Duck-Ransomware

Die Duck Ransomware ist eine mächtige Malware-Bedrohung, Teil der Phobos Ransomware-Familie. Wenn die Bedrohung auf Zielcomputern ausgeführt wird, scannt sie nach Dateien, die zu einer Vielzahl unterschiedlicher Dateitypen gehören. Jede übereinstimmende Datei wird mit einem starken kryptografischen Algorithmus verschlüsselt, wodurch sie effektiv vollständig unbrauchbar wird. Opfer können keine ihrer Dokumente, Archive, Datenbanken, Bilder, Fotos usw. mehr öffnen.

Alle betroffenen Dateitypen werden dadurch gekennzeichnet, dass ihre ursprünglichen Namen drastisch geändert werden. Die Duck Ransomware generiert zunächst eine ID-Zeichenfolge für jedes einzelne Opfer und fügt die entsprechende ID zu den Namen der gesperrten Dateien hinzu. Dann wird eine E-Mail-Adresse ('supprecovery@torguard.tg') hinzugefügt. Schließlich wird '.duck' als neue Dateierweiterung angehängt. Nach dem bewährten Phobos- Verhalten sendet die Bedrohung zwei Lösegeldforderungen an die betroffenen Geräte.

Die kürzere Nachricht wird in einer Textdatei mit dem Namen „info.txt“ abgelegt. Dort finden betroffene Benutzer einfach Anweisungen, um zwei E-Mail-Adressen zu benachrichtigen – „supprecovery@torguard.tg“ und „samrecoveryfiles@onionmail.com“ oder ein Telegram-Konto unter „@supprecovery“. Die Haupt-Lösegeldforderung wird in einem Popup-Fenster angezeigt, das aus einer „info.hta“-Datei erstellt wird. Die Cyberkriminellen geben an, dass sie nur Zahlungen in Bitcoin akzeptieren werden. Sie werden angeblich auch bis zu 5 Dateien kostenlos entschlüsseln. Die einzigen aufgeführten Anforderungen sind, dass die Dateien eine Gesamtgröße von weniger als 4 MB haben und keine wertvollen Daten enthalten.

Der vollständige Text der Notiz von Duck Ransomware lautet:

' Alle Ihre Dateien wurden verschlüsselt!
Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail: supprecovery@torguard.tg
Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mail: samrecoveryfiles@onionmail.com
Schreiben Sie diese ID in den Titel Ihrer Nachricht -
Oder Text im Messenger-Telegram: @supprecovery
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Tool, das alle Ihre Dateien entschlüsselt.
Kostenlose Entschlüsselung als Garantie
Vor dem Bezahlen können Sie uns bis zu 5 Dateien zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 4 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.)
So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Website. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte, an denen Sie Bitcoins kaufen können, und einen Leitfaden für Anfänger:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.

Die Textdatei liefert folgende Meldung:

!!!Alle Ihre Dateien sind verschlüsselt!!!
Um sie zu entschlüsseln, senden Sie eine E-Mail an diese Adresse: supprecovery@torguard.tg
Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mail: samrecoveryfiles@onionmail.com
Unser Online-Operator ist im Messenger-Telegramm verfügbar: @supprecovery '