Ash Ransomware
Ash Ransomware tehdidinden etkilenen bilgisayarlar veri şifrelemesine tabi tutulacaktır. Tehdit, belgeler, PDF'ler, arşivler, veritabanları, resimler ve diğer birçok dosya türü dahil olmak üzere kurbanlarının dosyalarını kilitlemek için güçlü bir şifreleme algoritması kullanır. Etkilenen dosyalara artık erişilemez ve uygun şifre çözme anahtarları olmadan geri yükleme genellikle imkansızdır. Saldırganlar, kurbanlarından para sızdırmak için şifrelenmiş verileri kullanır. Infosec araştırmacıları, Ash Ransomware'in, Dcrtr Ransomware olarak bilinen, önceden tespit edilen bir tehdidin bir çeşidi olduğunu doğruladı. Aynı aileye ait bir başka tehlikeli tür de Flash Ransomware'dir.
Ash Ransomware kurbanları, dosyalarının orijinal adlarının da büyük ölçüde değiştirildiğini fark edecekler. Tehdit, kilitlediği dosyalara 'ashtray@outlookpro.net' e-posta adresini ve ardından '.ash'i ekler. İhlal edilen cihazlara iki fidye notu düşecek. Tehdit aktörlerinin mesajlarından biri 'ReadMe_Decryptor.txt' adlı bir metin dosyası olarak teslim edilecek, diğeri ise 'Decryptor.hta' adlı bir dosyadan oluşturulan bir açılır pencere olarak gösterilecektir.
Metin dosyasında bulunan talimatlar, mağdurların 'ashtray@outlookpro.net' mesajı göndererek siber suçlulara ulaşması gerektiğini belirtir. Saldırganın şifrelenmiş verileri geri yükleme yeteneğinin bir gösterimi olarak, şifresi çözülecek mesaja bir dosya ücretsiz olarak eklenebilir. Seçilen dosyanın boyutu 500 KB'den küçük olmalıdır. Ana fidye notu, açılır pencerede gösterilen nottur. Burada Ash Ransomware, 'servicemanager@yahooweb.co' ve 'servicemanager2020@protonmail.com' e-posta adresleri ve bir Jabber hesabı gibi ek iletişim kanalları sağlar.
Tam talimat seti:
'Uyarı!
Verileri kurtarmak için buraya yazın:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (Rus iseniz, www.protonmail.com sitesine TOR tarayıcı hxxps://www.torproject.org/ru/download/ aracılığıyla kaydolmanız gerekir, çünkü proton yasaklanmıştır senin ülkende)
3) Jabber istemcisi - servicemanager@jabb.im (kayıt web sitesinde yapılabilir - www.xmpp.jp. web istemcisi sitede bulunur - hxxps://web.xabber.com/)Dosyaları değiştirmeyin - bu onlara zarar verir.
Test şifre çözme - 1 dosya < 500 Kb.'
Metin dosyasındaki fidye notu:
'Verileri kurtarmak için buraya yazın:
küllük@outlookpro.netDosyaları değiştirmeyin - bu onlara zarar verir.
Test şifre çözme - 1 dosya < 500 Kb.'
