Ash Ransomware
Komputer yang dijangkiti ancaman Ash Ransomware akan tertakluk kepada penyulitan data. Ancaman itu menggunakan algoritma kriptografi yang kuat untuk mengunci fail mangsanya, termasuk dokumen, PDF, arkib, pangkalan data, imej dan banyak jenis fail lain. Fail yang terjejas tidak lagi boleh diakses dan pemulihan tanpa kunci penyahsulitan yang betul biasanya mustahil. Penyerang menggunakan data yang disulitkan untuk memeras wang daripada mangsa mereka. Penyelidik Infosec telah mengesahkan bahawa Ash Ransomware ialah varian ancaman yang dikesan sebelum ini dikenali sebagai Dcrtr Ransomware . Satu lagi varian berbahaya yang dimiliki oleh keluarga yang sama ialah Flash Ransomware .
Mangsa Ash Ransomware akan menyedari bahawa fail mereka juga telah diubah suai nama asalnya secara drastik. Ancaman itu melampirkan alamat e-mel 'ashtray@outlookpro.net' diikuti dengan '.ash' pada fail yang dikunci. Dua wang tebusan akan digugurkan pada peranti yang dilanggar. Salah satu mesej oleh pelaku ancaman akan dihantar sebagai fail teks bernama 'ReadMe_Decryptor.txt,' manakala satu lagi akan ditunjukkan sebagai pop timbul yang dijana daripada fail bernama 'Decryptor.hta.'
Arahan yang terdapat di dalam fail teks menyatakan bahawa mangsa mesti menghubungi penjenayah siber dengan menghantar mesej 'ashtray@outlookpro.net.' Satu fail boleh dilampirkan pada mesej untuk dinyahsulit secara percuma sebagai demonstrasi keupayaan penyerang untuk memulihkan data yang disulitkan. Fail yang dipilih mestilah bersaiz kurang daripada 500 KB. Nota tebusan utama ialah yang ditunjukkan dalam tetingkap pop timbul. Di sini, Ash Ransomware menyediakan saluran komunikasi tambahan, seperti pakaian e-mel 'servicemanager@yahooweb.co' dan 'servicemanager2020@protonmail.com' dan akaun Jabber.
Set arahan penuh ialah:
'Amaran!
Untuk memulihkan data, tulis di sini:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (jika anda warga Rusia, maka anda perlu mendaftar di tapak www.protonmail.com melalui penyemak imbas TOR hxxps://www.torproject.org/ru/download/ , kerana proton dilarang di negara awak)
3) Pelanggan Jabber - servicemanager@jabb.im (pendaftaran boleh dilakukan di laman web - www.xmpp.jp. klien web terletak di tapak - hxxps://web.xabber.com/)Jangan ubah suai fail - ini akan merosakkannya.
Penyahsulitan ujian - 1 fail < 500 Kb.'
Nota tebusan dalam fail teks ialah:
'Untuk memulihkan data, tulis di sini:
ashtray@outlookpro.netJangan ubah suai fail - ini akan merosakkannya.
Penyahsulitan ujian - 1 fail < 500 Kb.'
