CLEAN Ransomware
Ao analisar o código e o comportamento do CLEAN Ransomware, os pesquisadores da infosec determinaram que a ameaça é uma variante da família do Dharma Ransomware. O CLEAN opera como esperado de uma variação do Dharma. Ele tenta se infiltrar nos sistemas dos computadores visados, inicia uma rotina de criptografia e bloqueia os dados armazenados ali. Posteriormente, os invasores tentam extorquir as vítimas em troca de dinheiro, prometendo enviar-lhes a chave e a ferramenta de descriptografia exigidas, mas apenas se receberem o resgate exigido.
Quando o CLEAN Ransomware bloqueia um arquivo, ele também altera o nome original desse arquivo drasticamente. Este é um comportamento comum observado nas variantes do Dharma. Os arquivos afetados terão uma string representando o ID exclusivo da vítima, um endereço de e-mail e '.CLEAN' adicionado a seus nomes. O endereço de e-mail usado pelo CLEAN Ransomware é 'clean@onionmail.org.' O próximo passo da ameaça é entregar a nota de resgate. Ela faz isso de duas maneiras diferentes. Uma envolve a criação de um arquivo de texto denominado 'FILES ENCRYPTED.txt' enquanto a outra exibe uma mensagem em uma janela pop-up.
O Pedido de Resgate do CLEAN Ransomware
No estilo típico do Dharma, as notas do CLEAN Ransomware carecem da maioria dos detalhes vitais que os usuários precisam saber. O arquivo de texto contém apenas algumas frases que simplesmente dizem às vítimas para enviar mensagens 'clean@onionmail.org' ou 'clean@privyinternet.com', endereços de e-mail sob o controle dos hackers. Embora a nota exibida na janela pop-up seja mais longa, também não é tão útil. Ele reitera os mesmos dois e-mails, mas tem uma seção adicionada com vários avisos, como alterar os nomes dos arquivos criptografados pode causar danos permanentes.
A mensagem no arquivo de texto é:
'todos os seus dados foram bloqueados para nós
Você quer voltar?
escreva para o e-mail clean@onionmail.org ou clean@privyinternet.comA janela pop mostra as seguintes instruções:
SEUS ARQUIVOS ESTÃO ENCRIPTADOS
Não se preocupe, você pode devolver todos os seus arquivos!
Se você deseja restaurá-los, siga este link: e-mail clean@onionmail.org SUA ID -
Se você não for respondido por meio do link em 12 horas, escreva para nós por e-mail: clean@privyinternet.com
Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, isso pode causar perda permanente de dados.
A descriptografia de seus arquivos com a ajuda de terceiros pode aumentar o preço (eles adicionam sua taxa à nossa) ou você pode se tornar vítima de um golpe.'
