CLEAN Ransomware

CLEAN Ransomware Beschrijving

Door de code en het gedrag van de CLEAN Ransomware te analyseren, hebben infosec-onderzoekers vastgesteld dat de dreiging een variant is van de Dharma Ransomware-familie. CLEAN werkt zoals verwacht van een Dharma- dreiging. Het probeert de beoogde computersystemen te infiltreren, start een coderingsroutine en vergrendelt de gegevens die daar zijn opgeslagen. Daarna proberen de aanvallers de slachtoffers af te persen voor geld door te beloven hen de vereiste decoderingssleutel en tool te sturen, maar alleen als ze het gevraagde losgeld krijgen.

Wanneer de CLEAN Ransomware een bestand vergrendelt, verandert het ook de oorspronkelijke naam van dat bestand drastisch. Dit is een veelvoorkomend gedrag dat wordt waargenomen in Dharma-varianten. De getroffen bestanden hebben een tekenreeks die de unieke ID van het slachtoffer vertegenwoordigt, een e-mailadres en '.CLEAN' toegevoegd aan hun namen. Het e-mailadres dat wordt gebruikt door de CLEAN Ransomware is 'clean@onionmail.org'. De volgende stap van de dreiging is om het losgeldbriefje af te leveren. Dat gebeurt op twee verschillende manieren. De ene omvat het maken van een tekstbestand met de naam 'FILES ENCRYPTED.txt', terwijl de andere een bericht weergeeft in een pop-upvenster.

SCHOON de eisen van Ransomware

Op een typische Dharma-manier missen de aantekeningen van CLEAN Ransomware de meeste essentiële details die gebruikers zouden moeten zien. Het tekstbestand bevat slechts een paar zinnen die de slachtoffers vertellen dat ze ofwel 'clean@onionmail.org' of 'clean@privyinternet.com' een bericht moeten sturen, e-mailadressen onder controle van de hackers. Hoewel de notitie die in het pop-upvenster wordt weergegeven langer is, is deze ook niet zo handig. Het herhaalt dezelfde twee e-mails, maar heeft een toegevoegd gedeelte met verschillende waarschuwingen, zoals het wijzigen van de namen van de versleutelde bestanden kan permanente schade veroorzaken.

Het bericht van het tekstbestand is:

' al je gegevens zijn bij ons vergrendeld
Wil je terugkeren?
schrijf e-mail clean@onionmail.org of clean@privyinternet.com

Het pop-venster toont de volgende instructies:

UW BESTANDEN ZIJN VERSLEUTELD
Maak je geen zorgen, je kunt al je bestanden retourneren!
Als je ze wilt herstellen, volg dan deze link:e-mail clean@onionmail.org UW ID -
Als u niet binnen 12 uur via de link bent beantwoord, schrijf ons dan per e-mail:clean@privyinternet.com
Aandacht!
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.
'

Gerelateerde berichten