Ash Ransomware
Computers die zijn geïnfecteerd met de Ash Ransomware-dreiging zullen worden onderworpen aan gegevensversleuteling. De dreiging maakt gebruik van een sterk cryptografisch algoritme om de bestanden van de slachtoffers te vergrendelen, inclusief documenten, pdf's, archieven, databases, afbeeldingen en vele andere bestandstypen. De getroffen bestanden zijn niet langer toegankelijk en herstel zonder de juiste decoderingssleutels is meestal onmogelijk. De aanvallers gebruiken de versleutelde gegevens om geld af te persen van hun slachtoffers. Infosec-onderzoekers hebben bevestigd dat de Ash Ransomware een variant is van een eerder gedetecteerde bedreiging die bekend staat als de Dcrtr Ransomware . Een andere gevaarlijke variant die tot dezelfde familie behoort, is Flash Ransomware .
Slachtoffers van de Ash Ransomware zullen merken dat hun bestanden ook drastisch zijn gewijzigd. De dreiging hecht het 'ashtray@outlookpro.net' e-mailadres gevolgd door '.ash' aan de bestanden die het vergrendelt. Er worden twee losgeldbrieven op de gehackte apparaten geplaatst. Een van de berichten van de bedreigingsactoren wordt afgeleverd als een tekstbestand met de naam 'ReadMe_Decryptor.txt', terwijl het andere wordt weergegeven als een pop-up die wordt gegenereerd op basis van een bestand met de naam 'Decryptor.hta'.
In de instructies in het tekstbestand staat dat slachtoffers contact moeten opnemen met de cybercriminelen door een bericht te sturen naar 'ashtray@outlookpro.net'. Er kan één bestand aan het bericht worden toegevoegd dat gratis moet worden ontsleuteld als demonstratie van het vermogen van de aanvaller om de versleutelde gegevens te herstellen. Het gekozen bestand moet kleiner zijn dan 500 KB. De belangrijkste losgeldbrief is degene die wordt weergegeven in het pop-upvenster. Hier biedt de Ash Ransomware extra communicatiekanalen, zoals de 'servicemanager@yahooweb.co' en 'servicemanager2020@protonmail.com' e-mailjurken en een Jabber-account.
De volledige set instructies is:
'Waarschuwing!
Schrijf hier om gegevens te herstellen:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (als u Russisch bent, moet u zich registreren op de site www.protonmail.com via de TOR-browser hxxps://www.torproject.org/ru/download/ , aangezien het proton verboden is in jouw land)
3) Jabber-client - servicemanager@jabb.im (registratie kan op de website - www.xmpp.jp. webclient bevindt zich op de site - hxxps://web.xabber.com/)Wijzig geen bestanden - dit zal ze beschadigen.
Test decodering - 1 bestand < 500 Kb.'
Het losgeld nota in het tekstbestand is:
'Om gegevens te herstellen, schrijf hier:
asbak@outlookpro.netWijzig geen bestanden - dit zal ze beschadigen.
Test decodering - 1 bestand < 500 Kb.'
