CLEAN Ransomware
En analysant le code et le comportement de CLEAN Ransomware, les chercheurs d'infosec ont déterminé que la menace est une variante de la famille Dharma Ransomware. CLEAN fonctionne comme prévu d'une menace du Dharma. Il essaie d'infiltrer les systèmes informatiques ciblés, lance une routine de cryptage et verrouille les données qui y sont stockées. Par la suite, les attaquants tentent d'extorquer de l'argent aux victimes en leur promettant de leur envoyer la clé et l'outil de décryptage requis, mais uniquement s'ils reçoivent la rançon demandée.
Lorsque CLEAN Ransomware verrouille un fichier, il modifie également radicalement le nom d'origine de ce fichier. C'est un comportement commun observé dans les variantes du Dharma. Les fichiers concernés auront une chaîne représentant l'ID unique de la victime, une adresse e-mail et « .CLEAN » ajouté à leurs noms. L'adresse e-mail utilisée par CLEAN Ransomware est "clean@onionmail.org". La prochaine étape de la menace est de remettre sa demande de rançon. Il le fait de deux manières distinctes. L'un consiste à créer un fichier texte nommé « FILES ENCRYPTED.txt » tandis que l'autre affiche un message dans une fenêtre contextuelle.
Demandes de CLEAN Ransomware
D'une manière typique du Dharma, les notes de CLEAN Ransomware manquent de la plupart des détails vitaux que les utilisateurs auraient besoin de voir. Le fichier texte ne contient que quelques phrases qui disent simplement aux victimes d'envoyer un message soit "clean@onionmail.org" soit "clean@privyinternet.com", adresses e-mail sous le contrôle des pirates. Bien que la note affichée dans la fenêtre contextuelle soit plus longue, elle n'est pas non plus très utile. Il réitère les deux mêmes e-mails mais comporte une section ajoutée avec divers avertissements, tels que la modification des noms des fichiers cryptés pourrait causer des dommages permanents.
Le message du fichier texte est :
' toutes vos données nous ont été verrouillées
Vous voulez revenir ?
écrivez un e-mail à clean@onionmail.org ou clean@privyinternet.comLa fenêtre contextuelle affiche les instructions suivantes :
VOS FICHIERS SONT CRYPTÉS
Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !
Si vous souhaitez les restaurer, suivez ce lien : email clean@onionmail.org VOTRE ID -
Si vous n'avez pas reçu de réponse via le lien dans les 12 heures, écrivez-nous par e-mail:clean@privyinternet.com
Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation des prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque. '
