Ash Ransomware
Računala zaražena prijetnjom Ash Ransomware bit će podvrgnuta enkripciji podataka. Prijetnja koristi snažan kriptografski algoritam za zaključavanje datoteka svojih žrtava, uključujući dokumente, PDF-ove, arhive, baze podataka, slike i mnoge druge vrste datoteka. Zahvaćene datoteke više neće biti dostupne, a vraćanje bez odgovarajućih ključeva za dešifriranje obično je nemoguće. Napadači koriste šifrirane podatke kako bi iznudili novac od svojih žrtava. Istraživači tvrtke Infosec potvrdili su da je Ash Ransomware varijanta prethodno otkrivene prijetnje poznate kao Dcrtr Ransomware . Druga opasna varijanta koja pripada istoj obitelji je Flash Ransomware .
Žrtve Ash Ransomwarea primijetit će da su i izvorni nazivi njihovih datoteka drastično izmijenjeni. Prijetnja prilaže adresu e-pošte 'ashtray@outlookpro.net' nakon koje slijedi '.ash' datotekama koje zaključava. Dvije poruke o otkupnini bit će bačene na oštećene uređaje. Jedna od poruka aktera prijetnje bit će isporučena kao tekstualna datoteka pod nazivom 'ReadMe_Decryptor.txt', dok će druga biti prikazana kao skočni prozor generiran iz datoteke pod nazivom 'Decryptor.hta'.
Upute koje se nalaze unutar tekstualne datoteke navode da se žrtve moraju obratiti kibernetičkim kriminalcima slanjem poruke 'ashtray@outlookpro.net'. Jedna datoteka može se priložiti poruci koja će se besplatno dešifrirati kao demonstracija sposobnosti napadača da vrati šifrirane podatke. Odabrana datoteka mora biti manja od 500 KB. Glavna poruka o otkupnini je ona prikazana u skočnom prozoru. Ovdje Ash Ransomware nudi dodatne komunikacijske kanale, kao što su 'servicemanager@yahooweb.co' i 'servicemanager2020@protonmail.com' e-mail haljine i Jabber račun.
Cijeli skup uputa je:
'Upozorenje!
Za oporavak podataka napišite ovdje:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (ako ste Rus, tada se morate registrirati na stranici www.protonmail.com putem TOR preglednika hxxps://www.torproject.org/ru/download/ , jer je proton zabranjen u tvojoj zemlji)
3) Jabber klijent - servicemanager@jabb.im (registracija se može izvršiti na web stranici - www.xmpp.jp. Web klijent se nalazi na stranici - hxxps://web.xabber.com/)Ne mijenjajte datoteke - to će ih oštetiti.
Test dešifriranja - 1 datoteka < 500 Kb.'
Poruka o otkupnini u tekstualnoj datoteci je:
'Za oporavak podataka, napišite ovdje:
ashtray@outlookpro.netNe mijenjajte datoteke - to će ih oštetiti.
Test dešifriranja - 1 datoteka < 500 Kb.'
