Ash Ransomware
Calculatoarele infectate cu amenințarea Ash Ransomware vor fi supuse criptării datelor. Amenințarea utilizează un algoritm criptografic puternic pentru a bloca fișierele victimelor sale, inclusiv documente, PDF-uri, arhive, baze de date, imagini și multe alte tipuri de fișiere. Fișierele afectate nu vor mai fi accesibile, iar restaurarea fără cheile de decriptare adecvate este de obicei imposibilă. Atacatorii folosesc datele criptate pentru a stoarce bani de la victimele lor. Cercetătorii Infosec au confirmat că Ash Ransomware este o variantă a unei amenințări detectate anterior, cunoscută sub numele de Dcrtr Ransomware . O altă variantă periculoasă aparținând aceleiași familii este Flash Ransomware .
Victimele Ash Ransomware vor observa că și fișierele lor au fost modificate drastic de numele lor inițial. Amenințarea atașează la fișierele pe care le blochează adresa de e-mail „ashtray@outlookpro.net” urmată de „.ash”. Două note de răscumpărare vor fi aruncate pe dispozitivele încălcate. Unul dintre mesajele de către actorii amenințărilor va fi livrat ca un fișier text numit „ReadMe_Decryptor.txt”, în timp ce celălalt va fi afișat ca un pop-up generat dintr-un fișier numit „Decryptor.hta”.
Instrucțiunile găsite în fișierul text afirmă că victimele trebuie să contacteze infractorii cibernetici trimițând „ashtray@outlookpro.net”. Un fișier poate fi atașat mesajului pentru a fi decriptat gratuit, ca o demonstrație a capacității atacatorului de a restabili datele criptate. Fișierul ales trebuie să aibă o dimensiune mai mică de 500 KB. Nota principală de răscumpărare este cea afișată în fereastra pop-up. Aici, Ash Ransomware oferă canale de comunicare suplimentare, cum ar fi rochiile de e-mail „servicemanager@yahooweb.co” și „servicemanager2020@protonmail.com” și un cont Jabber.
Setul complet de instrucțiuni este:
'Avertizare!
Pentru a recupera datele, scrieți aici:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (dacă sunteți rus, atunci trebuie să vă înregistrați pe site-ul www.protonmail.com prin browser-ul TOR hxxps://www.torproject.org/ru/download/ , deoarece protonul este interzis în țara ta)
3) Client Jabber - servicemanager@jabb.im (înregistrarea se poate face pe site - www.xmpp.jp. clientul web se află pe site - hxxps://web.xabber.com/)Nu modificați fișierele - acest lucru le va deteriora.
Testare decriptare - 1 fișier < 500 Kb.'
Nota de răscumpărare din fișierul text este:
„Pentru a recupera datele, scrieți aici:
ashtray@outlookpro.netNu modificați fișierele - acest lucru le va deteriora.
Testare decriptare - 1 fișier < 500 Kb.'
