CLEAN Ransomware
Анализирайки кода и поведението на CLEAN Ransomware, изследователите на infosec са установили, че заплахата е вариант от семейството на Dharma Ransomware. CLEAN работи според очакванията от заплаха от Дхарма. Той се опитва да проникне в целевите компютърни системи, инициира процедура за криптиране и заключва данните, съхранявани там. След това нападателите се опитват да изнудят жертвите за пари, като обещават да им изпратят необходимия ключ и инструмент за декриптиране, но само ако им бъде платен исканият откуп.
Когато CLEAN Ransomware заключва файл, той също драстично променя оригиналното име на този файл. Това е често срещано поведение, наблюдавано при вариантите на Дхарма. Засегнатите файлове ще имат низ, представляващ уникалния идентификационен номер на жертвата, имейл адрес и „.CLEAN", добавен към техните имена. Имейл адресът, използван от CLEAN Ransomware е „clean@onionmail.org". Следващата стъпка на заплахата е да предаде бележката си за откуп. Това става по два отделни начина. Единият включва създаване на текстов файл с име „FILES ENCRYPTED.txt", докато другият показва съобщение в изскачащ прозорец.
ЧИСТИТЕ Изискванията на Ransomware
По типичен начин на Дхарма, в бележките на CLEAN Ransomware липсват повечето от жизненоважните детайли, които потребителите трябва да видят. Текстовият файл съдържа само няколко изречения, които просто казват на жертвите да изпратят имейл адреси „clean@onionmail.org" или „clean@privyinternet.com", под контрола на хакерите. Въпреки че бележката, показана в изскачащия прозорец, е по-дълга, тя също не е толкова полезна. Той повтаря същите два имейла, но има добавен раздел с различни предупреждения, като промяната на имената на шифрованите файлове може да причини трайни щети.
Съобщението на текстовия файл е:
„ всичките ви данни са ни заключени
Искате ли да се върнете?
напишете имейл clean@onionmail.org или clean@privyinternet.comИзскачащият прозорец показва следните инструкции:
ВАШИТЕ ФАЙЛОВЕ СА КРИПТИРАНИ
Не се притеснявайте, можете да върнете всичките си файлове!
Ако искате да ги възстановите, следвайте тази връзка: имейл clean@onionmail.org ВАШИЯТ ИД -
Ако не сте получили отговор чрез връзката в рамките на 12 часа, пишете ни на имейл: clean@privyinternet.com
Внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си със софтуер на трети страни, това може да доведе до трайна загуба на данни.
Декриптирането на вашите файлове с помощта на трети страни може да доведе до повишаване на цената (те добавят таксата си към нашата) или да станете жертва на измама. '
