Ash Ransomware
Computere inficeret med Ash Ransomware-truslen vil blive udsat for datakryptering. Truslen bruger en stærk kryptografisk algoritme til at låse ofrenes filer, herunder dokumenter, PDF'er, arkiver, databaser, billeder og mange andre filtyper. De berørte filer vil ikke længere være tilgængelige, og gendannelse uden de korrekte dekrypteringsnøgler er normalt umulig. Angriberne bruger de krypterede data til at afpresse penge fra deres ofre. Infosec-forskere har bekræftet, at Ash Ransomware er en variant af en tidligere opdaget trussel kendt som Dcrtr Ransomware . En anden farlig variant, der tilhører samme familie, er Flash Ransomware .
Ofre for Ash Ransomware vil bemærke, at deres filer også har fået deres oprindelige navne ændret drastisk. Truslen vedhæfter 'ashtray@outlookpro.net'-e-mailadressen efterfulgt af '.ash' til de filer, den låser. To løsesumsedler vil blive droppet på de brudte enheder. En af beskederne fra trusselsaktørerne vil blive leveret som en tekstfil med navnet 'ReadMe_Decryptor.txt', mens den anden vil blive vist som en pop-up genereret fra en fil med navnet 'Decryptor.hta'.
Instruktionerne, der findes inde i tekstfilen, siger, at ofrene skal nå ud til de cyberkriminelle ved at sende en besked 'ashtray@outlookpro.net'. En fil kan vedhæftes meddelelsen, som skal dekrypteres gratis som en demonstration af angriberens evne til at gendanne de krypterede data. Den valgte fil skal være mindre end 500 KB i størrelse. Den primære løsesumseddel er den, der vises i pop op-vinduet. Her giver Ash Ransomware yderligere kommunikationskanaler, såsom 'servicemanager@yahooweb.co' og 'servicemanager2020@protonmail.com' e-mail-kjoler og en Jabber-konto.
Det fulde sæt instruktioner er:
'Advarsel!
For at gendanne data, skriv her:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (hvis du er russisk, skal du registrere dig på webstedet www.protonmail.com gennem TOR-browseren hxxps://www.torproject.org/ru/download/, da protonen er forbudt i dit land)
3) Jabber-klient - servicemanager@jabb.im (tilmelding kan ske på hjemmesiden - www.xmpp.jp. webklient er placeret på webstedet - hxxps://web.xabber.com/)Rediger ikke filer - dette vil beskadige dem.
Test dekryptering - 1 fil < 500 Kb.'
Løsesedlen i tekstfilen er:
'For at gendanne data, skriv her:
askebæger@outlookpro.netRediger ikke filer - dette vil beskadige dem.
Test dekryptering - 1 fil < 500 Kb.'
