Ash Ransomware

感染 Ash Ransomware 威脅的計算機將受到數據加密。該威脅利用強大的加密算法來鎖定受害者的文件，包括文檔、PDF、檔案、數據庫、圖像和許多其他文件類型。受影響的文件將無法再訪問，並且通常無法在沒有正確解密密鑰的情況下進行恢復。攻擊者使用加密數據從受害者那裡勒索錢財。 Infosec 研究人員已經證實，Ash Ransomware 是先前檢測到的稱為Dcrtr Ransomware的威脅的變種。屬於同一家族的另一個危險變種是Flash Ransomware 。

Ash Ransomware 的受害者會注意到他們的文件的原始名稱也已被大幅修改。該威脅將“ashtray@outlookpro.net”電子郵件地址和“.ash”附加到它鎖定的文件中。兩個贖金票據將被丟棄在被破壞的設備上。威脅參與者的其中一條消息將作為名為“ReadMe_Decryptor.txt”的文本文件傳遞，而另一條消息將顯示為從名為“Decryptor.hta”的文件生成的彈出窗口。

文本文件中的說明指出，受害者必須通過發送消息“ashtray@outlookpro.net”與網絡犯罪分子聯繫。可以將一個文件附加到要免費解密的消息中，以證明攻擊者恢復加密數據的能力。所選文件的大小必須小於 500 KB。主要贖金票據是彈出窗口中顯示的票據。在這裡，Ash Ransomware 提供了額外的通信渠道，例如“servicemanager@yahooweb.co”和“servicemanager2020@protonmail.com”電子郵件和 Jabber 帳戶。

完整的指令集是：

'警告！
要恢復數據，請在此處寫入：
1) servicemanager@yahooweb.co
2）servicemanager2020@protonmail.com（如果你是俄羅斯人，那麼你需要通過TOR瀏覽器hxxps://www.torproject.org/ru/download/在網站www.protonmail.com上註冊，因為proton是被禁止的在你的國家）
3）Jabber客戶端-servicemanager@jabb.im（註冊可以在網站上完成-www.xmpp.jp。web客戶端位於網站上-hxxps://web.xabber.com/）

不要修改文件——這會損壞它們。
測試解密 - 1 個文件 < 500 Kb。'

文本文件中的贖金記錄是：

'要恢復數據，請在此處寫入：
煙灰缸@outlookpro.net

不要修改文件——這會損壞它們。
測試解密 - 1 個文件 < 500 Kb。'