Ash Ransomware
Οι υπολογιστές που έχουν μολυνθεί με την απειλή Ash Ransomware θα υποβάλλονται σε κρυπτογράφηση δεδομένων. Η απειλή χρησιμοποιεί έναν ισχυρό κρυπτογραφικό αλγόριθμο για να κλειδώνει τα αρχεία των θυμάτων της, συμπεριλαμβανομένων εγγράφων, PDF, αρχείων, βάσεων δεδομένων, εικόνων και πολλών άλλων τύπων αρχείων. Τα επηρεαζόμενα αρχεία δεν θα είναι πλέον προσβάσιμα και η αποκατάσταση χωρίς τα κατάλληλα κλειδιά αποκρυπτογράφησης είναι συνήθως αδύνατη. Οι εισβολείς χρησιμοποιούν τα κρυπτογραφημένα δεδομένα για να εκβιάσουν χρήματα από τα θύματά τους. Οι ερευνητές της Infosec επιβεβαίωσαν ότι το Ash Ransomware είναι μια παραλλαγή μιας προηγουμένως εντοπισμένης απειλής γνωστής ως Dcrtr Ransomware . Μια άλλη επικίνδυνη παραλλαγή που ανήκει στην ίδια οικογένεια είναι το Flash Ransomware .
Τα θύματα του Ash Ransomware θα παρατηρήσουν ότι τα αρχεία τους έχουν επίσης τροποποιηθεί δραστικά τα αρχικά τους ονόματα. Η απειλή επισυνάπτει τη διεύθυνση email "ashtray@outlookpro.net" ακολουθούμενη από ".ash" στα αρχεία που κλειδώνει. Δύο σημειώσεις λύτρων θα απορριφθούν στις συσκευές που έχουν παραβιαστεί. Ένα από τα μηνύματα από τους φορείς απειλών θα παραδοθεί ως αρχείο κειμένου με το όνομα "ReadMe_Decryptor.txt", ενώ το άλλο θα εμφανίζεται ως αναδυόμενο παράθυρο που δημιουργείται από ένα αρχείο με το όνομα "Decryptor.hta".
Οι οδηγίες που βρίσκονται μέσα στο αρχείο κειμένου αναφέρουν ότι τα θύματα πρέπει να επικοινωνήσουν με τους εγκληματίες του κυβερνοχώρου στέλνοντας μήνυμα "ashtray@outlookpro.net". Ένα αρχείο μπορεί να επισυναφθεί στο μήνυμα που θα αποκρυπτογραφηθεί δωρεάν ως επίδειξη της ικανότητας του εισβολέα να επαναφέρει τα κρυπτογραφημένα δεδομένα. Το επιλεγμένο αρχείο πρέπει να έχει μέγεθος μικρότερο από 500 KB. Το κύριο σημείωμα λύτρων είναι αυτό που εμφανίζεται στο αναδυόμενο παράθυρο. Εδώ, το Ash Ransomware παρέχει πρόσθετα κανάλια επικοινωνίας, όπως τα φορέματα email «servicemanager@yahooweb.co» και «servicemanager2020@protonmail.com» και έναν λογαριασμό Jabber.
Το πλήρες σετ οδηγιών είναι:
'Προειδοποίηση!
Για ανάκτηση δεδομένων, γράψτε εδώ:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (εάν είστε Ρώσοι, τότε πρέπει να εγγραφείτε στον ιστότοπο www.protonmail.com μέσω του προγράμματος περιήγησης TOR hxxps://www.torproject.org/ru/download/ , καθώς το πρωτόνιο απαγορεύεται στην χώρα σου)
3) Jabber client - servicemanager@jabb.im (η εγγραφή μπορεί να γίνει στον ιστότοπο - www.xmpp.jp. Ο web client βρίσκεται στον ιστότοπο - hxxps://web.xabber.com/)Μην τροποποιείτε αρχεία - αυτό θα τα καταστρέψει.
Δοκιμή αποκρυπτογράφησης - 1 αρχείο < 500 Kb.'
Το σημείωμα λύτρων στο αρχείο κειμένου είναι:
«Για να ανακτήσετε δεδομένα, γράψτε εδώ:
ashtray@outlookpro.netΜην τροποποιείτε αρχεία - αυτό θα τα καταστρέψει.
Δοκιμή αποκρυπτογράφησης - 1 αρχείο < 500 Kb.'
