CLEAN Ransomware
Analizując kod i zachowanie CLEAN Ransomware, badacze infosec ustalili, że zagrożenie jest wariantem z rodziny Dharma Ransomware. CLEAN działa zgodnie z oczekiwaniami z zagrożenia Dharma. Próbuje zinfiltrować docelowe systemy komputerowe, inicjuje procedurę szyfrowania i blokuje przechowywane tam dane. Następnie napastnicy próbują wyłudzić od ofiar pieniądze, obiecując, że wyślą im wymagany klucz i narzędzie deszyfrujące, ale tylko wtedy, gdy otrzymają żądany okup.
Gdy CLEAN Ransomware blokuje plik, drastycznie zmienia również oryginalną nazwę tego pliku. Jest to powszechne zachowanie obserwowane w wariantach Dharmy. Pliki, których dotyczy problem, będą zawierać ciąg znaków reprezentujący unikalny identyfikator ofiary, adres e-mail i dodany do ich nazw ciąg „.CLEAN". Adres e-mail używany przez CLEAN Ransomware to „clean@onionmail.org". Kolejnym krokiem zagrożenia jest dostarczenie okupu. Robi to na dwa różne sposoby. Jeden polega na utworzeniu pliku tekstowego o nazwie „FILES ENCRYPTED.txt", podczas gdy drugi wyświetla komunikat w wyskakującym okienku.
Żądania CLEAN Ransomware
W typowy dla Dharmy sposób, w notatkach CLEAN Ransomware brakuje większości istotnych szczegółów, które użytkownicy musieliby zobaczyć. Plik tekstowy zawiera tylko kilka zdań, które po prostu informują ofiary o wysyłaniu wiadomości 'clean@onionmail.org' lub 'clean@privyinternet.com' na adresy e-mail pod kontrolą hakerów. Chociaż notatka wyświetlana w wyskakującym okienku jest dłuższa, nie jest też tak przydatna. Powtarza te same dwa e-maile, ale ma dodaną sekcję z różnymi ostrzeżeniami, na przykład zmiana nazw zaszyfrowanych plików może spowodować trwałe uszkodzenie.
Komunikat pliku tekstowego to:
' wszystkie twoje dane zostały nam zablokowane
Chcesz wrócić?
napisz e-mail clean@onionmail.org lub clean@privyinternet.comW wyskakującym oknie wyświetlane są następujące instrukcje:
TWOJE PLIKI SĄ ZASZYFROWANE
Nie martw się, możesz zwrócić wszystkie swoje pliki!
Jeśli chcesz je przywrócić, kliknij ten link: e-mail clean@onionmail.org TWÓJ ID -
Jeśli nie otrzymałeś odpowiedzi za pośrednictwem linku w ciągu 12 godzin, napisz do nas na e-mail:clean@privyinternet.com
Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików za pomocą osób trzecich może spowodować wzrost ceny (doliczają swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa. '
