Duck Ransomware

Duck Ransomware е мощна заплаха за зловреден софтуер, част от фамилията Phobos Ransomware. Когато се изпълни на целеви компютри, заплахата ще сканира за файлове, принадлежащи към широк набор от различни типове файлове. Всеки съответстващ файл ще бъде криптиран със силен криптографски алгоритъм, което на практика ще го направи напълно неизползваем. Жертвите вече няма да могат да отварят никакви свои документи, архиви, бази данни, изображения, снимки и др.

Всички засегнати типове файлове ще бъдат маркирани чрез драстична промяна на оригиналните им имена. Рансъмуерът Duck първо ще генерира идентификационен низ за всяка конкретна жертва и ще добави съответния идентификатор към имената на заключените файлове. След това ще бъде добавен имейл адрес ('supprecovery@torguard.tg'). Накрая „.duck“ ще бъде добавено като ново файлово разширение. След установеното поведение на Фобос , заплахата ще достави две бележки за откуп на пробитите устройства.

По-краткото съобщение ще бъде поставено в текстов файл с име „info.txt“. Там засегнатите потребители просто ще намерят инструкции за изпращане на съобщения до два имейл адреса – „supprecovery@torguard.tg“ и „samrecoveryfiles@onionmail.com“ или акаунт в Telegram на „@supprecovery“. Основната бележка за откуп ще бъде показана в изскачащ прозорец, създаден от файл „info.hta“. Киберпрестъпниците заявяват, че ще приемат плащания само в биткойни. Освен това се предполага, че ще дешифрират до 5 файла безплатно. Единствените изброени изисквания са файловете да имат общ размер под 4MB и да не съдържат никакви ценни данни.

Пълният текст на бележката на Duck Ransomware е:

Всичките ви файлове са криптирани!
Всички ваши файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл: supprecovery@torguard.tg
В случай на липса на отговор до 24 часа, пишете ни на този имейл: samrecoveryfiles@onionmail.com
Напишете този идентификатор в заглавието на вашето съобщение -
Или текст в месинджъра Telegram: @supprecovery
Трябва да платите за дешифриране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще дешифрира всичките ви файлове.
Безплатно дешифриране като гаранция
Преди плащане можете да ни изпратите до 5 файла за безплатно дешифриране. Общият размер на файловете трябва да е по-малък от 4Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, резервни копия, големи Excel листове и т.н.)
Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.

Текстовият файл доставя следното съобщение:

!!!Всички ваши файлове са криптирани!!!
За да ги дешифрирате, изпратете имейл на този адрес: supprecovery@torguard.tg
В случай на липса на отговор до 24 часа, пишете ни на този имейл: samrecoveryfiles@onionmail.com
Нашият онлайн оператор е достъпен в месинджъра Telegram: @supprecovery '