Ash Ransomware
Az Ash Ransomware fenyegetéssel fertőzött számítógépeket adattitkosításnak vetik alá. A fenyegetés erős kriptográfiai algoritmust használ az áldozatok fájljainak zárolására, beleértve a dokumentumokat, PDF-eket, archívumokat, adatbázisokat, képeket és sok más fájltípust. Az érintett fájlok többé nem lesznek elérhetők, és a visszaállítás a megfelelő visszafejtési kulcsok nélkül általában lehetetlen. A támadók a titkosított adatokat arra használják, hogy pénzt csikarjanak ki áldozataiktól. Az Infosec kutatói megerősítették, hogy az Ash Ransomware a korábban észlelt, Dcrtr Ransomware néven ismert fenyegetés egy változata. Egy másik veszélyes változat, amely ugyanahhoz a családhoz tartozik, a Flash Ransomware .
Az Ash Ransomware áldozatai észre fogják venni, hogy fájljaik eredeti nevét is drasztikusan módosították. A fenyegetés az „ashtray@outlookpro.net” e-mail címet, majd az „.ash” karakterláncot csatolja a zárolt fájlokhoz. A feltört eszközökre két váltságdíjat dobnak. A fenyegetés szereplőinek egyik üzenete „ReadMe_Decryptor.txt” szövegfájlként érkezik, a másik pedig a „Decryptor.hta” nevű fájlból előállított előugró ablakként jelenik meg.
A szöveges fájlban található utasítások kimondják, hogy az áldozatoknak az „ashtray@outlookpro.net” üzenettel kell megkeresniük a kiberbűnözőket. Az üzenethez egy fájl csatolható ingyenesen, hogy visszafejtse a titkosítást, demonstrálva, hogy a támadó képes visszaállítani a titkosított adatokat. A kiválasztott fájlnak 500 KB-nál kisebbnek kell lennie. A fő váltságdíj az előugró ablakban látható. Itt az Ash Ransomware további kommunikációs csatornákat biztosít, mint például a „servicemanager@yahooweb.co” és „servicemanager2020@protonmail.com” e-mail ruhákat, valamint egy Jabber-fiókot.
Az utasítások teljes készlete a következő:
'Figyelem!
Az adatok helyreállításához írjon ide:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (ha orosz, akkor regisztrálnia kell a www.protonmail.com webhelyen a TOR böngészőn keresztül hxxps://www.torproject.org/ru/download/ , mivel a proton tilos az országodban)
3) Jabber kliens - servicemanager@jabb.im (a regisztráció a www.xmpp.jp weboldalon történhet. A webes kliens a hxxps://web.xabber.com/ oldalon található)Ne módosítsa a fájlokat - ez károsítja őket.
Teszt visszafejtés – 1 fájl < 500 Kb.'
A váltságdíj megjegyzése a szöveges fájlban a következő:
'Az adatok helyreállításához írja ide:
ashray@outlookpro.netNe módosítsa a fájlokat - ez károsítja őket.
Teszt visszafejtés – 1 fájl < 500 Kb.'
