Ash Ransomware
Els ordinadors infectats amb l'amenaça Ash Ransomware seran objecte de xifratge de dades. L'amenaça utilitza un fort algorisme criptogràfic per bloquejar els fitxers de les seves víctimes, inclosos documents, PDF, arxius, bases de dades, imatges i molts altres tipus de fitxers. Els fitxers afectats ja no seran accessibles i la restauració sense les claus de desxifrat adequades sol ser impossible. Els atacants utilitzen les dades xifrades per extorsionar diners a les seves víctimes. Els investigadors d'Infosec han confirmat que Ash Ransomware és una variant d'una amenaça detectada prèviament coneguda com a Dcrtr Ransomware . Una altra variant perillosa que pertany a la mateixa família és Flash Ransomware .
Les víctimes del ransomware Ash notaran que els seus fitxers també han tingut els seus noms originals modificats dràsticament. L'amenaça adjunta l'adreça de correu electrònic "ashtray@outlookpro.net" seguida de ".ash" als fitxers que bloqueja. Es deixaran caure dues notes de rescat als dispositius violats. Un dels missatges dels actors de l'amenaça es lliurarà com a fitxer de text anomenat "ReadMe_Decryptor.txt", mentre que l'altre es mostrarà com una finestra emergent generada a partir d'un fitxer anomenat "Decryptor.hta".
Les instruccions que es troben dins del fitxer de text indiquen que les víctimes han de contactar amb els ciberdelinqüents enviant el missatge "ashtray@outlookpro.net". Es pot adjuntar un fitxer al missatge per desxifrar-lo gratuïtament com a demostració de la capacitat de l'atacant per restaurar les dades xifrades. El fitxer escollit ha de tenir una mida inferior a 500 KB. La nota de rescat principal és la que es mostra a la finestra emergent. Aquí, Ash Ransomware proporciona canals de comunicació addicionals, com ara els vestits de correu electrònic "servicemanager@yahooweb.co" i "servicemanager2020@protonmail.com" i un compte Jabber.
El conjunt complet d'instruccions és:
'Avís!
Per recuperar dades, escriu aquí:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (si sou rus, heu de registrar-vos al lloc www.protonmail.com mitjançant el navegador TOR hxxps://www.torproject.org/ru/download/, ja que el protó està prohibit en el teu país)
3) Client Jabber - servicemanager@jabb.im (el registre es pot fer al lloc web - www.xmpp.jp. El client web es troba al lloc - hxxps://web.xabber.com/)No modifiqueu els fitxers: això els danyarà.
Desxifrat de prova: 1 fitxer < 500 Kb.'
La nota de rescat al fitxer de text és:
'Per recuperar dades, escriviu aquí:
cendrer@outlookpro.netNo modifiqueu els fitxers: això els danyarà.
Desxifrat de prova: 1 fitxer < 500 Kb.'
