Ash Ransomware
Рачунари заражени претњом Асх Рансомваре биће подвргнути шифровању података. Претња користи снажан криптографски алгоритам за закључавање датотека својих жртава, укључујући документе, ПДФ-ове, архиве, базе података, слике и многе друге типове датотека. Фајлови који су погођени више неће бити доступни и враћање без одговарајућих кључева за дешифровање је обично немогуће. Нападачи користе шифроване податке да изнуде новац од својих жртава. Инфосец истраживачи су потврдили да је Асх Рансомваре варијанта раније откривене претње познате као Дцртр Рансомваре . Још једна опасна варијанта која припада истој породици је Фласх Рансомваре .
Жртве Асх Рансомваре-а ће приметити да су њихове оригиналне датотеке такође драстично измењене. Претња прилаже е-маил адресу „асхтраи@оутлоокпро.нет“ праћену „.асх“ датотекама које закључава. Две поруке за откуп ће бити бачене на оштећене уређаје. Једна од порука актера претње биће испоручена као текстуална датотека под називом „РеадМе_Децриптор.ткт“, док ће друга бити приказана као искачући прозор генерисан из датотеке под називом „Децриптор.хта“.
У упутствима која се налазе у текстуалној датотеци наводи се да жртве морају да допру до сајбер криминалаца слањем порука на „асхтраи@оутлоокпро.нет“. Једна датотека се може приложити уз поруку која ће се бесплатно дешифровати као демонстрација способности нападача да врати шифроване податке. Изабрана датотека мора бити мања од 500 КБ. Главна порука о откупнини је она која се приказује у искачућем прозору. Овде, Асх Рансомваре пружа додатне канале комуникације, као што су 'сервицеманагер@иахоовеб.цо' и 'сервицеманагер2020@протонмаил.цом' хаљине е-поште и Јаббер налог.
Комплетан сет упутстава је:
'Упозорење!
Да бисте повратили податке, напишите овде:
1) сервицеманагер@иахоовеб.цо
2) сервицеманагер2020@протонмаил.цом (ако сте Рус, онда се морате регистровати на сајту ввв.протонмаил.цом преко ТОР претраживача хккпс://ввв.торпројецт.орг/ру/довнлоад/, пошто је протон забрањен у твојој земљи)
3) Јаббер клијент - сервицеманагер@јабб.им (регистрација се може извршити на сајту - ввв.кмпп.јп. веб клијент се налази на сајту - хккпс://веб.каббер.цом/)Не мењајте датотеке - то ће их оштетити.
Тест дешифровања - 1 фајл < 500 Кб.'
Обавештење о откупнини у текстуалној датотеци је:
„Да бисте повратили податке, напишите овде:
асхтраи@оутлоокпро.нетНе мењајте датотеке - то ће их оштетити.
Тест дешифровања - 1 фајл < 500 Кб.'
