Ash Ransomware

Ash Ransomware 위협에 감염된 컴퓨터는 데이터 암호화의 대상이 됩니다. 이 위협은 강력한 암호화 알고리즘을 사용하여 문서, PDF, 아카이브, 데이터베이스, 이미지 및 기타 여러 파일 형식을 포함하여 피해자의 파일을 잠급니다. 영향을 받는 파일은 더 이상 액세스할 수 없으며 적절한 암호 해독 키 없이는 일반적으로 복원이 불가능합니다. 공격자는 암호화된 데이터를 사용하여 피해자로부터 돈을 갈취합니다. Infosec 연구원들은 Ash Ransomware가 Dcrtr Ransomware 로 알려진 이전에 탐지된 위협의 변종임을 확인했습니다. 같은 계열에 속하는 또 다른 위험한 변종은 Flash Ransomware 입니다.

Ash Ransomware의 피해자는 파일의 원래 이름도 크게 수정되었음을 알 수 있습니다. 위협 요소는 잠그는 파일에 'ashtray@outlookpro.net' 이메일 주소와 '.ash'를 차례로 첨부합니다. 두 개의 몸값 메모가 침해된 장치에 드롭됩니다. 위협 행위자의 메시지 중 하나는 'ReadMe_Decryptor.txt'라는 텍스트 파일로 전달되고, 다른 하나는 'Decryptor.hta'라는 파일에서 생성된 팝업으로 표시됩니다.

텍스트 파일 내에서 발견된 지침에는 피해자가 'ashtray@outlookpro.net' 메시지를 통해 사이버 범죄자에게 연락해야 한다고 명시되어 있습니다. 암호화된 데이터를 복원하는 공격자의 능력을 입증하기 위해 하나의 파일을 무료로 해독할 메시지에 첨부할 수 있습니다. 선택한 파일의 크기는 500KB 미만이어야 합니다. 기본 몸값 메모는 팝업 창에 표시되는 메모입니다. 여기에서 Ash Ransomware는 'servicemanager@yahooweb.co' 및 'servicemanager2020@protonmail.com' 이메일 드레스 및 Jabber 계정과 같은 추가 통신 채널을 제공합니다.

전체 지침은 다음과 같습니다.

'경고!
데이터를 복구하려면 여기에 작성하십시오.
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (러시아인인 경우 TOR 브라우저 hxxps://www.torproject.org/ru/download/ 를 통해 www.protonmail.com 사이트에 등록해야 합니다. 양성자는 금지되어 있기 때문입니다. 당신의 나라에서)
3) Jabber 클라이언트 - servicemanager@jabb.im (등록은 웹사이트에서 할 수 있습니다 - www.xmpp.jp. 웹 클라이언트는 사이트에 있습니다 - hxxps://web.xabber.com/)

파일을 수정하지 마십시오. 파일이 손상됩니다.
암호 해독 테스트 - 파일 1개 < 500Kb.'

텍스트 파일의 몸값 메모는 다음과 같습니다.

'데이터를 복구하려면 여기에 작성하십시오.
ashtray@outlookpro.net

파일을 수정하지 마십시오. 파일이 손상됩니다.
암호 해독 테스트 - 파일 1개 < 500Kb.'