Ash-Ransomware
Computer, die mit der Ash Ransomware-Bedrohung infiziert sind, werden einer Datenverschlüsselung unterzogen. Die Bedrohung verwendet einen starken kryptografischen Algorithmus, um die Dateien ihrer Opfer zu sperren, darunter Dokumente, PDFs, Archive, Datenbanken, Bilder und viele andere Dateitypen. Auf die betroffenen Dateien kann nicht mehr zugegriffen werden, und eine Wiederherstellung ohne die richtigen Entschlüsselungsschlüssel ist normalerweise unmöglich. Die Angreifer nutzen die verschlüsselten Daten, um Geld von ihren Opfern zu erpressen. Forscher von Infosec haben bestätigt, dass die Ash Ransomware eine Variante einer zuvor entdeckten Bedrohung namens Dcrtr Ransomware ist . Eine weitere gefährliche Variante, die zur selben Familie gehört, ist Flash Ransomware .
Opfer der Ash Ransomware werden feststellen, dass ihre Dateien auch ihre ursprünglichen Namen drastisch geändert haben. Die Bedrohung hängt die E-Mail-Adresse „ashtray@outlookpro.net“ gefolgt von „.ash“ an die Dateien an, die sie sperrt. Auf den betroffenen Geräten werden zwei Lösegeldforderungen abgelegt. Eine der Nachrichten der Bedrohungsakteure wird als Textdatei mit dem Namen „ReadMe_Decryptor.txt“ zugestellt, während die andere als Popup-Fenster angezeigt wird, das aus einer Datei mit dem Namen „Decryptor.hta“ generiert wird.
Die Anweisungen in der Textdatei besagen, dass sich die Opfer an die Cyberkriminellen wenden müssen, indem sie eine Nachricht an „ashtray@outlookpro.net“ senden. Eine Datei kann kostenlos an die zu entschlüsselnde Nachricht angehängt werden, um die Fähigkeit des Angreifers zu demonstrieren, die verschlüsselten Daten wiederherzustellen. Die ausgewählte Datei muss kleiner als 500 KB sein. Die wichtigste Lösegeldforderung wird im Popup-Fenster angezeigt. Hier bietet die Ash Ransomware zusätzliche Kommunikationskanäle, wie die E-Mail-Adressen „servicemanager@yahooweb.co“ und „servicemanager2020@protonmail.com“ sowie einen Jabber-Account.
Die vollständige Anleitung lautet:
'Warnung!
Um Daten wiederherzustellen, schreiben Sie hier:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (wenn Sie Russe sind, müssen Sie sich auf der Website www.protonmail.com über den TOR-Browser hxxps://www.torproject.org/ru/download/ registrieren, da das Proton verboten ist in Ihrem Land)
3) Jabber-Client – servicemanager@jabb.im (Registrierung kann auf der Website erfolgen – www.xmpp.jp. Der Web-Client befindet sich auf der Website – hxxps://web.xabber.com/)Verändern Sie keine Dateien – dadurch werden sie beschädigt.
Testentschlüsselung - 1 Datei < 500 KB.'
Die Lösegeldforderung in der Textdatei lautet:
'Um Daten wiederherzustellen, schreiben Sie hier:
aschenbecher@outlookpro.netVerändern Sie keine Dateien – dadurch werden sie beschädigt.
Testentschlüsselung - 1 Datei < 500 KB.'
