CLEAN Ransomware
Durch die Analyse des Codes und Verhaltens der CLEAN-Ransomware haben die infosec-Forscher festgestellt, dass es sich bei der Bedrohung um eine Variante der Dharma-Ransomware-Familie handelt. CLEAN funktioniert wie von einer Dharma- Bedrohung erwartet. Es versucht, die anvisierten Computersysteme zu infiltrieren, leitet eine Verschlüsselungsroutine ein und sperrt die dort gespeicherten Daten. Danach versuchen die Angreifer, die Opfer zu Geld zu erpressen, indem sie versprechen, ihnen den erforderlichen Entschlüsselungsschlüssel und das Tool zu senden, jedoch nur, wenn ihnen das geforderte Lösegeld gezahlt wird.
Wenn die CLEAN Ransomware eine Datei sperrt, ändert sie auch den ursprünglichen Namen dieser Datei drastisch. Dies ist ein häufiges Verhalten, das bei Dharma-Varianten beobachtet wird. Die betroffenen Dateien enthalten eine Zeichenfolge, die die eindeutige ID des Opfers darstellt, eine E-Mail-Adresse und ihren Namen „.CLEAN". Die von der CLEAN Ransomware verwendete E-Mail-Adresse lautet „clean@onionmail.org". Der nächste Schritt der Drohung ist die Übergabe der Lösegeldforderung. Dies geschieht auf zwei verschiedene Arten. Eine beinhaltet das Erstellen einer Textdatei namens 'FILES ENCRYPTED.txt', während die andere eine Nachricht in einem Popup-Fenster anzeigt.
Anforderungen von CLEAN Ransomware
In typischer Dharma-Manier fehlen in den Notizen von CLEAN Ransomware die meisten wichtigen Details, die Benutzer sehen müssen. Die Textdatei enthält nur ein paar Sätze, in denen die Opfer einfach aufgefordert werden, entweder „clean@onionmail.org" oder „clean@privyinternet.com" zu senden, E-Mail-Adressen unter der Kontrolle der Hacker. Die im Popup-Fenster angezeigte Notiz ist zwar länger, aber auch nicht so nützlich. Es wiederholt dieselben beiden E-Mails, enthält jedoch einen hinzugefügten Abschnitt mit verschiedenen Warnungen, z. B. das Ändern der Namen der verschlüsselten Dateien kann dauerhaften Schaden verursachen.
Die Nachricht der Textdatei lautet:
' alle deine Daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an clean@onionmail.org oder clean@privyinternet.comDas Pop-Fenster zeigt die folgenden Anweisungen:
IHRE DATEIEN SIND VERSCHLÜSSELT
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, folgen Sie diesem Link: E-Mail clean@onionmail.org IHRE ID -
Wenn Sie innerhalb von 12 Stunden nicht über den Link geantwortet haben, schreiben Sie uns per E-Mail:clean@privyinternet.com
Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie addieren ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden. '
