Ash Ransomware
Datori, kas inficēti ar Ash Ransomware draudiem, tiks pakļauti datu šifrēšanai. Draudi izmanto spēcīgu kriptogrāfisku algoritmu, lai bloķētu upuru failus, tostarp dokumentus, PDF failus, arhīvus, datu bāzes, attēlus un daudzus citus failu tipus. Ietekmētie faili vairs nebūs pieejami, un atjaunošana bez atbilstošām atšifrēšanas atslēgām parasti nav iespējama. Uzbrucēji izmanto šifrētos datus, lai izspiestu naudu no saviem upuriem. Infosec pētnieki ir apstiprinājuši, ka Ash Ransomware ir iepriekš atklāta apdraudējuma variants, kas pazīstams kā Dcrtr Ransomware . Vēl viens bīstams variants, kas pieder tai pašai ģimenei, ir Flash Ransomware .
Ash Ransomware upuri pamanīs, ka arī viņu failu sākotnējie nosaukumi ir krasi mainīti. Draudi failiem, kurus tas bloķē, pievieno e-pasta adresi “ashtray@outlookpro.net”, kam seko “.ash”. Uzlauztajām ierīcēm tiks nomestas divas izpirkuma naudas zīmes. Viens no draudu dalībnieku ziņojumiem tiks piegādāts kā teksta fails ar nosaukumu "ReadMe_Decryptor.txt", bet otrs tiks parādīts kā uznirstošais logs, kas ģenerēts no faila ar nosaukumu "Decryptor.hta".
Teksta failā atrodamajās instrukcijās teikts, ka upuriem ir jāsazinās ar kibernoziedzniekiem, nosūtot ziņojumu “ashtray@outlookpro.net”. Ziņojumam var pievienot vienu failu, ko bez maksas atšifrēt, lai demonstrētu uzbrucēja spēju atjaunot šifrētos datus. Izvēlētā faila lielumam ir jābūt mazākam par 500 KB. Galvenā izpirkuma piezīme ir tā, kas tiek parādīta uznirstošajā logā. Šeit Ash Ransomware nodrošina papildu saziņas kanālus, piemēram, “servicemanager@yahooweb.co” un “servicemanager2020@protonmail.com” e-pasta kleitas un Jabber kontu.
Pilns instrukciju komplekts ir:
'Brīdinājums!
Lai atgūtu datus, rakstiet šeit:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (ja esat krievs, tad jums jāreģistrējas vietnē www.protonmail.com, izmantojot TOR pārlūkprogrammu hxxps://www.torproject.org/ru/download/ , jo protons ir aizliegts Tavā valstī)
3) Jabber klients - servicemanager@jabb.im (reģistrāciju var veikt vietnē - www.xmpp.jp. tīmekļa klients atrodas vietnē - hxxps://web.xabber.com/)Nepārveidojiet failus - tas tos sabojās.
Pārbaudīt atšifrēšanu — 1 fails < 500 Kb.'
Izpirkuma piezīme teksta failā ir:
"Lai atgūtu datus, rakstiet šeit:
ashtray@outlookpro.netNepārveidojiet failus - tas tos sabojās.
Pārbaudīt atšifrēšanu — 1 fails < 500 Kb.'
