Duck Ransomware

باج افزار Duck یک تهدید بدافزار قدرتمند است که بخشی از خانواده باج افزار فوبوس است. هنگامی که این تهدید بر روی رایانه های مورد نظر اجرا می شود، فایل های متعلق به طیف گسترده ای از انواع مختلف فایل را اسکن می کند. هر فایل منطبق با یک الگوریتم رمزنگاری قوی رمزگذاری می‌شود و عملاً آن را کاملاً غیرقابل استفاده می‌کند. قربانیان دیگر نمی توانند هیچ یک از اسناد، بایگانی ها، پایگاه های داده، تصاویر، عکس ها و غیره خود را باز کنند.

همه انواع فایل های آسیب دیده با تغییر نام اصلی آنها به شدت مشخص می شوند. باج افزار Duck ابتدا یک رشته شناسه برای هر قربانی خاص ایجاد می کند و شناسه مربوطه را به نام فایل های قفل شده اضافه می کند. سپس، یک آدرس ایمیل ('suprecovery@torguard.tg') اضافه خواهد شد. در نهایت، '.duck' به عنوان پسوند فایل جدید اضافه خواهد شد. به دنبال رفتار ثابت شده فوبوس ، تهدید دو یادداشت باج به دستگاه های نقض شده ارسال می کند.

پیام کوتاهتر در یک فایل متنی به نام "info.txt" قرار می گیرد. در آنجا، کاربران آسیب‌دیده به سادگی دستورالعمل‌هایی برای پیام دادن به دو آدرس ایمیل - 'supprecovery@torguard.tg' و 'samrecoveryfiles@onionmail.com' یا یک حساب تلگرام در 'supprecovery@' پیدا می‌کنند. یادداشت باج اصلی در یک پنجره پاپ آپ ایجاد شده از فایل 'info.hta' نمایش داده می شود. مجرمان سایبری اظهار می کنند که فقط پرداخت های بیت کوین را می پذیرند. آنها همچنین، ظاهرا، حداکثر 5 فایل را به صورت رایگان رمزگشایی خواهند کرد. تنها الزامات ذکر شده این است که فایل ها حجم کلی کمتر از 4 مگابایت داشته باشند و حاوی داده های ارزشمندی نباشند.

متن کامل یادداشت باج افزار Duck به شرح زیر است:

همه فایل های شما رمزگذاری شده اند!
تمامی فایل های شما به دلیل مشکل امنیتی کامپیوتر شما رمزگذاری شده اند. اگر می خواهید آنها را بازیابی کنید، به ایمیل ما بنویسید: supprecovery@torguard.tg
در صورت عدم پاسخگویی در 24 ساعت به این ایمیل برای ما بنویسید:samrecoveryfiles@onionmail.com
این شناسه را در عنوان پیام خود بنویسید -
یا در پیام رسان تلگرام پیام دهید: suprecovery@
شما باید برای رمزگشایی در بیت کوین هزینه کنید. قیمت بستگی به سرعت ارسال شما به ما دارد. پس از پرداخت، ابزاری را برای شما ارسال می کنیم که تمام فایل های شما را رمزگشایی می کند.
رمزگشایی رایگان به عنوان تضمین
قبل از پرداخت می توانید حداکثر 5 فایل را برای رمزگشایی رایگان برای ما ارسال کنید. حجم کل فایل ها باید کمتر از 4 مگابایت (غیر بایگانی) باشد و فایل ها نباید حاوی اطلاعات ارزشمندی باشند. (پایگاه‌های اطلاعاتی، پشتیبان‌گیری، برگه‌های بزرگ اکسل و غیره)
نحوه بدست آوردن بیت کوین
ساده ترین راه برای خرید بیت کوین سایت LocalBitcoins است. شما باید ثبت نام کنید، روی «خرید بیت کوین» کلیک کنید و فروشنده را بر اساس روش پرداخت و قیمت انتخاب کنید.
hxxps://localbitcoins.com/buy_bitcoins
همچنین می توانید مکان های دیگری برای خرید بیت کوین و راهنمای مبتدیان را در اینجا بیابید:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
توجه!
نام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
رمزگشایی فایل های شما با کمک اشخاص ثالث ممکن است باعث افزایش قیمت شود (آنها هزینه خود را به ما اضافه می کنند) یا می توانید قربانی یک کلاهبرداری شوید.

فایل متنی پیام زیر را ارسال می کند:

!!!همه فایل های شما رمزگذاری شده است!!!
برای رمزگشایی آنها به این آدرس ایمیل ارسال کنید: supprecovery@torguard.tg
در صورت عدم پاسخگویی در 24 ساعت به این ایمیل برای ما بنویسید:samrecoveryfiles@onionmail.com
اپراتور آنلاین ما در پیام رسان تلگرام موجود است: @suprecovery '