R3tr0 Ransomware
Kyberrikolliset käyttävät uutta Dharma ransomware -perheeseen kuuluvaa varianttia uhriensa tietojen lukitsemiseen. Uhkaa seurataan nimellä R3tr0 Ransomware, mutta se voidaan kohdata myös RETRO-salauksena. Haittaohjelma on varustettu murtumattomalla salausrutiinilla, joka voi vaikuttaa kaikkiin uhrin tärkeisiin tiedostoihin - tietokantoihin, arkistoon, asiakirjoihin, kuviin jne.
Jokaisen salatun tiedoston nimi muuttuu myös radikaalisti. Uhka lisää ensin kyseiselle uhrille ominaisen tunnusmerkkijonon. Siitä seuraa hyökkääjien hallinnassa oleva sähköpostiosoite - "r3tr0crypt@tuta.io", tässä tapauksessa. Lopuksi lukittuihin tiedostoihin lisätään .r3tr0 uutena tiedostopäätteenä. Kuten Dharma-pohjaiselle uhalle on tyypillistä, R3tr0 Ransomware pudottaa kaksi lunnaita rikkoutuneille laitteille "Info.hta"- ja "info.txt"-tiedostoina.
Tekstitiedosto sisältää lyhennetyn version lunnaita koskevasta huomautuksesta, ja käyttäjiä vain ohjataan ottamaan yhteyttä hyökkääjien kahteen sähköpostiosoitteeseen. Täydelliset ohjeet löytyvät .hta-tiedostosta luodusta ponnahdusikkunasta. Tässä uhkatoimijat toistivat sähköpostinsa osoitteisiin r3tr0crypt@tuta.io ja r3tr0crypt@msgsafe.io. He myös varoittavat uhrejaan, että tietojen uudelleennimeäminen tai salauksen purkaminen kolmannen osapuolen työkaluilla voi vahingoittaa tietoja pysyvästi ja tehdä tiedostoista palautumattomia.
Lunnaita vaativan viestin koko teksti on:
RETROSALAATU
r3tr0
Älä huoli, voit palauttaa kaikki tiedostosi!
Jos haluat palauttaa ne, kirjoita sähköpostiin: r3tr0crypt@tuta.io TUNNUSSI -
Jos et ole vastannut postitse 12 tunnin kuluessa, kirjoita meille toisella sähköpostilla:r3tr0crypt@msgsafe.io
HUOMIO!
Suosittelemme, että otat meihin yhteyttä suoraan, jotta vältyt liikaa maksavilta välittäjiltä
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolien avulla voi aiheuttaa hinnan nousun (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi.
Ohjeet tekstitiedostossa ovat:
kaikki tietosi on lukittu meille
Haluatko palata?
kirjoita sähköposti r3tr0crypt@tuta.io tai r3tr0crypt@msgsafe.io
