Ash Ransomware
Комп’ютери, заражені загрозою Ash Ransomware, будуть піддані шифруванню даних. Загроза використовує надійний криптографічний алгоритм для блокування файлів своїх жертв, включаючи документи, PDF-файли, архіви, бази даних, зображення та багато інших типів файлів. Уражені файли більше не будуть доступні, а відновлення без належних ключів розшифровки зазвичай неможливо. Зловмисники використовують зашифровані дані, щоб вимагати гроші у своїх жертв. Дослідники Infosec підтвердили, що програма-вимагач Ash є варіантом раніше виявленої загрози, відомої як програма- вимагач Dcrtr . Іншим небезпечним варіантом, що належить до того ж сімейства, є Flash Ransomware .
Жертви програми-вимагача Ash помітять, що оригінальні назви їхніх файлів також суттєво змінено. Загроза прикріплює адресу електронної пошти «ashtray@outlookpro.net», а потім «.ash» до файлів, які вона блокує. Дві записки про викуп будуть скинуті на зламані пристрої. Одне з повідомлень від зловмисників буде доставлено як текстовий файл під назвою «ReadMe_Decryptor.txt», а інше буде показано як спливаюче вікно, створене з файлу під назвою «Decryptor.hta».
Інструкції, які містяться в текстовому файлі, стверджують, що жертви повинні зв’язатися з кіберзлочинцями, надіславши повідомлення на адресу ashtray@outlookpro.net. Один файл можна прикріпити до повідомлення, яке потрібно безкоштовно розшифрувати, як демонстрацію здатності зловмисника відновити зашифровані дані. Розмір вибраного файлу має бути менше 500 Кб. Основна записка про викуп показана у спливаючому вікні. Тут програмне забезпечення-вимагач Ash надає додаткові канали зв’язку, такі як «servicemanager@yahooweb.co» та «servicemanager2020@protonmail.com», а також обліковий запис Jabber.
Повний набір інструкцій:
'УВАГА!
Для відновлення даних напишіть сюди:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (якщо ви росіянин, то вам потрібно зареєструватися на сайті www.protonmail.com через TOR браузер hxxps://www.torproject.org/ru/download/ , так як протон заборонений в твоїй країні)
3) Клієнт Jabber - servicemanager@jabb.im (зареєструватися можна на сайті - www.xmpp.jp. Веб-клієнт знаходиться на сайті - hxxps://web.xabber.com/)Не змінюйте файли - це їх пошкодить.
Тестове розшифрування - 1 файл < 500 Кб.'
Записка про викуп у текстовому файлі:
«Для відновлення даних напишіть тут:
ashtray@outlookpro.netНе змінюйте файли - це їх пошкодить.
Тестове розшифрування - 1 файл < 500 Кб.'
