CLEAN Ransomware
CLEAN Ransomware'in kodunu ve davranışını analiz eden infosec araştırmacıları, tehdidin Dharma Ransomware ailesinin bir çeşidi olduğunu belirlediler. CLEAN, bir Dharma tehdidinden beklendiği gibi çalışır. Hedeflenen bilgisayar sistemlerine sızmaya çalışır, bir şifreleme rutini başlatır ve orada depolanan verileri kilitler. Daha sonra saldırganlar, kurbanlara gerekli şifre çözme anahtarını ve aracını gönderme sözü vererek, ancak ancak talep edilen fidye ödenirse, kurbanlardan zorla para almaya çalışırlar.
CLEAN Ransomware bir dosyayı kilitlediğinde, o dosyanın orijinal adını da büyük ölçüde değiştirir. Bu, Dharma türevlerinde gözlemlenen yaygın bir davranıştır. Etkilenen dosyalar, kurbanın benzersiz kimliğini temsil eden bir dizeye, bir e-posta adresine ve adlarına eklenen '.CLEAN'e sahip olacaktır. CLEAN Ransomware tarafından kullanılan e-posta adresi 'clean@onionmail.org'dur. Tehdidin bir sonraki adımı fidye notunu teslim etmektir. Bunu iki ayrı şekilde yapar. Biri 'FILES ŞİFRELİ.txt' adlı bir metin dosyası oluşturmayı içerirken, diğeri açılır pencerede bir mesaj görüntüler.
CLEAN Ransomware'in Talepleri
Tipik bir Dharma tarzında, CLEAN Ransomware'in notları, kullanıcıların görmesi gereken hayati ayrıntıların çoğundan yoksundur. Metin dosyası, kurbanlara, bilgisayar korsanlarının kontrolü altındaki 'clean@onionmail.org' veya 'clean@privyinternet.com' e-posta adreslerine mesaj göndermelerini söyleyen yalnızca birkaç cümle içerir. Açılan pencerede görüntülenen not daha uzun olsa da o kadar da kullanışlı değil. Aynı iki e-postayı yineler, ancak şifrelenmiş dosyaların adlarının değiştirilmesi gibi çeşitli uyarılar içeren ek bir bölüme sahiptir, kalıcı hasara neden olabilir.
Metin dosyasının mesajı şudur:
' tüm verileriniz bize kilitlendi
dönmek istiyor musun?
clean@onionmail.org veya clean@privyinternet.com adresine e-posta yazınAçılır pencere aşağıdaki talimatları gösterir:
DOSYALARINIZ ŞİFRELENMİŞTİR
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Bunları geri yüklemek istiyorsanız, şu bağlantıyı takip edin:email clean@onionmail.org KİMLİĞİNİZ -
12 saat içinde bağlantı yoluyla yanıtlanmadıysanız, bize e-posta ile yazın:clean@privyinternet.com
Dikkat!
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü taraf yazılımları kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir.
Üçüncü şahısların yardımıyla dosyalarınızın şifresinin çözülmesi, fiyatların artmasına (ücretlerini bize eklerler) neden olabilir veya bir dolandırıcılığın kurbanı olabilirsiniz. '
