Flash Ransomware
Kibernoziedznieki ir radījuši jaunu iepriekš identificēto Dcrtr Ransomware draudu variantu. Jaunais, draudošais rīks tiek izsekots kā Flash Ransomware, un tas var ietekmēt inficētajās ierīcēs saglabātos failus. Upuri vairs nevarēs piekļūt nevienam no saviem dokumentiem, PDF failiem, arhīviem, datu bāzēm, attēliem un daudziem citiem failu tipiem. Katram ietekmētajam failam būs e-pasta adrese “ashtray@outlookpro.net”, kam seko “.flash” tā sākotnējam nosaukumam. Vēl viens draudīgs variants noDcrtr Ransomware saimes ir Ash Ransomware .
Kad visi mērķa failu tipi ir apstrādāti un bloķēti, Flash Ransomware piegādās divas izpirkuma piezīmes ar norādījumiem saviem upuriem. Galvenais ziņojums tiks parādīts kā uznirstošais logs, kas ģenerēts no faila ar nosaukumu "Decryptor.hta". Sekundārā piezīme tiks izmesta kā teksta fails ar nosaukumu "ReadMe_Decryptor.txt".
Teksta failā esošajā ziņojumā teikts, ka upuriem ir jāsazinās ar uzbrucējiem, nosūtot e-pastu uz adresi "ashtray@outlookpro.net". Ziņojumam var pievienot vienu failu, kura izmērs ir mazāks par 500 KB, lai to bez maksas atšifrētu. Uznirstošajā logā ir papildu saziņas kanāli, tostarp divi e-pasta ziņojumi — “servicemanager@yahooweb.co” un “servicemanager2020@protonmail.com”, kā arī Jabber konts “servicemanager@jabb.im”.
Pilns uznirstošās piezīmes teksts ir:
"Lai atgūtu datus, rakstiet šeit:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (ja esat krievs, tad jums jāreģistrējas vietnē www.protonmail.com, izmantojot TOR pārlūkprogrammu hxxps://www.torproject.org/ru/download/ , jo protons ir aizliegts Tavā valstī)
3) Jabber klients - servicemanager@jabb.im (reģistrāciju var veikt vietnē - www.xmpp.jp. tīmekļa klients atrodas vietnē - hxxps://web.xabber.com/)Nepārveidojiet failus - tas tos sabojās.
Pārbaudīt atšifrēšanu — 1 fails < 500 Kb.'
Teksta failā ir šāds ziņojums:
"Lai atgūtu datus, rakstiet šeit:
ashtray@outlookpro.netNepārveidojiet failus - tas tos sabojās.
Pārbaudīt atšifrēšanu — 1 fails < 500 Kb.'
