CLEANランサムウェア

情報セキュリティの研究者は、CLEAN Ransomwareのコードと動作を分析することにより、脅威がDharmaRansomwareファミリーの亜種であると判断しました。 CLEANは、ダルマの脅威から期待どおりに動作します。対象のコンピュータシステムに侵入しようとし、暗号化ルーチンを開始し、そこに保存されているデータをロックします。その後、攻撃者は、必要な身代金が支払われた場合に限り、必要な復号化キーとツールを送信することを約束して、被害者を金銭で恐喝しようとします。

CLEAN Ransomwareがファイルをロックすると、そのファイルの元の名前も大幅に変更されます。これは、ダルマの変種で観察される一般的な動作です。影響を受けるファイルには、被害者の一意のID、電子メールアドレス、および「.CLEAN」を表す文字列が名前に追加されます。 CLEANransomwareが使用するメールアドレスは「clean@onionmail.org」です。脅威の次のステップは、身代金メモを提供することです。これは、2つの別々の方法で行われます。 1つは「FILESENCRYPTED.txt」という名前のテキストファイルを作成し、もう1つはポップアップウィンドウにメッセージを表示します。

クリーンなランサムウェアの要求

典型的なダルマのやり方では、CLEAN Ransomwareのメモには、ユーザーが見る必要のある重要な詳細のほとんどが欠けています。テキストファイルには、ハッカーの管理下にある「clean@onionmail.org」または「clean@privyinternet.com」のいずれかの電子メールアドレスにメッセージを送信するように被害者に指示する文が数文しか含まれていません。ポップアップウィンドウに表示されるメモは長くなりますが、それほど役に立ちません。同じ2つの電子メールを繰り返しますが、暗号化されたファイルの名前を変更すると永久的な損傷を引き起こす可能性があるなど、さまざまな警告を含むセクションが追加されています。

テキストファイルのメッセージは次のとおりです。

'すべてのデータがロックされています
帰りたい？
メールclean@onionmail.orgまたはclean@privyinternet.comを書く

ポップウィンドウには、次の手順が表示されます。

あなたのファイルは暗号化されています
心配しないでください、あなたはあなたのすべてのファイルを返すことができます！
それらを復元したい場合は、次のリンクをたどってください：email clean@onionmail.orgあなたのID-
リンクから12時間以内に回答がない場合は、Eメール：clean@privyinternet.comまでご連絡ください。
注意！
暗号化されたファイルの名前を変更しないでください。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
サードパーティの助けを借りてファイルを復号化すると、価格が上昇する可能性があります（彼らは私たちに彼らの料金を追加します）、またはあなたは詐欺の犠牲者になる可能性があります。 '