Duck Ransomware

Duck Ransomware 是一种强大的恶意软件威胁，属于 Phobos Ransomware 系列。在目标计算机上执行时，威胁将扫描属于各种不同文件类型的文件。每个匹配的文件都将使用强大的加密算法进行加密，从而有效地使其完全无法使用。受害者将无法再打开他们的任何文件、档案、数据库、图像、照片等。

所有受影响的文件类型都将通过大幅修改其原始名称来标记。 Duck Ransomware 将首先为每个特定受害者生成一个 ID 字符串，并将相应的 ID 添加到锁定文件的名称中。然后，将添加一个电子邮件地址（'supprecovery@torguard.tg'）。最后，“.duck”将作为新的文件扩展名附加。按照既定的Phobos行为，威胁将向被破坏的设备发送两个赎金票据。

较短的消息将放置在名为“info.txt”的文本文件中。在那里，受影响的用户将简单地找到向两个电子邮件地址发送消息的说明——“supprecovery@torguard.tg”和“samrecoveryfiles@onionmail.com”，或“@supprecovery”的电报帐户。主要赎金记录将显示在从“info.hta”文件创建的弹出窗口中。网络犯罪分子表示，他们只会接受比特币付款。据推测，他们还将免费解密多达 5 个文件。唯一列出的要求是文件的总大小小于 4MB，并且不包含任何有价值的数据。

Duck Ransomware 的注释全文如下：

'你所有的文件都被加密了！
由于您的 PC 存在安全问题，您的所有文件都已加密。如果您想恢复它们，请写信给我们：supprecovery@torguard.tg
如果 24 小时内没有回复，请写信给我们这个电子邮件：samrecoveryfiles@onionmail.com
在您的消息标题中写下此 ID -
或在信使电报中发短信：@supprecovery
你必须支付比特币的解密费用。价格取决于您给我们写信的速度。付款后，我们将向您发送解密所有文件的工具。
免费解密为保证
在付款之前，您最多可以向我们发送 5 个免费解密的文件。文件的总大小必须小于 4Mb（未归档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）
如何获得比特币
购买比特币的最简单方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后通过付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在此处找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致数据永久丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们会向我们收取费用），或者您可能会成为诈骗的受害者。

文本文件传递以下消息：

!!!你所有的文件都是加密的!!!
要解密它们，请发送电子邮件至此地址：supprecovery@torguard.tg
如果 24 小时内没有回复，请写信给我们这个电子邮件：samrecoveryfiles@onionmail.com
我们的在线运营商可在信使电报中找到：@supprecovery '