R3tr0 Ransomware
متغير جديد ينتمي إلى عائلة Dharma ransomware يستخدمه مجرمو الإنترنت لقفل بيانات ضحاياهم. يتم تعقب التهديد باعتباره R3tr0 Ransomware ولكن يمكن أيضًا مواجهته على أنه RETRO-ENCRYPTED. تم تجهيز البرامج الضارة بروتين تشفير غير قابل للكسر يمكن أن يؤثر على جميع الملفات المهمة للضحية - قواعد البيانات والمحفوظات والمستندات والصور وما إلى ذلك.
سيتم أيضًا تغيير اسم كل ملف مشفر بشكل جذري. سيضيف التهديد أولاً سلسلة معرّف خاصة بالضحية المعينة. سيتبع ذلك بعنوان بريد إلكتروني تحت سيطرة المهاجمين - "r3tr0crypt@tuta.io" في هذه الحالة. أخيرًا ، سيتم إلحاق ".r3tr0" بالملفات المقفلة كملحق ملف جديد. كما هو معتاد بالنسبة للتهديد المستند إلى Dharma ، ستسقط R3tr0 Ransomware مذكرتي فدية على الأجهزة المخترقة كملفات "Info.hta" و "info.txt".
سيحتوي الملف النصي على نسخة مبتورة من مذكرة الفدية مع توجيه المستخدمين ببساطة نحو الاتصال بعنواني البريد الإلكتروني للمهاجمين. تم العثور على مجموعة التعليمات الكاملة داخل النافذة المنبثقة التي تم إنشاؤها من ملف .hta. هنا ، كرر ممثلو التهديد رسائل البريد الإلكتروني الخاصة بهم على "r3tr0crypt@tuta.io" و "r3tr0crypt@msgsafe.io". كما يحذرون ضحاياهم من أن إعادة تسمية البيانات أو محاولة فك تشفيرها باستخدام أدوات الطرف الثالث يمكن أن يؤدي إلى إتلاف البيانات بشكل دائم وجعل الملفات غير قابلة للاسترداد.
النص الكامل لرسالة طلب الفدية هو:
RETRO- مشفر
r3tr0
لا تقلق ، يمكنك إرجاع جميع ملفاتك!
إذا كنت ترغب في استعادتها ، فاكتب إلى البريد الإلكتروني: r3tr0crypt@tuta.io المعرف الخاص بك -
إذا لم ترد عن طريق البريد خلال 12 ساعة ، فاكتب إلينا عبر بريد آخر: r3tr0crypt@msgsafe.io
الانتباه!
نوصيك بالاتصال بنا مباشرة لتجنب دفع مبالغ زائدة للوكلاء
لا تقم بإعادة تسمية الملفات المشفرة.
لا تحاول فك تشفير بياناتك باستخدام برامج طرف ثالث ، فقد يتسبب ذلك في فقدان دائم للبيانات.
قد يؤدي فك تشفير ملفاتك بمساعدة جهات خارجية إلى زيادة السعر (يضيفون رسومهم إلى موقعنا) أو قد تصبح ضحية لعملية احتيال.
التعليمات الواردة في الملف النصي هي:
تم قفل جميع بياناتك لنا
تريد العودة؟
اكتب بريدًا إلكترونيًا r3tr0crypt@tuta.io أو r3tr0crypt@msgsafe.io
