CLEAN Ransomware
CLEAN Ransomware के कोड और व्यवहार का विश्लेषण करके, infosec शोधकर्ताओं ने निर्धारित किया है कि यह खतरा धर्म रैंसमवेयर परिवार का एक प्रकार है। CLEAN धर्म के खतरे से अपेक्षित रूप से कार्य करता है। यह लक्षित कंप्यूटर सिस्टम में घुसपैठ करने की कोशिश करता है, एक एन्क्रिप्शन रूटीन शुरू करता है, और वहां संग्रहीत डेटा को लॉक कर देता है। बाद में, हमलावर पीड़ितों को आवश्यक डिक्रिप्शन कुंजी और उपकरण भेजने का वादा करके पैसे के लिए जबरन वसूली करने की कोशिश करते हैं, लेकिन केवल तभी जब उन्हें मांगी गई फिरौती का भुगतान किया जाता है।
जब CLEAN Ransomware किसी फ़ाइल को लॉक कर देता है, तो यह उस फ़ाइल के मूल नाम को भी काफी हद तक बदल देता है। यह धर्म रूपों में देखा जाने वाला एक सामान्य व्यवहार है। प्रभावित फाइलों में पीड़ित की विशिष्ट आईडी, एक ईमेल पता और उनके नाम के साथ '.CLEAN' जोड़ने वाली एक स्ट्रिंग होगी। CLEAN Ransomware द्वारा उपयोग किया जाने वाला ईमेल पता 'clean@onionmail.org' है। धमकी का अगला कदम फिरौती का नोट देना है। यह दो अलग-अलग तरीकों से ऐसा करता है। एक में 'FILES ENCRYPTED.txt' नाम की टेक्स्ट फ़ाइल बनाना शामिल है, जबकि दूसरा पॉप-अप विंडो में एक संदेश प्रदर्शित करता है।
स्वच्छ रैंसमवेयर की मांग
एक विशिष्ट धर्म फैशन में, क्लीन रैंसमवेयर के नोट्स में अधिकांश महत्वपूर्ण विवरण नहीं होते हैं जिन्हें उपयोगकर्ताओं को देखने की आवश्यकता होगी। टेक्स्ट फ़ाइल में केवल कुछ वाक्य होते हैं जो पीड़ितों को हैकर्स के नियंत्रण में 'clean@onionmail.org' या 'clean@privyinternet.com' ईमेल पते पर संदेश भेजने के लिए कहते हैं। हालाँकि पॉप-अप विंडो में प्रदर्शित होने वाला नोट लंबा है, यह उतना उपयोगी भी नहीं है। यह वही दो ईमेल दोहराता है लेकिन इसमें विभिन्न चेतावनियों के साथ एक अतिरिक्त अनुभाग होता है, जैसे एन्क्रिप्टेड फ़ाइलों के नाम बदलने से स्थायी क्षति हो सकती है।
पाठ फ़ाइल का संदेश है:
' आपका सारा डेटा हमें लॉक कर दिया गया है
आप लौटना चाहते हैं?
ईमेल लिखें clean@onionmail.org or clean@privyinternet.comपॉप-विंडो निम्नलिखित निर्देश दिखाती है:
आपकी फ़ाइलें एन्क्रिप्ट की गई हैं
चिंता न करें, आप अपनी सभी फ़ाइलें वापस कर सकते हैं!
यदि आप उन्हें पुनर्स्थापित करना चाहते हैं, तो इस लिंक का अनुसरण करें: ईमेल clean@onionmail.org अपनी आईडी -
यदि आपको 12 घंटे के भीतर लिंक के माध्यम से उत्तर नहीं दिया गया है, तो हमें ई-मेल द्वारा लिखें:clean@privyinternet.com
ध्यान!
एन्क्रिप्टेड फ़ाइलों का नाम न बदलें।
तृतीय पक्ष सॉफ़्टवेयर का उपयोग करके अपने डेटा को डिक्रिप्ट करने का प्रयास न करें, इससे स्थायी डेटा हानि हो सकती है।
तीसरे पक्ष की मदद से आपकी फाइलों के डिक्रिप्शन से कीमत बढ़ सकती है (वे अपना शुल्क हमारे साथ जोड़ते हैं) या आप एक घोटाले का शिकार हो सकते हैं। '
