diamond (Duckcryptor) заблокирует ваши файлы
Просматривая недавно обнаруженные образцы вредоносных файлов, наши исследователи наткнулись на программу-вымогатель Diamond, также известную как Duckcryptor. Это вредоносное программное обеспечение предназначено для шифрования данных и требования оплаты за их расшифровку.
В нашей тестовой среде программа-вымогатель Diamond зашифровала файлы и добавила к их именам расширение «.[Dyamond@firemail.de].duckryptor». Например, файл с первоначальным названием «1.jpg» будет выглядеть как «1.jpg.[Dyamond@firemail.de].duckryptor», а файл «2.png» будет выглядеть как «2.png.[Dyamond@firemail.de]. ].duckryptor" и так далее.
После шифрования программа-вымогатель изменила обои рабочего стола и создала две записки с требованием выкупа: «Duckryption_info.hta» и «Duckryption_README.txt». Хотя эти заметки содержат разный текст, они содержат схожее требование: жертва должна заплатить выкуп в криптовалюте Биткойн, чтобы восстановить свои зашифрованные файлы. Прежде чем выполнить требования о выкупе, жертва имеет возможность проверить расшифровку двух файлов при соблюдении определенных спецификаций.
В тексте выкупа отмечается предостережение от попыток расшифровки вручную или использования сторонних инструментов, поскольку эти действия могут привести к безвозвратной потере данных. В сопроводительном текстовом файле подробно описаны риски, связанные с обращением за помощью к третьим лицам.
Всплывающее окно с запиской о выкупе Diamond (Duckcryptor)
Всплывающее окно, созданное программой-вымогателем, содержит следующий текст:
Diamond Ransomware
All your files have been EncryptedWhat Should i Do? If you want to restore them, Write us a E-mail: Dyamond@firemail.de
Include this ID on your Message: {Username}
In case of no answer in 24 hours write us to this e-mail: reopen1824@firemail.deHow can I buy bitcoins?You can buy bitcoins from all reputable sites in the world and send them to us.
Just search how to buy bitcoins on the Inter, sans-serifnet. Our suggestion is these sites.binance.com | localbitcoins.com | bybit.comWhat is your guarantee to restore files?
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us.
Its not in our Inter, sans-serifests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc) and low sizes(max 2 mb) we will decrypt them and send back to you. That is our guarantee.Attention!
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Программа-вымогатель создает еще одну записку о выкупе внутри обычного текстового файла, содержащую более или менее аналогичную информацию и инструкции.
Как программы-вымогатели могут заразить ваш компьютер?
Программа-вымогатель может заразить ваш компьютер различными способами, в том числе:
Фишинговые электронные письма. Одним из распространенных методов является использование фишинговых электронных писем, содержащих вредоносные вложения или ссылки. Эти электронные письма часто кажутся законными и могут выдавать себя за доверенные лица, такие как банки, государственные учреждения или известные компании. Нажатие на ссылки или загрузка вложений из этих писем может привести к установке программы-вымогателя на ваш компьютер.
Вредоносные веб-сайты. Посещение вредоносных или скомпрометированных веб-сайтов также может подвергнуть ваш компьютер воздействию программ-вымогателей. Эти веб-сайты могут содержать наборы эксплойтов, которые автоматически загружают и устанавливают программы-вымогатели в вашу систему без вашего ведома и согласия.
Использование уязвимостей. Программы-вымогатели могут использовать уязвимости безопасности в устаревшем программном обеспечении или операционных системах. Злоумышленники используют известные уязвимости для проникновения в системы и установки программ-вымогателей.
Протокол удаленного рабочего стола (RDP). Злоумышленники могут использовать слабые пароли или пароли по умолчанию для подключений по протоколу удаленного рабочего стола (RDP) для получения несанкционированного доступа к компьютерам и установки программ-вымогателей.
Вредоносная реклама. Вредоносная реклама или вредоносная реклама, отображаемая на законных веб-сайтах, может перенаправлять пользователей на вредоносные веб-сайты, на которых размещены программы-вымогатели или наборы эксплойтов.