Flash-ransomware
Cybercriminelen hebben een nieuwe variant van de eerder geïdentificeerde Dcrtr Ransomware-dreiging gemaakt. De nieuwe, bedreigende tool wordt gevolgd als Flash Ransomware en kan invloed hebben op de bestanden die zijn opgeslagen op de geïnfecteerde apparaten. Slachtoffers hebben geen toegang meer tot hun documenten, pdf's, archieven, databases, afbeeldingen en vele andere bestandstypen. Aan elk getroffen bestand wordt het e-mailadres 'ashtray@outlookpro.net' gevolgd door '.flash' toegevoegd aan de oorspronkelijke naam. Een andere bedreigende variant uit de Dcrtr Ransomware- familie is de Ash Ransomware .
Wanneer alle gerichte bestandstypen zijn verwerkt en vergrendeld, levert de Flash Ransomware twee losgeldnota's met instructies voor zijn slachtoffers. Het hoofdbericht wordt weergegeven als een pop-upvenster dat wordt gegenereerd op basis van een bestand met de naam 'Decryptor.hta'. De secundaire notitie wordt neergezet als een tekstbestand met de naam 'ReadMe_Decryptor.txt'.
In het bericht in het tekstbestand staat dat slachtoffers contact moeten opnemen met de aanvallers door een e-mail te sturen naar het adres 'ashtray@outlookpro.net'. Een enkel bestand dat minder dan 500 KB groot is, kan aan het bericht worden toegevoegd om gratis te worden ontsleuteld. Het pop-upvenster bevat extra communicatiekanalen, waaronder twee e-mails - 'servicemanager@yahooweb.co' en 'servicemanager2020@protonmail.com' en een Jabber-account op 'servicemanager@jabb.im'.
De volledige tekst van de pop-upnotitie is:
'Om gegevens te herstellen, schrijf hier:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (als u Russisch bent, moet u zich registreren op de site www.protonmail.com via de TOR-browser hxxps://www.torproject.org/ru/download/ , aangezien het proton verboden is in jouw land)
3) Jabber-client - servicemanager@jabb.im (registratie kan op de website - www.xmpp.jp. webclient bevindt zich op de site - hxxps://web.xabber.com/)Wijzig geen bestanden - dit zal ze beschadigen.
Test decodering - 1 bestand < 500 Kb.'
Het tekstbestand bevat het volgende bericht:
'Om gegevens te herstellen, schrijf hier:
asbak@outlookpro.netWijzig geen bestanden - dit zal ze beschadigen.
Test decodering - 1 bestand < 500 Kb.'
