CLEAN Ransomware
Ved at analysere koden og adfærden for CLEAN Ransomware har infosec -forskere fastslået, at truslen er en variant fra Dharma Ransomware -familien. CLEAN fungerer som forventet fra en Dharma -trussel. Det forsøger at infiltrere de målrettede computersystemer, starter en krypteringsrutine og låser de data, der er gemt der. Bagefter prøver angriberne at presse ofrene for penge ved at love at sende dem den nødvendige dekrypteringsnøgle og værktøj, men kun hvis de får den krævede løsesum.
Når CLEAN Ransomware låser en fil, ændrer den også filens originale navn drastisk. Dette er en almindelig adfærd observeret i Dharma -varianter. De berørte filer vil have en streng, der repræsenterer offerets unikke id, en e -mail -adresse og '.CLEAN' tilføjet til deres navne. E -mailadressen, der bruges af CLEAN Ransomware, er 'clean@onionmail.org.' Det næste trin i truslen er at levere sit løsesum. Det gør det på to forskellige måder. Den ene indebærer at oprette en tekstfil med navnet 'FILES ENCRYPTED.txt', mens den anden viser en meddelelse i et pop-up-vindue.
CLEAN Ransomwares krav
På en typisk Dharma -måde mangler CLEAN Ransomwares noter de fleste vitale detaljer, som brugerne skulle se. Tekstfilen indeholder kun et par sætninger, der simpelthen fortæller ofre at sende besked enten 'clean@onionmail.org' eller 'clean@privyinternet.com', e -mail -adresser under hackernes kontrol. Selvom noten, der vises i pop op-vinduet, er længere, er den heller ikke så nyttig. Det gentager de samme to e -mails, men har en tilføjet sektion med forskellige advarsler, f.eks. Ændring af navnene på de krypterede filer kan forårsage permanent skade.
Tekstfilens meddelelse er:
' alle dine data er blevet låst for os
Vil du vende tilbage?
skriv e -mail clean@onionmail.org eller clean@privyinternet.comPop-vinduet viser følgende instruktioner:
DINE FILER ER Krypteret
Bare rolig, du kan returnere alle dine filer!
Hvis du vil gendanne dem, skal du følge dette link: email clean@onionmail.org DIT ID -
Hvis du ikke er blevet besvaret via linket inden for 12 timer, skal du skrive til os via e-mail: clean@privyinternet.com
Opmærksomhed!
Omdøb ikke krypterede filer.
Prøv ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer ved hjælp af tredjeparter kan forårsage forhøjet pris (de tilføjer deres gebyr til vores), eller du kan blive offer for et fupnummer. '
