CLEAN Ransomware

CLEAN Ransomware Beskrivning

Genom att analysera koden och beteendet för CLEAN Ransomware har infosec -forskare fastställt att hotet är en variant från Dharma Ransomware -familjen. CLEAN fungerar som förväntat från ett Dharma -hot. Den försöker infiltrera de riktade datorsystemen, initierar en krypteringsrutin och låser data som lagras där. Därefter försöker angriparna pressa offren för pengar genom att lova att skicka dem den nödvändiga dekrypteringsnyckeln och verktyget, men bara om de får betalt den efterfrågade lösen.

När CLEAN Ransomware låser en fil ändras den också filens ursprungliga namn drastiskt. Detta är ett vanligt beteende som observerats i Dharma -varianter. De berörda filerna kommer att ha en sträng som representerar offrets unika ID, en e -postadress och ".CLEAN" läggs till i deras namn. E -postadressen som används av CLEAN Ransomware är 'clean@onionmail.org'. Nästa steg i hotet är att leverera sitt lösenbrev. Det gör det på två separata sätt. Det ena innebär att du skapar en textfil med namnet 'FILES ENCRYPTED.txt' medan den andra visar ett meddelande i ett popup-fönster.

CLEAN Ransomware's Krav

På ett typiskt Dharma -sätt saknar CLEAN Ransomwares anteckningar de flesta viktiga detaljer som användarna skulle behöva se. Textfilen innehåller bara ett par meningar som helt enkelt säger till offren att meddela antingen 'clean@onionmail.org' eller 'clean@privyinternet.com' e -postadresser som kontrolleras av hackarna. Även om anteckningen som visas i popup-fönstret är längre, är den inte heller så användbar. Den upprepar samma två e -postmeddelanden men har en extra sektion med olika varningar, till exempel att ändra namnen på de krypterade filerna kan orsaka permanent skada.

Textfilens meddelande är:

' all din data har låsts oss
Vill du återvända?
skriv mejl clean@onionmail.org eller clean@privyinternet.com

Pop-fönstret visar följande instruktioner:

Dina filer är krypterade
Oroa dig inte, du kan returnera alla dina filer!
Om du vill återställa dem följer du den här länken: maila clean@onionmail.org DITT ID -
Om du inte har besvarats via länken inom 12 timmar, skriv till oss via e-post: clean@privyinternet.com
Uppmärksamhet!
Byt inte namn på krypterade filer.
Försök inte att dekryptera dina data med hjälp av program från tredje part, det kan orsaka permanent dataförlust.
Dekryptering av dina filer med hjälp av tredje part kan orsaka högre pris (de lägger till sin avgift på vår) eller så kan du bli offer för en bluff.
'

Related Posts