Duck Ransomware

Duck Ransomware je močna grožnja zlonamerne programske opreme, del družine Phobos Ransomware. Ko se grožnja izvede na ciljnih računalnikih, bo pregledala datoteke, ki pripadajo širokemu naboru različnih vrst datotek. Vsaka ujemajoča se datoteka bo šifrirana z močnim kriptografskim algoritmom, zaradi česar bo dejansko popolnoma neuporabna. Žrtve ne bodo mogle več odpreti svojih dokumentov, arhivov, baz podatkov, slik, fotografij itd.

Vse prizadete vrste datotek bodo označene tako, da bodo njihova izvirna imena drastično spremenjena. Izsiljevalska programska oprema Duck bo najprej ustvarila niz ID-ja za vsako posamezno žrtev in dodala ustrezni ID imenom zaklenjenih datotek. Nato bo dodan e-poštni naslov ('supprecovery@torguard.tg'). Na koncu bo kot nova datotečna pripona dodana ».duck«. Po ugotovljenem vedenju Fobosa bo grožnja napravam, v katerih je prišlo do odkupnine, dostavila dve sporočili o odkupnini.

Krajše sporočilo bo postavljeno v besedilno datoteko z imenom 'info.txt'. Tam bodo prizadeti uporabniki preprosto našli navodila za pošiljanje sporočil na dva e-poštna naslova - 'supprecovery@torguard.tg' in 'samrecoveryfiles@onionmail.com' ali račun Telegram na '@supprecovery.' Glavno obvestilo o odkupnini bo prikazano v pojavnem oknu, ustvarjenem iz datoteke 'info.hta'. Kibernetski kriminalci trdijo, da bodo sprejemali samo plačila v bitcoinih. Prav tako bodo domnevno dešifrirali do 5 datotek brezplačno. Edine navedene zahteve so, da imajo datoteke skupno velikost manjšo od 4 MB in da ne vsebujejo dragocenih podatkov.

Celotno besedilo opombe Duck Ransomware je:

' Vse vaše datoteke so šifrirane!
Vse vaše datoteke so bile šifrirane zaradi varnostne težave z vašim računalnikom. Če jih želite obnoviti, nam pišite na e-pošto: supprecovery@torguard.tg
Če v 24 urah ne dobite odgovora, nam pišite na ta e-mail: samrecoveryfiles@onionmail.com
Vpišite ta ID v naslov vašega sporočila -
Ali pošljite sporočilo v messenger Telegram: @supprecovery
Za dešifriranje morate plačati v bitcoinih. Cena je odvisna od tega, kako hitro nam pišete. Po plačilu vam bomo poslali orodje, ki bo dešifriralo vse vaše datoteke.
Brezplačno dešifriranje kot jamstvo
Pred plačilom nam lahko pošljete do 5 datotek za brezplačno dešifriranje. Skupna velikost datotek mora biti manjša od 4Mb (nearhivirane), datoteke pa ne smejo vsebovati dragocenih informacij. (podatkovne baze, varnostne kopije, veliki excelovi listi itd.)
Kako pridobiti Bitcoine
Najlažji način za nakup bitcoinov je spletno mesto LocalBitcoins. Registrirati se morate, klikniti 'Kupi bitcoine' in izbrati prodajalca po načinu plačila in ceni.
hxxps://localbitcoins.com/buy_bitcoins
Tu lahko najdete tudi druga mesta za nakup bitcoinov in vodnik za začetnike:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Pozor!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, lahko povzroči trajno izgubo podatkov.
Dešifriranje vaših datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene (prištejejo svojo pristojbino naši) ali pa postanete žrtev prevare.

Besedilna datoteka prinaša naslednje sporočilo:

!!!Vse vaše datoteke so šifrirane!!!
Če jih želite dešifrirati, pošljite e-pošto na ta naslov: supprecovery@torguard.tg
Če v 24 urah ne dobite odgovora, nam pišite na ta e-mail: samrecoveryfiles@onionmail.com
Naš spletni operater je na voljo v messengerju Telegram: @supprecovery '