CLEAN Ransomware

通過分析 CLEAN Ransomware 的代碼和行為，信息安全研究人員確定該威脅是 Dharma Ransomware 系列的變體。 CLEAN 按預期從Dharma威脅中運行。它試圖滲透到目標計算機系統，啟動加密程序，並鎖定存儲在那裡的數據。之後，攻擊者試圖通過承諾向受害者發送所需的解密密鑰和工具來勒索受害者，但前提是他們必須支付所要求的贖金。

當 CLEAN Ransomware 鎖定文件時，它還會徹底更改該文件的原始名稱。這是在 Dharma 變體中觀察到的常見行為。受影響的文件將包含一個字符串，代表受害者的唯一 ID、電子郵件地址和添加到其名稱中的".CLEAN"。 CLEAN Ransomware 使用的電子郵件地址是"clean@onionmail.org"。威脅的下一步是交付贖金票據。它以兩種不同的方式這樣做。一個涉及創建一個名為"FILES ENCRYPTED.txt"的文本文件，而另一個在彈出窗口中顯示一條消息。

CLEAN Ransomware 的需求

以典型的 Dharma 方式，CLEAN Ransomware 的註釋缺少用戶需要查看的大部分重要細節。該文本文件僅包含幾句話，只是告訴受害者向黑客控制下的電子郵件地址"clean@onionmail.org"或"clean@privyinternet.com"發送消息。雖然彈出窗口中顯示的註釋較長，但也不是那麼有用。它重申了相同的兩封電子郵件，但增加了一個帶有各種警告的部分，例如更改加密文件的名稱可能會造成永久性損壞。

文本文件的消息是：

'您的所有數據都已鎖定我們
你想回來嗎？
寫電子郵件 clean@onionmail.org 或 clean@privyinternet.com

彈出窗口顯示以下說明：

您的文件已加密
別擔心，您可以歸還所有文件！
如果您想恢復它們，請點擊此鏈接：email clean@onionmail.org 您的 ID -
如果您在 12 小時內沒有通過鏈接得到答复，請通過電子郵件給我們寫信：clean@privyinternet.com
注意力！
不要重命名加密文件。
請勿嘗試使用第三方軟件解密您的數據，這可能會導致數據永久丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們向我們收取費用），或者您可能成為騙局的受害者。 '