Ash Ransomware
Komputery zainfekowane zagrożeniem Ash Ransomware zostaną poddane szyfrowaniu danych. Zagrożenie wykorzystuje silny algorytm kryptograficzny do blokowania plików swoich ofiar, w tym dokumentów, plików PDF, archiwów, baz danych, obrazów i wielu innych typów plików. Pliki, których dotyczy problem, nie będą już dostępne, a przywrócenie bez odpowiednich kluczy deszyfrowania jest zwykle niemożliwe. Osoby atakujące wykorzystują zaszyfrowane dane do wyłudzania pieniędzy od swoich ofiar. Badacze Infosec potwierdzili, że Ash Ransomware jest wariantem wcześniej wykrytego zagrożenia znanego jako Dcrtr Ransomware . Innym niebezpiecznym wariantem należącym do tej samej rodziny jest Flash Ransomware .
Ofiary ransomware Ash zauważą, że ich pliki również zostały drastycznie zmodyfikowane. Zagrożenie dołącza adres e-mail „ashtray@outlookpro.net”, a następnie „.ash” do plików, które blokuje. Na naruszone urządzenia zostaną upuszczone dwie notatki z okupem. Jedna z wiadomości przez cyberprzestępców zostanie dostarczona jako plik tekstowy o nazwie „ReadMe_Decryptor.txt”, podczas gdy druga zostanie wyświetlona jako wyskakujące okienko wygenerowane z pliku o nazwie „Decryptor.hta”.
Instrukcje znajdujące się w pliku tekstowym mówią, że ofiary muszą skontaktować się z cyberprzestępcami, wysyłając wiadomość „ashtray@outlookpro.net”. Do wiadomości można dołączyć jeden plik, który ma zostać odszyfrowany za darmo, jako demonstracja zdolności atakującego do odzyskania zaszyfrowanych danych. Wybrany plik musi być mniejszy niż 500 KB. Główna notatka dotycząca okupu jest pokazana w wyskakującym okienku. W tym przypadku Ash Ransomware zapewnia dodatkowe kanały komunikacji, takie jak sukienki e-mail „servicemanager@yahooweb.co” i „servicemanager2020@protonmail.com” oraz konto Jabber.
Pełny zestaw instrukcji to:
'Ostrzeżenie!
Aby odzyskać dane, napisz tutaj:
1) kierownik serwisu@yahooweb.co
2) servicemanager2020@protonmail.com (jeśli jesteś Rosjaninem, musisz zarejestrować się na stronie www.protonmail.com przez przeglądarkę TOR hxxps://www.torproject.org/ru/download/ , ponieważ proton jest zabroniony w Twoim kraju)
3) Klient Jabbera - servicemanager@jabb.im (rejestracji można dokonać na stronie - www.xmpp.jp. Klient WWW znajduje się na stronie - hxxps://web.xabber.com/)Nie modyfikuj plików - spowoduje to ich uszkodzenie.
Odszyfrowanie testowe - 1 plik < 500 Kb.'
Notatka dotycząca okupu w pliku tekstowym to:
'Aby odzyskać dane, napisz tutaj:
popielniczka@outlookpro.netNie modyfikuj plików - spowoduje to ich uszkodzenie.
Odszyfrowanie testowe - 1 plik < 500 Kb.'
