Raf Ransomware
След анализ на основния код на заплахата Raf Ransomware, изследователите на киберсигурността установиха, че това е вариант от семейството на Makop Ransomware . Устройствата, заразени със заплахата, ще бъдат подложени на криптиране на данни, което ще доведе до това, че голяма част от файловете, съхранявани на тях, вече няма да бъдат достъпни или използваеми.
Като част от инвазивните действия, извършвани от заплахата, имената на заключените файлове също ще бъдат променени в значителна степен. Всъщност жертвите ще забележат, че техните файлове вече имат низ за идентификация, имейл адрес и ново файлово разширение, добавени към оригиналните им имена. Въпросният имейл адрес е „khakuta@msgsafe.io“, докато разширението на файла е „.Raf“. Бележка за откуп ще бъде пусната на работния плот на пробитите устройства под формата на текстов файл с име „readme-warning.txt“.
Подробности за бележката за откуп
Съобщението на заплахата, изискващо откуп, следва формат за въпроси и отговори (въпрос и отговор). Той разкрива, че жертвите на Raf Ransomware се очаква да платят откуп, използвайки криптовалутата Bitcoin. Засегнатите потребители също имат право да изпращат 2 криптирани файла, които да бъдат отключени безплатно. Въпреки това, избраните файлове трябва да отговарят на няколко изисквания. Първо, те трябва да имат прости разширения, като jpg, xls, doc и други подобни. Второ, те не трябва да надвишават 1MB по размер. За да изпратят файловете и да получат допълнителни инструкции, на жертвите се оставят два имейл адреса, които действат като комуникационни канали – „khakuta@msgsafe.io“ и „wisetech01@msgsafe.io“.
Цялата бележка за откуп на заплахата е:
'::: Поздравления :::
Малък ЧЗВ:
.1.
Въпрос: Какво се случва?
О: Вашите файлове са криптирани и вече имат разширение "Raf". Файловата структура не беше повредена, направихме всичко възможно това да не се случи..2.
Въпрос: Как да възстановим файлове?
О: Ако искате да дешифрирате вашите файлове, ще трябва да платите в биткойни..3.
Въпрос: Какво ще кажете за гаранциите?
О: Това е просто бизнес. Абсолютно не ни пука за вас и вашите сделки, освен за получаване на ползи. Ако не си свършим работата и задълженията - никой няма да ни сътрудничи. Не е в наш интерес.
За да проверите възможността за връщане на файлове, можете да ни изпратите произволни 2 файла с ПРОСТИ разширения (jpg,xls,doc и т.н.… не бази данни!) и ниски размери (макс. 1 mb), ние ще ги дешифрираме и ще ви изпратим обратно . Това е нашата гаранция..4.
Въпрос: Как да се свържа с вас?
О: Можете да ни пишете на нашата пощенска кутия: khakuta@msgsafe.io или wisetech01@msgsafe.io.5.
Въпрос: Как ще продължи процесът на декриптиране след плащане?
О: След плащане ще Ви изпратим нашата програма за скенер-декодер и подробни инструкции за употреба. С тази програма ще можете да дешифрирате всичките си криптирани файлове..6.
Въпрос: Ако не искам да плащам на лоши хора като теб?
О: Ако не желаете да си сътрудничите с нашата услуга - за нас това няма значение. Но ще загубите времето и данните си, защото само ние имаме частния ключ. На практика - времето е много по-ценно от парите.
:::ВНИМАВАЙ:::
НЕ се опитвайте да променяте криптирани файлове сами!
Ако ще се опитате да използвате софтуер на трети страни за възстановяване на вашите данни или антивирусни решения - моля, направете резервно копие за всички криптирани файлове!
Всякакви промени в криптирани файлове могат да доведат до повреда на частния ключ и в резултат на това загуба на всички данни.'
