Ash Ransomware

מחשבים הנגועים באיום Ash Ransomware יהיו נתונים להצפנת נתונים. האיום משתמש באלגוריתם קריפטוגרפי חזק כדי לנעול את הקבצים של הקורבנות שלו, כולל מסמכים, קובצי PDF, ארכיונים, מסדי נתונים, תמונות וסוגי קבצים רבים אחרים. הקבצים המושפעים כבר לא יהיו נגישים ושחזור ללא מפתחות הפענוח המתאימים בדרך כלל בלתי אפשרי. התוקפים משתמשים בנתונים המוצפנים כדי לסחוט כסף מהקורבנות שלהם. חוקרי Infosec אישרו ש- Ash Ransomware היא גרסה של איום שזוהה בעבר המכונה Dcrtr Ransomware . גרסה מסוכנת נוספת השייכת לאותה משפחה היא Flash Ransomware .

קורבנות של Ash Ransomware ישימו לב שגם השמות המקוריים שלהם השתנו בצורה דרסטית לקבצים שלהם. האיום מצרף את כתובת האימייל 'ashtray@outlookpro.net' ואחריה '.ash' לקבצים שהוא נועל. שני שטרות כופר יופלו על המכשירים שנפרצו. אחת ההודעות של גורמי האיום תועבר כקובץ טקסט בשם 'ReadMe_Decryptor.txt', בעוד שהשנייה תוצג כחלון קופץ שנוצר מקובץ בשם 'Decryptor.hta'.

ההוראות שנמצאו בתוך קובץ הטקסט קובעות כי על הקורבנות לפנות אל עברייני הרשת באמצעות הודעה 'ashtray@outlookpro.net'. ניתן לצרף להודעה קובץ אחד לפיענוח בחינם כהדגמה ליכולתו של התוקף לשחזר את הנתונים המוצפנים. הקובץ הנבחר חייב להיות בגודל של פחות מ-500 KB. פתק הכופר הראשי הוא זה שמוצג בחלון המוקפץ. כאן, תוכנת הכופר של Ash מספקת ערוצי תקשורת נוספים, כגון שמלות האימייל 'servicemanager@yahooweb.co' ו-'servicemanager2020@protonmail.com' וחשבון Jabber.

ערכת ההוראות המלאה היא:

'אַזהָרָה!
כדי לשחזר נתונים, כתוב כאן:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (אם אתה רוסי, אז אתה צריך להירשם באתר www.protonmail.com דרך דפדפן TOR hxxps://www.torproject.org/ru/download/, מכיוון שהפרוטון אסור במדינה שלך)
3) לקוח Jabber - servicemanager@jabb.im (הרשמה יכולה להתבצע באתר - www.xmpp.jp. לקוח אינטרנט נמצא באתר - hxxps://web.xabber.com/)

אל תשנה קבצים - זה יפגע בהם.
בדיקת פענוח - קובץ אחד < 500 Kb.'

פתק הכופר בקובץ הטקסט הוא:

'כדי לשחזר נתונים, כתוב כאן:
ashray@outlookpro.net

אל תשנה קבצים - זה יפגע בהם.
בדיקת פענוח - קובץ אחד < 500 Kb.'