Ash Ransomware
Компютрите, заразени със заплахата Ash Ransomware, ще бъдат подложени на криптиране на данни. Заплахата използва силен криптографски алгоритъм, за да заключи файловете на своите жертви, включително документи, PDF файлове, архиви, бази данни, изображения и много други типове файлове. Засегнатите файлове вече няма да бъдат достъпни и възстановяването без правилните ключове за дешифриране обикновено е невъзможно. Нападателите използват криптираните данни, за да изнудват пари от своите жертви. Изследователите на Infosec потвърдиха, че рансъмуерът Ash е вариант на открита по-рано заплаха, известна като Dcrtr рансъмуер . Друг опасен вариант, принадлежащ към същото семейство, е Flash Ransomware .
Жертвите на рансъмуера Ash ще забележат, че оригиналните им имена също са драстично променени. Заплахата прикачва имейл адреса „ashtray@outlookpro.net“, последван от „.ash“, към файловете, които заключва. Две бележки за откуп ще бъдат пуснати на пробитите устройства. Едно от съобщенията от участниците в заплахата ще бъде доставено като текстов файл с име „ReadMe_Decryptor.txt“, докато другото ще бъде показано като изскачащ прозорец, генериран от файл с име „Decryptor.hta“.
Инструкциите, намерени в текстовия файл, гласят, че жертвите трябва да се свържат с киберпрестъпниците, като изпратят съобщение „ashtray@outlookpro.net“. Един файл може да бъде прикачен към съобщението, за да бъде дешифриран безплатно като демонстрация на способността на атакуващия да възстанови криптираните данни. Избраният файл трябва да е с размер под 500 KB. Основната бележка за откуп е тази, показана в изскачащия прозорец. Тук рансъмуерът Ash предоставя допълнителни комуникационни канали, като имейл адресите „servicemanager@yahooweb.co“ и „servicemanager2020@protonmail.com“ и акаунт в Jabber.
Пълният набор от инструкции е:
'Внимание!
За да възстановите данни, пишете тук:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (ако сте руснак, тогава трябва да се регистрирате на сайта www.protonmail.com чрез браузъра TOR hxxps://www.torproject.org/ru/download/ , тъй като протонът е забранен в твоята държава)
3) Jabber клиент - servicemanager@jabb.im (регистрацията може да се направи на уебсайта - www.xmpp.jp. Уеб клиентът се намира на сайта - hxxps://web.xabber.com/)Не модифицирайте файлове - това ще ги повреди.
Тестово дешифриране - 1 файл < 500 Kb.'
Бележката за откуп в текстовия файл е:
„За да възстановите данни, напишете тук:
ashtray@outlookpro.netНе модифицирайте файлове - това ще ги повреди.
Тестово дешифриране - 1 файл < 500 Kb.'
