Ash Ransomware
Компьютеры, зараженные угрозой Ash Ransomware, будут подвергаться шифрованию данных. Угроза использует надежный криптографический алгоритм для блокировки файлов своих жертв, включая документы, PDF-файлы, архивы, базы данных, изображения и многие другие типы файлов. Затронутые файлы больше не будут доступны, и восстановление без надлежащих ключей дешифрования обычно невозможно. Злоумышленники используют зашифрованные данные для вымогательства денег у своих жертв. Исследователи Infosec подтвердили, что Ash Ransomware является вариантом ранее обнаруженной угрозы, известной как Dcrtr Ransomware . Другой опасный вариант, принадлежащий к тому же семейству, — Flash Ransomware .
Жертвы программы-вымогателя Ash заметят, что исходные имена их файлов также были радикально изменены. Угроза прикрепляет адрес электронной почты «ashtray@outlookpro.net», за которым следует «.ash», к файлам, которые она блокирует. На взломанные устройства будут сброшены две записки с требованием выкупа. Одно из сообщений злоумышленников будет доставлено в виде текстового файла с именем «ReadMe_Decryptor.txt», а другое — в виде всплывающего окна, сгенерированного из файла с именем «Decryptor.hta».
В инструкциях, найденных внутри текстового файла, говорится, что жертвы должны связаться с киберпреступниками, отправив сообщение «ashtray@outlookpro.net». К сообщению можно прикрепить один файл для бесплатной расшифровки в качестве демонстрации способности злоумышленника восстановить зашифрованные данные. Размер выбранного файла не должен превышать 500 КБ. Основное примечание о выкупе отображается во всплывающем окне. Здесь Ash Ransomware предоставляет дополнительные каналы связи, такие как адреса электронной почты «servicemanager@yahooweb.co» и «servicemanager2020@protonmail.com» и учетная запись Jabber.
Полный набор инструкций:
'Предупреждение!
Для восстановления данных пишите сюда:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (если вы русский, то вам необходимо зарегистрироваться на сайте www.protonmail.com через TOR браузер hxxps://www.torproject.org/ru/download/, так как протон запрещен в твоей стране)
3) Джаббер-клиент - servicemanager@jabb.im (регистрацию можно пройти на сайте - www.xmpp.jp. веб-клиент находится на сайте - hxxps://web.xabber.com/)Не изменяйте файлы - это повредит их.
Тестовая расшифровка - 1 файл < 500 Кб.'
Примечание о выкупе в текстовом файле:
'Чтобы восстановить данные, напишите сюда:
пепельница@outlookpro.netНе изменяйте файлы - это повредит их.
Тестовая расшифровка - 1 файл < 500 Кб.'
