Qu'est-ce que le rançongiciel Ash ?

Ash ransomware est le nom d'une souche récemment découverte de logiciels malveillants de cryptage de fichiers. La nouvelle souche appartient à la famille de clones du rançongiciel Dcrtr.

Le rançongiciel Ash cryptera presque tous les fichiers du système et ajoutera une nouvelle extension complexe aux fichiers cryptés. Un fichier appelé "image.jpg" deviendra "image.jpg.[ashtray@outlookpro.net].ash".

Les fichiers que le rançongiciel chiffrera comprennent les fichiers multimédias, les documents, les fichiers d'archives et les bases de données ainsi que les exécutables.

Une fois le cryptage terminé, le ransomware affichera un message contextuel et déposera une note de rançon dans un fichier texte. La version plus détaillée de la note se trouve dans la fenêtre contextuelle, qui se lit comme suit :

Warning!

To recover data, write here:

1) servicemanager at yahooweb dot co

2) servicemanager2020 at protonmail dot com (if you are Russian, then you need to register on the site www.protonmail.com through the TOR browser hxxps://www.torproject.org/ru/download/ , since the proton is prohibited in your country)

3) Jabber client - servicemanager at jabb dot im (registration can be done on the website - www.xmpp.jp. web client is located on the site - hxxps://web.xabber.com/)

Do not modify files - this will damage them.

Test decryption - 1 file < 500 Kb.

Le fichier texte contient l'e-mail utilisé dans l'extension de fichier crypté.