Ash Ransomware
Ash Ransomware -uhan saastuttamat tietokoneet salataan. Uhka käyttää vahvaa salausalgoritmia, joka lukitsee uhriensa tiedostot, mukaan lukien asiakirjat, PDF-tiedostot, arkistot, tietokannat, kuvat ja monet muut tiedostotyypit. Asianomaiset tiedostot eivät ole enää käytettävissä, ja palauttaminen ilman asianmukaisia salauksenpurkuavaimia on yleensä mahdotonta. Hyökkääjät käyttävät salattuja tietoja kiristääkseen rahaa uhreiltaan. Infosecin tutkijat ovat vahvistaneet, että Ash Ransomware on muunnos aiemmin havaitusta uhkasta, joka tunnetaan nimellä Dcrtr Ransomware . Toinen samaan perheeseen kuuluva vaarallinen variantti on Flash Ransomware .
Ash Ransomwaren uhrit huomaavat, että myös heidän tiedostonsa alkuperäisiä nimiä on muutettu rajusti. Uhka liittää lukittamiinsa tiedostoihin sähköpostiosoitteen "ashtray@outlookpro.net" ja sen jälkeen ".ash". Rikkoutuneille laitteille pudotetaan kaksi lunnaita. Yksi uhkatoimijoiden viesteistä toimitetaan tekstitiedostona nimeltä ReadMe_Decryptor.txt, kun taas toinen näytetään ponnahdusikkunana, joka on luotu tiedostosta nimeltä Decryptor.hta.
Tekstitiedostossa olevien ohjeiden mukaan uhrien on otettava yhteyttä verkkorikollisiin lähettämällä viesti 'ashtray@outlookpro.net'. Viestiin voidaan liittää yksi tiedosto, jonka salaus puretaan ilmaiseksi osoituksena hyökkääjän kyvystä palauttaa salatut tiedot. Valitun tiedoston on oltava kooltaan alle 500 kt. Pääasiallinen lunnaat on se, joka näkyy ponnahdusikkunassa. Täällä Ash Ransomware tarjoaa lisäviestintäkanavia, kuten "servicemanager@yahooweb.co" ja "servicemanager2020@protonmail.com" sähköpostimekot ja Jabber-tilin.
Täydellinen ohjesarja on:
'Varoitus!
Palauta tiedot kirjoittamalla tähän:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (jos olet venäläinen, sinun on rekisteröidyttävä sivustolla www.protonmail.com TOR-selaimen kautta hxxps://www.torproject.org/ru/download/ , koska protoni on kielletty maassasi)
3) Jabber-asiakas - servicemanager@jabb.im (rekisteröinnin voi tehdä verkkosivulla - www.xmpp.jp. web-asiakasohjelma sijaitsee sivulla - hxxps://web.xabber.com/)Älä muokkaa tiedostoja - se vahingoittaa niitä.
Testaa salauksen purku - 1 tiedosto < 500 Kb.'
Tekstitiedoston lunnaita koskeva huomautus on:
'Palauta tiedot kirjoittamalla tähän:
ashtray@outlookpro.netÄlä muokkaa tiedostoja - se vahingoittaa niitä.
Testaa salauksen purku - 1 tiedosto < 500 Kb.'
