Flash Ransomware
Cyberkriminelle haben eine neue Variante der zuvor identifizierten Dcrtr Ransomware-Bedrohung entwickelt. Das neue, bedrohliche Tool wird als Flash Ransomware verfolgt und kann sich auf die auf den infizierten Geräten gespeicherten Dateien auswirken. Opfer können nicht mehr auf ihre Dokumente, PDFs, Archive, Datenbanken, Bilder und viele andere Dateitypen zugreifen. Bei jeder betroffenen Datei wird die E-Mail-Adresse „ashtray@outlookpro.net“ gefolgt von „.flash“ an den ursprünglichen Namen angehängt. Eine weitere bedrohliche Variante aus der Dcrtr-Ransomware- Familie ist die Ash-Ransomware .
Wenn alle Zieldateitypen verarbeitet und gesperrt wurden, liefert die Flash Ransomware zwei Lösegeldforderungen mit Anweisungen für ihre Opfer. Die Hauptnachricht wird als Popup-Fenster angezeigt, das aus einer Datei namens „Decryptor.hta“ generiert wird. Die sekundäre Notiz wird als Textdatei mit dem Namen „ReadMe_Decryptor.txt“ abgelegt.
Die Nachricht in der Textdatei besagt, dass Opfer die Angreifer kontaktieren müssen, indem sie eine E-Mail an die Adresse „ashtray@outlookpro.net“ senden. Eine einzelne Datei mit einer Größe von weniger als 500 KB kann kostenlos an die zu entschlüsselnde Nachricht angehängt werden. Das Popup-Fenster enthält zusätzliche Kommunikationskanäle, darunter zwei E-Mails – „servicemanager@yahooweb.co“ und „servicemanager2020@protonmail.com“ sowie ein Jabber-Konto unter „servicemanager@jabb.im“.
Der vollständige Text der Popup-Notiz lautet:
'Um Daten wiederherzustellen, schreiben Sie hier:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (wenn Sie Russe sind, müssen Sie sich auf der Website www.protonmail.com über den TOR-Browser hxxps://www.torproject.org/ru/download/ registrieren, da das Proton verboten ist in Ihrem Land)
3) Jabber-Client – servicemanager@jabb.im (Registrierung kann auf der Website erfolgen – www.xmpp.jp. Web-Client befindet sich auf der Website – hxxps://web.xabber.com/)Verändern Sie keine Dateien – dadurch werden sie beschädigt.
Testentschlüsselung - 1 Datei < 500 KB.'
Die Textdatei enthält die folgende Meldung:
'Um Daten wiederherzustellen, schreiben Sie hier:
aschenbecher@outlookpro.netVerändern Sie keine Dateien – dadurch werden sie beschädigt.
Testentschlüsselung - 1 Datei < 500 KB.'
