Ash Ransomware

感染 Ash Ransomware 威胁的计算机将受到数据加密。该威胁利用强大的加密算法来锁定受害者的文件，包括文档、PDF、档案、数据库、图像和许多其他文件类型。受影响的文件将无法再访问，并且通常无法在没有正确解密密钥的情况下进行恢复。攻击者使用加密数据从受害者那里勒索钱财。 Infosec 研究人员已经证实，Ash Ransomware 是先前检测到的称为Dcrtr Ransomware的威胁的变种。属于同一家族的另一个危险变种是Flash Ransomware 。

Ash Ransomware 的受害者会注意到他们的文件的原始名称也已被大幅修改。该威胁将“ashtray@outlookpro.net”电子邮件地址和“.ash”附加到它锁定的文件中。两个赎金票据将被丢弃在被破坏的设备上。威胁参与者的其中一条消息将作为名为“ReadMe_Decryptor.txt”的文本文件传递，而另一条消息将显示为从名为“Decryptor.hta”的文件生成的弹出窗口。

文本文件中的说明指出，受害者必须通过发送消息“ashtray@outlookpro.net”与网络犯罪分子联系。可以将一个文件附加到要免费解密的消息中，以证明攻击者恢复加密数据的能力。所选文件的大小必须小于 500 KB。主要赎金票据是弹出窗口中显示的票据。在这里，Ash Ransomware 提供了额外的通信渠道，例如“servicemanager@yahooweb.co”和“servicemanager2020@protonmail.com”电子邮件和 Jabber 帐户。

完整的指令集是：

'警告！
要恢复数据，请在此处写入：
1) servicemanager@yahooweb.co
2）servicemanager2020@protonmail.com（如果你是俄罗斯人，那么你需要通过TOR浏览器hxxps://www.torproject.org/ru/download/在网站www.protonmail.com上注册，因为proton是被禁止的在你的国家）
3）Jabber客户端-servicemanager@jabb.im（注册可以在网站上完成-www.xmpp.jp。web客户端位于网站上-hxxps://web.xabber.com/）

不要修改文件——这会损坏它们。
测试解密 - 1 个文件 < 500 Kb。'

文本文件中的赎金记录是：

'要恢复数据，请在此处写入：
烟灰缸@outlookpro.net

不要修改文件——这会损坏它们。
测试解密 - 1 个文件 < 500 Kb。'