CLEAN Ransomware

通过分析 CLEAN Ransomware 的代码和行为，信息安全研究人员确定该威胁是 Dharma Ransomware 系列的变体。 CLEAN 按预期从Dharma威胁中运行。它试图渗透到目标计算机系统，启动加密程序，并锁定存储在那里的数据。之后，攻击者试图通过承诺向受害者发送所需的解密密钥和工具来勒索受害者，但前提是他们必须支付所要求的赎金。

当 CLEAN Ransomware 锁定文件时，它还会彻底更改该文件的原始名称。这是在 Dharma 变体中观察到的常见行为。受影响的文件将包含一个代表受害者唯一 ID 的字符串、一个电子邮件地址，并在其名称中添加".CLEAN"。 CLEAN Ransomware 使用的电子邮件地址是"clean@onionmail.org"。威胁的下一步是交付赎金票据。它以两种不同的方式这样做。一个涉及创建一个名为"FILES ENCRYPTED.txt"的文本文件，而另一个则在弹出窗口中显示一条消息。

CLEAN Ransomware 的需求

以典型的 Dharma 方式，CLEAN Ransomware 的注释缺少用户需要查看的大部分重要细节。该文本文件仅包含几句话，只是告诉受害者向黑客控制下的电子邮件地址"clean@onionmail.org"或"clean@privyinternet.com"发送消息。虽然弹出窗口中显示的注释较长，但也不是那么有用。它重申了相同的两封电子邮件，但增加了一个带有各种警告的部分，例如更改加密文件的名称可能会造成永久性损坏。

文本文件的消息是：

'您的所有数据都已锁定我们
你想回来吗？
写电子邮件 clean@onionmail.org 或 clean@privyinternet.com

弹出窗口显示以下说明：

您的文件已加密
别担心，您可以归还所有文件！
如果您想恢复它们，请点击此链接：email clean@onionmail.org 您的 ID -
如果您在 12 小时内没有通过链接得到答复，请通过电子邮件给我们写信：clean@privyinternet.com
注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致数据永久丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们向我们收取费用），或者您可能成为骗局的受害者。 '