Ash Ransomware
Računalniki, okuženi z grožnjo Ash Ransomware, bodo podvrženi šifriranju podatkov. Grožnja uporablja močan kriptografski algoritem za zaklepanje datotek svojih žrtev, vključno z dokumenti, PDF-ji, arhivi, zbirkami podatkov, slikami in številnimi drugimi vrstami datotek. Prizadete datoteke ne bodo več dostopne in obnovitev brez ustreznih ključev za dešifriranje je običajno nemogoča. Napadalci uporabljajo šifrirane podatke za izsiljevanje denarja od svojih žrtev. Raziskovalci Infosec so potrdili, da je izsiljevalska programska oprema Ash različica predhodno odkrite grožnje, znane kot izsiljevalska programska oprema Dcrtr . Druga nevarna različica, ki pripada isti družini, je Flash Ransomware .
Žrtve izsiljevalske programske opreme Ash bodo opazile, da so bila tudi njihova izvirna imena drastično spremenjena. Grožnja datotekam, ki jih zaklene, pripne e-poštni naslov 'ashtray@outlookpro.net', ki mu sledi '.ash'. Dve opombi o odkupnini bosta padli na vlomljene naprave. Eno od sporočil akterjev groženj bo dostavljeno kot besedilna datoteka z imenom 'ReadMe_Decryptor.txt', medtem ko bo drugo prikazano kot pojavno okno, ustvarjeno iz datoteke z imenom 'Decryptor.hta.'
Navodila v besedilni datoteki navajajo, da se morajo žrtve obrniti na kibernetske kriminalce s sporočilom »pepelnica@outlookpro.net«. Sporočilu je mogoče priložiti eno datoteko, ki jo je treba brezplačno dešifrirati, kot dokaz zmožnosti napadalca, da obnovi šifrirane podatke. Izbrana datoteka mora biti manjša od 500 KB. Glavna opomba o odkupnini je tista, ki je prikazana v pojavnem oknu. Tukaj izsiljevalska programska oprema Ash ponuja dodatne komunikacijske kanale, kot sta e-poštni naslovi 'servicemanager@yahooweb.co' in 'servicemanager2020@protonmail.com' ter račun Jabber.
Celoten sklop navodil je:
'Opozorilo!
Za obnovitev podatkov pišite tukaj:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (če ste Rus, se morate registrirati na spletnem mestu www.protonmail.com prek brskalnika TOR hxxps://www.torproject.org/ru/download/ , ker je proton prepovedan v tvoji državi)
3) Odjemalec Jabber - servicemanager@jabb.im (registracijo lahko opravite na spletni strani - www.xmpp.jp. Spletni odjemalec se nahaja na strani - hxxps://web.xabber.com/)Ne spreminjajte datotek - to jih bo poškodovalo.
Testno dešifriranje - 1 datoteka < 500 Kb.'
Opomba o odkupnini v besedilni datoteki je:
'Za obnovitev podatkov napišite tukaj:
ashtray@outlookpro.netNe spreminjajte datotek - to jih bo poškodovalo.
Testno dešifriranje - 1 datoteka < 500 Kb.'
