Flash Ransomware

อาชญากรไซเบอร์ได้สร้างรูปแบบใหม่ของภัยคุกคาม Dcrtr Ransomware ที่ระบุก่อนหน้านี้ เครื่องมือใหม่ที่คุกคามได้รับการติดตามในฐานะ Flash Ransomware และสามารถส่งผลกระทบต่อไฟล์ที่จัดเก็บไว้ในอุปกรณ์ที่ติดไวรัส เหยื่อจะไม่สามารถเข้าถึงเอกสาร, PDF, อาร์ไคฟ์, ฐานข้อมูล, รูปภาพ และไฟล์ประเภทอื่นๆ ได้อีกต่อไป ไฟล์ที่ได้รับผลกระทบแต่ละไฟล์จะมีที่อยู่อีเมล 'ashtray@outlookpro.net' ตามด้วย '.flash' ต่อท้ายชื่อเดิม ภัยคุกคามอีกรูปแบบหนึ่งจากตระกูล Dcrtr Ransomware คือ Ash Ransomware

เมื่อไฟล์เป้าหมายทุกประเภทได้รับการประมวลผลและล็อคแล้ว Flash Ransomware จะส่งบันทึกค่าไถ่สองรายการพร้อมคำแนะนำสำหรับผู้ที่ตกเป็นเหยื่อ ข้อความหลักจะแสดงเป็นหน้าต่างป๊อปอัปที่สร้างจากไฟล์ชื่อ 'Decryptor.hta' โน้ตรองจะถูกทิ้งเป็นไฟล์ข้อความชื่อ 'ReadMe_Decryptor.txt'

ข้อความในไฟล์ข้อความระบุว่าผู้ที่ตกเป็นเหยื่อต้องติดต่อผู้โจมตีโดยส่งอีเมลไปที่ที่อยู่ "ashtray@outlookpro.net" ไฟล์เดียวที่มีขนาดน้อยกว่า 500 KB สามารถแนบไปกับข้อความเพื่อถอดรหัสได้ฟรี หน้าต่างป๊อปอัปประกอบด้วยช่องทางการสื่อสารเพิ่มเติม รวมถึงอีเมลสองฉบับ - 'servicemanager@yahooweb.co' และ 'servicemanager2020@protonmail.com' และบัญชี Jabber ที่ 'servicemanager@jabb.im'

ข้อความป๊อปอัปแบบเต็มคือ:

'ในการกู้คืนข้อมูล เขียนที่นี่:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (ถ้าคุณเป็นคนรัสเซีย คุณต้องลงทะเบียนบนเว็บไซต์ www.protonmail.com ผ่านเบราว์เซอร์ TOR hxxps://www.torproject.org/ru/download/ เนื่องจากห้ามใช้โปรตอน ในประเทศของคุณ)
3) Jabber client - servicemanager@jabb.im (สามารถลงทะเบียนได้ที่เว็บไซต์ - www.xmpp.jp. web client ตั้งอยู่บนเว็บไซต์ - hxxps://web.xabber.com/)

ห้ามแก้ไขไฟล์ เพราะจะทำให้ไฟล์เสียหาย
ทดสอบการถอดรหัส - 1 ไฟล์ < 500 Kb.'

ไฟล์ข้อความมีข้อความต่อไปนี้:

'ในการกู้คืนข้อมูล เขียนที่นี่:
ashtray@outlookpro.net

ห้ามแก้ไขไฟล์ เพราะจะทำให้ไฟล์เสียหาย
ทดสอบการถอดรหัส - 1 ไฟล์ < 500 Kb.'