Ash ransomware
I computer infettati dalla minaccia Ash Ransomware saranno sottoposti a crittografia dei dati. La minaccia utilizza un potente algoritmo crittografico per bloccare i file delle sue vittime, inclusi documenti, PDF, archivi, database, immagini e molti altri tipi di file. I file interessati non saranno più accessibili e il ripristino senza le chiavi di decrittazione appropriate è generalmente impossibile. Gli aggressori utilizzano i dati crittografati per estorcere denaro alle loro vittime. I ricercatori di Infosec hanno confermato che Ash Ransomware è una variante di una minaccia precedentemente rilevata nota come Dcrtr Ransomware . Un'altra variante pericolosa appartenente alla stessa famiglia è Flash Ransomware .
Le vittime dell'Ash Ransomware noteranno che anche i loro file hanno avuto i loro nomi originali modificati drasticamente. La minaccia allega l'indirizzo e-mail "posacenere@outlookpro.net" seguito da ".ash" ai file che blocca. Due richieste di riscatto verranno rilasciate sui dispositivi violati. Uno dei messaggi degli attori delle minacce verrà consegnato come file di testo denominato "ReadMe_Decryptor.txt", mentre l'altro verrà mostrato come un pop-up generato da un file denominato "Decryptor.hta".
Le istruzioni trovate all'interno del file di testo affermano che le vittime devono contattare i criminali informatici inviando un messaggio "ashtray@outlookpro.net". Un file può essere allegato al messaggio da decrittografare gratuitamente come dimostrazione della capacità dell'attaccante di ripristinare i dati crittografati. Il file scelto deve avere una dimensione inferiore a 500 KB. La richiesta di riscatto principale è quella mostrata nella finestra pop-up. Qui, Ash Ransomware fornisce canali di comunicazione aggiuntivi, come gli abiti e-mail "servicemanager@yahooweb.co" e "servicemanager2020@protonmail.com" e un account Jabber.
Il set completo di istruzioni è:
'Avvertimento!
Per recuperare i dati, scrivi qui:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (se sei russo, devi registrarti sul sito www.protonmail.com tramite il browser TOR hxxps://www.torproject.org/ru/download/ , poiché il protone è vietato nel vostro Paese)
3) Client Jabber - servicemanager@jabb.im (la registrazione può essere effettuata sul sito Web - www.xmpp.jp. il client Web si trova sul sito - hxxps://web.xabber.com/)Non modificare i file: ciò li danneggerà.
Decrittografia di prova - 1 file < 500 Kb.'
La richiesta di riscatto nel file di testo è:
'Per recuperare i dati, scrivi qui:
posacenere@outlookpro.netNon modificare i file: ciò li danneggerà.
Decrittografia di prova - 1 file < 500 Kb.'
