Flash Ransomware

مجرمان سایبری نوع جدیدی از تهدید باج افزار Dcrtr را که قبلا شناسایی شده بود ایجاد کرده اند. ابزار جدید و تهدیدآمیز به عنوان باج‌افزار فلش ردیابی می‌شود و می‌تواند بر فایل‌های ذخیره‌شده در دستگاه‌های آلوده تأثیر بگذارد. قربانیان دیگر نمی‌توانند به هیچ یک از اسناد، فایل‌های PDF، آرشیو، پایگاه‌های داده، تصاویر و بسیاری از انواع فایل‌های خود دسترسی داشته باشند. هر فایل تحت تاثیر آدرس ایمیل "ashtray@outlookpro.net" و به دنبال آن "flash." به نام اصلی خود اضافه می شود. یکی دیگر از گونه های تهدید کننده از خانوادهباج افزار Dcrtr باج افزار Ash است.

هنگامی که تمام انواع فایل های مورد نظر پردازش و قفل شدند، باج افزار Flash دو یادداشت باج را همراه با دستورالعمل هایی برای قربانیان خود ارائه می دهد. پیام اصلی به عنوان یک پنجره پاپ آپ تولید شده از فایلی به نام "Decryptor.hta" نشان داده می شود. یادداشت ثانویه به عنوان یک فایل متنی با نام "ReadMe_Decryptor.txt" حذف می شود.

پیام موجود در فایل متنی بیان می‌کند که قربانیان باید با ارسال یک ایمیل به آدرس "ashtray@outlookpro.net" با مهاجمان تماس بگیرند. یک فایل واحد با حجم کمتر از 500 کیلوبایت می تواند به پیام پیوست شود تا به صورت رایگان رمزگشایی شود. پنجره بازشو شامل کانال‌های ارتباطی اضافی، از جمله دو ایمیل - 'servicemanager@yahooweb.co' و 'servicemanager2020@protonmail.com' و یک حساب Jabber در 'servicemanager@jabb.im' است.

متن کامل یادداشت پاپ آپ به شرح زیر است:

برای بازیابی اطلاعات، اینجا بنویسید:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (اگر روسی هستید، پس باید از طریق مرورگر TOR hxxps://www.torproject.org/ru/download/ در سایت www.protonmail.com ثبت نام کنید، زیرا پروتون ممنوع است در کشور شما)
3) Jabber client - servicemanager@jabb.im (ثبت نام در وب سایت قابل انجام است - www.xmpp.jp. وب کلاینت در سایت قرار دارد - hxxps://web.xabber.com/)

فایل ها را تغییر ندهید - این به آنها آسیب می رساند.
رمزگشایی آزمایشی - 1 فایل < 500 کیلوبایت.'

فایل متنی حاوی پیام زیر است:

برای بازیابی اطلاعات، اینجا بنویسید:
ashtray@outlookpro.net

فایل ها را تغییر ندهید - این به آنها آسیب می رساند.
رمزگشایی آزمایشی - 1 فایل < 500 کیلوبایت.'