Ash Ransomware
Os computadores infectados pela ameaça Ash Ransomware serão submetidos à criptografia de dados. A ameaça utiliza um algoritmo criptográfico forte para bloquear os arquivos de suas vítimas, incluindo documentos, PDFs, arquivos, bancos de dados, imagens e muitos outros tipos de arquivos. Os arquivos afetados não estarão mais acessíveis e a restauração sem as chaves de descriptografia adequadas geralmente é impossível. Os invasores usam os dados criptografados para extorquir dinheiro de suas vítimas. Os pesquisadores da Infosec confirmaram que o Ash Ransomware é uma variante de uma ameaça detectada anteriormente conhecida como Dcrtr Ransomware. Outra variante perigosa pertencente à mesma família é o Flash Ransomware.
As vítimas do Ash Ransomware perceberão que seus arquivos também tiveram seus nomes originais modificados drasticamente. A ameaça anexa o endereço de e-mail 'ashtray@outlookpro.net' seguido de '.ash' aos arquivos bloqueados. Duas notas de resgate serão lançadas nos dispositivos violados. Uma das mensagens dos agentes de ameaças será entregue como um arquivo de texto chamado 'ReadMe_Decryptor.txt', enquanto a outra será mostrada como um pop-up gerado a partir de um arquivo chamado 'Decryptor.hta.'
As instruções encontradas dentro do arquivo de texto indicam que as vítimas devem entrar em contato com os cibercriminosos enviando uma mensagem para 'ashtray@outlookpro.net'. Um arquivo pode ser anexado à mensagem a ser descriptografada gratuitamente como demonstração da capacidade do invasor de restaurar os dados criptografados. O arquivo escolhido deve ter menos de 500 KB de tamanho. A nota de resgate principal é a mostrada na janela pop-up. Aqui, o Ash Ransomware fornece canais de comunicação adicionais, como os vestidos de e-mail 'servicemanager@yahooweb.co' e 'servicemanager2020@protonmail.com' e uma conta Jabber.
O conjunto completo de instruções é:
'Aviso!
Para recuperar dados, escreva aqui:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (se você é russo, precisa se registrar no site www.protonmail.com através do navegador TOR hxxps://www.torproject.org/ru/download/ , pois o próton é proibido no seu país)
3) Cliente Jabber - servicemanager@jabb.im (o cadastro pode ser feito no site - www.xmpp.jp. o cliente web está localizado no site - hxxps://web.xabber.com/)Não modifique os arquivos - isso irá danificá-los.
Descriptografia de teste - 1 arquivo < 500 Kb.'
A nota de resgate no arquivo de texto é:
'Para recuperar dados, escreva aqui:
cinzeiro@outlookpro.netNão modifique os arquivos - isso irá danificá-los.
Descriptografia de teste - 1 arquivo < 500 Kb.'
