Ash Ransomware
Les ordinateurs infectés par la menace Ash Ransomware seront soumis au cryptage des données. La menace utilise un algorithme cryptographique puissant pour verrouiller les fichiers de ses victimes, y compris les documents, PDF, archives, bases de données, images et de nombreux autres types de fichiers. Les fichiers impactés ne seront plus accessibles et la restauration sans les clés de déchiffrement appropriées est généralement impossible. Les attaquants utilisent les données cryptées pour extorquer de l'argent à leurs victimes. Les chercheurs d'Infosec ont confirmé que le Ash Ransomware est une variante d'une menace précédemment détectée connue sous le nom de Dcrtr Ransomware . Une autre variante dangereuse appartenant à la même famille est Flash Ransomware .
Les victimes du Ash Ransomware remarqueront que leurs fichiers ont également vu leurs noms d'origine modifiés de manière drastique. La menace attache l'adresse e-mail "ashtray@outlookpro.net" suivie de ".ash" aux fichiers qu'elle verrouille. Deux notes de rançon seront déposées sur les appareils piratés. L'un des messages des acteurs de la menace sera livré sous la forme d'un fichier texte nommé "ReadMe_Decryptor.txt", tandis que l'autre sera affiché sous la forme d'une fenêtre contextuelle générée à partir d'un fichier nommé "Decryptor.hta".
Les instructions trouvées dans le fichier texte indiquent que les victimes doivent contacter les cybercriminels en envoyant un message à "ashtray@outlookpro.net". Un fichier peut être joint au message à déchiffrer gratuitement pour démontrer la capacité de l'attaquant à restaurer les données chiffrées. Le fichier choisi doit avoir une taille inférieure à 500 Ko. La note de rançon principale est celle affichée dans la fenêtre contextuelle. Ici, le Ash Ransomware fournit des canaux de communication supplémentaires, tels que les adresses e-mail « servicemanager@yahooweb.co » et « servicemanager2020@protonmail.com » et un compte Jabber.
L'ensemble complet d'instructions est :
'Avertissement!
Pour récupérer des données, écrivez ici :
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (si vous êtes russe, vous devez vous inscrire sur le site www.protonmail.com via le navigateur TOR hxxps://www.torproject.org/ru/download/ , car le proton est interdit dans votre pays)
3) Client Jabber - servicemanager@jabb.im (l'inscription peut être effectuée sur le site Web - www.xmpp.jp. Le client Web se trouve sur le site - hxxps://web.xabber.com/)Ne modifiez pas les fichiers - cela les endommagerait.
Test de déchiffrement - 1 fichier < 500 Ko.'
La note de rançon dans le fichier texte est :
'Pour récupérer des données, écrivez ici :
cendrier@outlookpro.netNe modifiez pas les fichiers - cela les endommagerait.
Test de déchiffrement - 1 fichier < 500 Ko.'
