Ash Ransomware
Las computadoras infectadas con la amenaza Ash Ransomware estarán sujetas al cifrado de datos. La amenaza utiliza un algoritmo criptográfico fuerte para bloquear los archivos de sus víctimas, incluidos documentos, PDF, archivos, bases de datos, imágenes y muchos otros tipos de archivos. Los archivos afectados ya no serán accesibles y la restauración sin las claves de descifrado adecuadas suele ser imposible. Los atacantes utilizan los datos cifrados para extorsionar a sus víctimas. Los investigadores de Infosec han confirmado que Ash Ransomware es una variante de una amenaza detectada previamente conocida como Dcrtr Ransomware . Otra variante peligrosa perteneciente a la misma familia es Flash Ransomware .
Las víctimas de Ash Ransomware notarán que sus archivos también han modificado drásticamente sus nombres originales. La amenaza adjunta la dirección de correo electrónico 'ashtray@outlookpro.net' seguida de '.ash' a los archivos que bloquea. Se colocarán dos notas de rescate en los dispositivos violados. Uno de los mensajes de los actores de amenazas se entregará como un archivo de texto llamado 'ReadMe_Decryptor.txt', mientras que el otro se mostrará como una ventana emergente generada a partir de un archivo llamado 'Decryptor.hta'.
Las instrucciones que se encuentran dentro del archivo de texto indican que las víctimas deben comunicarse con los ciberdelincuentes enviando un mensaje a 'ashtray@outlookpro.net'. Se puede adjuntar un archivo al mensaje para descifrarlo de forma gratuita como demostración de la capacidad del atacante para restaurar los datos cifrados. El archivo elegido debe tener un tamaño inferior a 500 KB. La nota de rescate principal es la que se muestra en la ventana emergente. Aquí, Ash Ransomware proporciona canales de comunicación adicionales, como los vestidos de correo electrónico 'servicemanager@yahooweb.co' y 'servicemanager2020@protonmail.com' y una cuenta de Jabber.
El conjunto completo de instrucciones es:
'¡Advertencia!
Para recuperar datos, escribe aquí:
1) servicemanager@yahooweb.co
2) servicemanager2020@protonmail.com (si es ruso, debe registrarse en el sitio www.protonmail.com a través del navegador TOR hxxps://www.torproject.org/ru/download/ , ya que el protón está prohibido en tu país)
3) Cliente Jabber: servicemanager@jabb.im (el registro se puede realizar en el sitio web: www.xmpp.jp. El cliente web se encuentra en el sitio: hxxps://web.xabber.com/)No modifique los archivos, esto los dañará.
Descifrado de prueba - 1 archivo < 500 Kb.'
La nota de rescate en el archivo de texto es:
'Para recuperar datos, escriba aquí:
cenicero@outlookpro.netNo modifique los archivos, esto los dañará.
Descifrado de prueba - 1 archivo < 500 Kb.'
