CLEAN Ransomware
Al analizar el código y el comportamiento de CLEAN Ransomware, los investigadores de infosec han determinado que la amenaza es una variante de la familia Dharma Ransomware. CLEAN opera como se espera de una amenaza de Dharma. Intenta infiltrarse en los sistemas informáticos objetivo, inicia una rutina de cifrado y bloquea los datos almacenados allí. Posteriormente, los atacantes intentan extorsionar a las víctimas por dinero prometiéndoles enviarles la clave y la herramienta de descifrado necesarias, pero solo si se les paga el rescate exigido.
Cuando CLEAN Ransomware bloquea un archivo, también cambia drásticamente el nombre original de ese archivo. Este es un comportamiento común observado en las variantes de Dharma. Los archivos afectados tendrán una cadena que representa la identificación única de la víctima, una dirección de correo electrónico y '.CLEAN' agregado a sus nombres. La dirección de correo electrónico utilizada por CLEAN Ransomware es 'clean@onionmail.org'. El siguiente paso de la amenaza es entregar su nota de rescate. Lo hace de dos formas distintas. Uno implica la creación de un archivo de texto llamado 'ARCHIVOS ENCRYPTED.txt' mientras que el otro muestra un mensaje en una ventana emergente.
Las demandas de CLEAN Ransomware
De una manera típica de Dharma, las notas de CLEAN Ransomware carecen de la mayoría de los detalles vitales que los usuarios necesitarían ver. El archivo de texto contiene solo un par de oraciones que simplemente le dicen a las víctimas que envíen un mensaje a 'clean@onionmail.org' o 'clean@privyinternet.com', direcciones de correo electrónico bajo el control de los piratas informáticos. Aunque la nota que se muestra en la ventana emergente es más larga, tampoco es tan útil. Reitera los mismos dos correos electrónicos pero tiene una sección agregada con varias advertencias, como cambiar los nombres de los archivos encriptados podría causar daños permanentes.
El mensaje del archivo de texto es:
' todos tus datos nos han sido bloqueados
Quieres volver?
escriba el correo electrónico clean@onionmail.org o clean@privyinternet.comLa ventana emergente muestra las siguientes instrucciones:
SUS ARCHIVOS ESTÁN CIFRADOS
¡No se preocupe, puede devolver todos sus archivos!
Si desea restaurarlos, siga este enlace: envíe un correo electrónico a clean@onionmail.org SU ID -
Si no ha sido respondido a través del enlace dentro de las 12 horas, escríbanos por correo electrónico: clean@privyinternet.com
¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos utilizando software de terceros, puede causar una pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede causar un aumento de precio (ellos agregan su tarifa a la nuestra) o puede convertirse en víctima de una estafa. '
