Ducky Ransomware
O Ducky Ransomware é uma ameaça de ransomware observada na natureza. O Ducky Ransomware pode bloquear completamente o acesso dos usuários aos seus próprios arquivos. A ameaça consegue isso implantando uma rotina de criptografia com um algoritmo criptográfico forte em qualquer sistema comprometido. Todos os arquivos criptografados dessa maneira terão '.ducky' anexado a seus nomes originais como uma nova extensão. Como todo ransomware, o Ducky irá então extorquir suas vítimas por dinheiro em troca da chave de descriptografia e da ferramenta que poderia restaurar os arquivos bloqueados.
O Ducky Ransomware vai entregar sua nota de resgate de duas formas diferentes. A ameaça irá colocar arquivos de texto chamados 'RECOVER YOUR FILES.txt' em todas as pastas que contêm dados criptografados. Ao mesmo tempo, uma janela pop-up será gerada a partir de um arquivo chamado 'RECUPERAR SEUS ARQUIVOS.hta.' Os arquivos de texto informam às vítimas do Ducky Ransomware que elas terão que estabelecer comunicação com os hackers. Para o efeito, são disponibilizados dois canais de comunicação - um endereço de e-mail em 'ballxball@protonmail.com' e uma conta Telegram '@duckydecrypt'. Os hackers avisam que após 48 horas, o preço da descriptografia será duplicado.
A mensagem exibida na janela pop-up é quase idêntica. A única diferença significativa é a inclusão de um aviso sobre produtos anti-malware potencialmente corrompendo os arquivos criptografados ou excluindo a ameaça Ducky Ransomware, o que poderia tornar a descriptografia impossível.
A nota de resgate entregue dentro dos arquivos de texto afirma:
' Todos os seus arquivos foram criptografados devido a um problema de segurança com o seu PC. Escreva-nos por telegrama, iremos ajudá-lo: T.me \ duckydecryptEscreva aos contactos, iremos ajudá-lo a recuperar vários ficheiros para persuasão: ballxball@protonmail.com
VOCÊ TEM APENAS 48 HORAS PARA NOS CONTATAR. QUANDO ESTE TEMPO TERMINAR, O PREÇO SERÁ O DUAS VEZES MAIS
SUA IDENTIFICAÇÃO: -
# ATENÇÃO !!!
NÃO RENOMEAR OS ARQUIVOS.
A mensagem da janela pop-up é:
VÍRUS DO PATO
O QUE ACONTECEU COM MEU COMPUTADOR?
Todos os arquivos em seu sistema foram criptografados com o DUCKY Virus.
Ninguém poderá descriptografar QUALQUER um dos seus arquivos sem nosso serviço de descriptografia. Não perca seu tempo.
POSSO RECUPERAR MEUS ARQUIVOS?
Escreva para nós, vamos ajudá-lo a recuperar arquivos gratuitamente:
ballxball@protonmail.com
ou entre em contato conosco por telegrama: @duckydecrypt
Sua chave pessoal:
Qualquer sortware antivírus pode corromper arquivos, se você quiser salvar seus arquivos, desligue o antivírus, ele pode excluir nosso aplicativo . '