CLEAN Ransomware
Analizzando il codice e il comportamento di CLEAN Ransomware, i ricercatori di infosec hanno determinato che la minaccia è una variante della famiglia Dharma Ransomware. CLEAN opera come previsto da una minaccia del Dharma. Tenta di infiltrarsi nei sistemi informatici mirati, avvia una routine di crittografia e blocca i dati archiviati lì. Successivamente, gli aggressori cercano di estorcere denaro alle vittime promettendo di inviare loro la chiave e lo strumento di decrittazione richiesti, ma solo se ricevono il riscatto richiesto.
Quando CLEAN Ransomware blocca un file, cambia drasticamente anche il nome originale di quel file. Questo è un comportamento comune osservato nelle varianti del Dharma. I file interessati avranno una stringa che rappresenta l'ID univoco della vittima, un indirizzo e-mail e ".CLEAN" aggiunti ai loro nomi. L'indirizzo email utilizzato da CLEAN Ransomware è "clean@onionmail.org". Il prossimo passo della minaccia è consegnare la sua richiesta di riscatto. Lo fa in due modi distinti. Uno comporta la creazione di un file di testo denominato 'FILES ENCRYPTED.txt' mentre l'altro visualizza un messaggio in una finestra pop-up.
PULIRE le richieste del ransomware
In un tipico stile Dharma, le note di CLEAN Ransomware mancano della maggior parte dei dettagli vitali che gli utenti dovrebbero vedere. Il file di testo contiene solo un paio di frasi che semplicemente dicono alle vittime di inviare un messaggio a "clean@onionmail.org" o "clean@privyinternet.com", indirizzi e-mail sotto il controllo degli hacker. Sebbene la nota visualizzata nella finestra a comparsa sia più lunga, non è nemmeno così utile. Ribadisce le stesse due e-mail ma ha una sezione aggiuntiva con vari avvisi, ad esempio la modifica dei nomi dei file crittografati potrebbe causare danni permanenti.
Il messaggio del file di testo è:
' tutti i tuoi dati ci sono stati bloccati
Vuoi tornare?
scrivi e-mail clean@onionmail.org o clean@privyinternet.comLa finestra pop-up mostra le seguenti istruzioni:
I TUOI FILE SONO CRIPTATI
Non preoccuparti, puoi restituire tutti i tuoi file!
Se vuoi ripristinarli, segui questo link: email clean@onionmail.org IL TUO ID -
Se non hai ricevuto risposta tramite il link entro 12 ore, scrivici via e-mail:clean@privyinternet.com
Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro commissione alla nostra) o puoi diventare vittima di una truffa. '
