Ash Ransomware
Datamaskiner infisert med Ash Ransomware-trusselen vil bli utsatt for datakryptering. Trusselen bruker en sterk kryptografisk algoritme for å låse filene til ofrene, inkludert dokumenter, PDF-er, arkiver, databaser, bilder og mange andre filtyper. De berørte filene vil ikke lenger være tilgjengelige, og gjenoppretting uten de riktige dekrypteringsnøklene er vanligvis umulig. Angriperne bruker de krypterte dataene til å presse penger fra ofrene sine. Infosec-forskere har bekreftet at Ash Ransomware er en variant av en tidligere oppdaget trussel kjent som Dcrtr Ransomware . En annen farlig variant som tilhører samme familie er Flash Ransomware .
Ofre for Ash Ransomware vil legge merke til at filene deres også har fått sine opprinnelige navn endret drastisk. Trusselen legger ved 'ashtray@outlookpro.net'-e-postadressen etterfulgt av '.ash' til filene den låser. To løsepenger vil bli sluppet på de brutte enhetene. En av meldingene fra trusselaktørene vil bli levert som en tekstfil kalt 'ReadMe_Decryptor.txt', mens den andre vil vises som en pop-up generert fra en fil kalt 'Decryptor.hta'.
Instruksjonene i tekstfilen sier at ofrene må kontakte nettkriminelle ved å sende meldingene 'ashtray@outlookpro.net'. Én fil kan legges ved meldingen som skal dekrypteres gratis som en demonstrasjon av angriperens evne til å gjenopprette de krypterte dataene. Den valgte filen må være mindre enn 500 KB stor. Hovedseddelen for løsepenger er den som vises i popup-vinduet. Her gir Ash Ransomware ytterligere kommunikasjonskanaler, for eksempel 'servicemanager@yahooweb.co' og 'servicemanager2020@protonmail.com' e-postkjoler og en Jabber-konto.
Det komplette settet med instruksjoner er:
'Advarsel!
For å gjenopprette data, skriv her:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (hvis du er russisk, må du registrere deg på nettstedet www.protonmail.com gjennom TOR-nettleseren hxxps://www.torproject.org/ru/download/ , siden protonet er forbudt i ditt land)
3) Jabber-klient - servicemanager@jabb.im (registrering kan gjøres på nettstedet - www.xmpp.jp. nettklient er plassert på nettstedet - hxxps://web.xabber.com/)Ikke modifiser filer - dette vil skade dem.
Test dekryptering - 1 fil < 500 Kb.'
Løsepengene i tekstfilen er:
'For å gjenopprette data, skriv her:
askebeger@outlookpro.netIkke modifiser filer - dette vil skade dem.
Test dekryptering - 1 fil < 500 Kb.'
