Duck Ransomware

Duck Ransomware 是一種強大的惡意軟件威脅，屬於 Phobos Ransomware 系列。在目標計算機上執行時，威脅將掃描屬於各種不同文件類型的文件。每個匹配的文件都將使用強大的加密算法進行加密，從而有效地使其完全無法使用。受害者將無法再打開他們的任何文件、檔案、數據庫、圖像、照片等。

所有受影響的文件類型都將通過大幅修改其原始名稱來標記。 Duck Ransomware 將首先為每個特定受害者生成一個 ID 字符串，並將相應的 ID 添加到鎖定文件的名稱中。然後，將添加一個電子郵件地址（'supprecovery@torguard.tg'）。最後，“.duck”將作為新的文件擴展名附加。按照既定的Phobos行為，威脅將向被破壞的設備發送兩個贖金票據。

較短的消息將放置在名為“info.txt”的文本文件中。在那裡，受影響的用戶將簡單地找到向兩個電子郵件地址發送消息的說明——“supprecovery@torguard.tg”和“samrecoveryfiles@onionmail.com”，或“@supprecovery”的電報帳戶。主要贖金記錄將顯示在從“info.hta”文件創建的彈出窗口中。網絡犯罪分子表示，他們只會接受比特幣付款。據推測，他們還將免費解密多達 5 個文件。唯一列出的要求是文件的總大小小於 4MB，並且不包含任何有價值的數據。

Duck Ransomware 的註釋全文如下：

'你所有的文件都被加密了！
由於您的 PC 存在安全問題，您的所有文件都已加密。如果您想恢復它們，請寫信給我們：supprecovery@torguard.tg
如果 24 小時內沒有回复，請寫信給我們這個電子郵件：samrecoveryfiles@onionmail.com
在您的消息標題中寫下此 ID -
或在信使電報中發短信：@supprecovery
你必須支付比特幣的解密費用。價格取決於您給我們寫信的速度。付款後，我們將向您發送解密所有文件的工具。
免費解密為保證
在付款之前，您最多可以向我們發送 5 個免費解密的文件。文件的總大小必須小於 4Mb（未歸檔），並且文件不應包含有價值的信息。 （數據庫、備份、大型 Excel 工作表等）
如何獲得比特幣
購買比特幣的最簡單方法是 LocalBitcoins 網站。您必須註冊，點擊“購買比特幣”，然後通過付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您還可以在此處找到其他購買比特幣的地方和初學者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
請勿嘗試使用第三方軟件解密您的數據，這可能會導致數據永久丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們將費用添加到我們的賬戶中），或者您可能成為詐騙的受害者。

文本文件傳遞以下消息：

!!!你所有的文件都是加密的!!!
要解密它們，請發送電子郵件至此地址：supprecovery@torguard.tg
如果 24 小時內沒有回复，請寫信給我們這個電子郵件：samrecoveryfiles@onionmail.com
我們的在線運營商可在信使電報中找到：@supprecovery '