Ash Ransomware
Ang mga computer na nahawaan ng banta ng Ash Ransomware ay sasailalim sa data encryption. Gumagamit ang banta ng malakas na cryptographic algorithm upang i-lock ang mga file ng mga biktima nito, kabilang ang mga dokumento, PDF, archive, database, larawan at marami pang ibang uri ng file. Ang mga naapektuhang file ay hindi na maa-access at ang pagpapanumbalik nang walang wastong mga decryption key ay kadalasang imposible. Ginagamit ng mga umaatake ang naka-encrypt na data para mangikil ng pera mula sa kanilang mga biktima. Kinumpirma ng mga mananaliksik ng Infosec na ang Ash Ransomware ay isang variant ng isang dating natukoy na banta na kilala bilang ang Dcrtr Ransomware . Ang isa pang mapanganib na variant na kabilang sa parehong pamilya ay ang Flash Ransomware .
Mapapansin ng mga biktima ng Ash Ransomware na ang kanilang mga file ay binago din nang husto ang kanilang mga orihinal na pangalan. Ang banta ay nakakabit sa 'ashtray@outlookpro.net' na email address na sinusundan ng '.ash' sa mga file na ni-lock nito. Dalawang ransom notes ang ihuhulog sa mga nalabag na device. Ang isa sa mga mensahe ng mga aktor ng pagbabanta ay ihahatid bilang isang text file na pinangalanang 'ReadMe_Decryptor.txt,' habang ang isa ay ipapakita bilang isang pop-up na nabuo mula sa isang file na pinangalanang 'Decryptor.hta.'
Ang mga tagubilin na makikita sa loob ng text file ay nagsasaad na ang mga biktima ay dapat makipag-ugnayan sa mga cybercriminal sa pamamagitan ng pagmemensahe sa 'ashtray@outlookpro.net.' Maaaring i-attach ang isang file sa mensaheng ide-decrypt nang libre bilang pagpapakita ng kakayahan ng attacker na ibalik ang naka-encrypt na data. Ang napiling file ay dapat na mas mababa sa 500 KB ang laki. Ang pangunahing ransom note ay ang ipinapakita sa pop-up window. Dito, ang Ash Ransomware ay nagbibigay ng mga karagdagang channel ng komunikasyon, gaya ng 'servicemanager@yahooweb.co' at 'servicemanager2020@protonmail.com' na mga email dress at isang Jabber account.
Ang buong hanay ng mga tagubilin ay:
'Babala!
Upang mabawi ang data, sumulat dito:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (kung Russian ka, kailangan mong magrehistro sa site www.protonmail.com sa pamamagitan ng TOR browser hxxps://www.torproject.org/ru/download/ , dahil ipinagbabawal ang proton sa iyong bansa)
3) Jabber client - servicemanager@jabb.im (maaaring gawin ang pagpaparehistro sa website - www.xmpp.jp. Ang web client ay matatagpuan sa site - hxxps://web.xabber.com/)Huwag baguhin ang mga file - makakasira ito sa kanila.
Test decryption - 1 file < 500 Kb.'
Ang ransom note sa text file ay:
'Upang mabawi ang data, sumulat dito:
ashtray@outlookpro.netHuwag baguhin ang mga file - makakasira ito sa kanila.
Test decryption - 1 file < 500 Kb.'
