Ash Ransomware
Datorer som är infekterade med Ash Ransomware-hotet kommer att utsättas för datakryptering. Hotet använder en stark kryptografisk algoritm för att låsa sina offers filer, inklusive dokument, PDF-filer, arkiv, databaser, bilder och många andra filtyper. De påverkade filerna kommer inte längre att vara tillgängliga och återställning utan rätt dekrypteringsnycklar är vanligtvis omöjlig. Angriparna använder den krypterade datan för att pressa ut pengar från sina offer. Infosec-forskare har bekräftat att Ash Ransomware är en variant av ett tidigare upptäckt hot känt som Dcrtr Ransomware . En annan farlig variant som tillhör samma familj är Flash Ransomware .
Offer för Ash Ransomware kommer att märka att deras filer också har fått sina ursprungliga namn modifierade drastiskt. Hotet bifogar e-postadressen 'ashtray@outlookpro.net' följt av '.ash' till filerna som det låser. Två lösensedlar kommer att släppas på enheterna som har brutits. Ett av meddelandena från hotaktörerna kommer att levereras som en textfil med namnet 'ReadMe_Decryptor.txt', medan det andra kommer att visas som ett popup-fönster genererat från en fil med namnet 'Decryptor.hta'.
Instruktionerna som finns i textfilen säger att offren måste nå ut till cyberbrottslingarna genom att skicka ett meddelande till 'ashtray@outlookpro.net'. En fil kan bifogas meddelandet som ska dekrypteras gratis som en demonstration av angriparens förmåga att återställa krypterad data. Den valda filen måste vara mindre än 500 KB stor. Den huvudsakliga lösennotan är den som visas i popup-fönstret. Här tillhandahåller Ash Ransomware ytterligare kommunikationskanaler, som e-postklänningarna 'servicemanager@yahooweb.co' och 'servicemanager2020@protonmail.com' och ett Jabber-konto.
Den fullständiga uppsättningen instruktioner är:
'Varning!
För att återställa data, skriv här:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (om du är rysk måste du registrera dig på webbplatsen www.protonmail.com via TOR-webbläsaren hxxps://www.torproject.org/ru/download/ , eftersom protonen är förbjuden i ditt land)
3) Jabber-klient - servicemanager@jabb.im (registrering kan göras på webbplatsen - www.xmpp.jp. webbklient finns på webbplatsen - hxxps://web.xabber.com/)Ändra inte filer - det kommer att skada dem.
Testa dekryptering - 1 fil < 500 Kb.'
Lösenedeln i textfilen är:
'För att återställa data, skriv här:
askkopp@outlookpro.netÄndra inte filer - det kommer att skada dem.
Testa dekryptering - 1 fil < 500 Kb.'
