Flash Ransomware
Nettkriminelle har laget en ny variant av den tidligere identifiserte Dcrtr Ransomware-trusselen. Det nye, truende verktøyet spores som Flash Ransomware, og det kan påvirke filene som er lagret på de infiserte enhetene. Ofre vil ikke lenger ha tilgang til noen av dokumentene deres, PDF-er, arkiver, databaser, bilder og mange andre filtyper. Hver berørt fil vil ha e-postadressen 'ashtray@outlookpro.net' etterfulgt av '.flash' til sitt opprinnelige navn. En annen truende variant fraDcrtr Ransomware- familien er Ash Ransomware .
Når alle målrettede filtyper er behandlet og låst, vil Flash Ransomware levere to løsepenger med instruksjoner til ofrene. Hovedmeldingen vil vises som et popup-vindu generert fra en fil som heter 'Decryptor.hta'. Sekundærnotatet vil bli slettet som en tekstfil kalt 'ReadMe_Decryptor.txt.'
Meldingen i tekstfilen sier at ofre må kontakte angriperne ved å sende en e-post til 'ashtray@outlookpro.net'-adressen. En enkelt fil som er mindre enn 500 KB stor kan legges ved meldingen for å dekrypteres gratis. Popup-vinduet inneholder flere kommunikasjonskanaler, inkludert to e-poster - 'servicemanager@yahooweb.co' og 'servicemanager2020@protonmail.com' og en Jabber-konto på 'servicemanager@jabb.im.'
Den fullstendige teksten til popup-notatet er:
'For å gjenopprette data, skriv her:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (hvis du er russisk, må du registrere deg på nettstedet www.protonmail.com gjennom TOR-nettleseren hxxps://www.torproject.org/ru/download/ , siden protonet er forbudt i ditt land)
3) Jabber-klient - servicemanager@jabb.im (registrering kan gjøres på nettstedet - www.xmpp.jp. nettklient er plassert på nettstedet - hxxps://web.xabber.com/)Ikke modifiser filer - dette vil skade dem.
Test dekryptering - 1 fil < 500 Kb.'
Tekstfilen inneholder følgende melding:
'For å gjenopprette data, skriv her:
askebeger@outlookpro.netIkke modifiser filer - dette vil skade dem.
Test dekryptering - 1 fil < 500 Kb.'
