CLEAN Ransomware

CLEAN Ransomware Описание

Анализируя код и поведение CLEAN Ransomware, исследователи информационной безопасности определили, что угроза является разновидностью семейства Dharma Ransomware. CLEAN действует так, как ожидается от угрозы Дхармы. Он пытается проникнуть в целевые компьютерные системы, инициирует процедуру шифрования и блокирует хранящиеся там данные. После этого злоумышленники пытаются вымогать у жертв деньги, обещая отправить им требуемый ключ дешифрования и инструмент, но только в том случае, если им будет выплачен требуемый выкуп.

Когда CLEAN Ransomware блокирует файл, оно также резко меняет его исходное имя. Это обычное поведение, наблюдаемое в вариантах Дхармы. Затронутые файлы будут иметь строку, представляющую уникальный идентификатор жертвы, адрес электронной почты и '.CLEAN', добавленный к их именам. CLEAN Ransomware использует адрес электронной почты clean@onionmail.org. Следующим шагом угрозы является доставка записки о выкупе. Это происходит двумя разными способами. Один включает создание текстового файла с именем «FILES ENCRYPTED.txt», а другой отображает сообщение во всплывающем окне.

Требования CLEAN Ransomware

В заметках CLEAN Ransomware, как это типично для Дхармы, отсутствует большинство важных деталей, которые пользователи должны были бы видеть. Текстовый файл содержит только пару предложений, в которых жертвам просто предлагается написать «clean@onionmail.org» или «clean@privyinternet.com», адреса электронной почты находятся под контролем хакеров. Хотя заметка, отображаемая во всплывающем окне, длиннее, она также не так полезна. Он повторяет те же два электронных письма, но имеет добавленный раздел с различными предупреждениями, например, изменение имен зашифрованных файлов может привести к необратимому повреждению.

Сообщение текстового файла:

' все ваши данные заблокированы нами
Ты хочешь вернуться?
напишите письмо clean@onionmail.org или clean@privyinternet.com

Во всплывающем окне отображаются следующие инструкции:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Не волнуйтесь, вы можете вернуть все свои файлы!
Если вы хотите восстановить их, перейдите по этой ссылке: email clean@onionmail.org ВАШ ID -
Если вам не ответили по ссылке в течение 12 часов, напишите нам по электронной почте: clean@privyinternet.com
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию (они прибавляют свой гонорар к нашему) или вы можете стать жертвой мошенничества.
'

Похожие сообщения