Raf Ransomware

Analysoituaan Raf Ransomware -uhan taustalla olevan koodin kyberturvallisuustutkijat ovat päättäneet, että se on muunnelma Makop Ransomware -perheestä. Uhan saastuttamat laitteet salataan, mikä johtaa siihen, että suuri osa niille tallennetuista tiedostoista ei ole enää käytettävissä tai käyttökelpoisia.

Osana uhan tekemiä invasiivisia toimia myös lukittujen tiedostojen nimiä muutetaan merkittävästi. Uhrit huomaavatkin, että heidän tiedostoissaan on nyt tunnusmerkkijono, sähköpostiosoite ja uusi tiedostopääte lisätty heidän alkuperäisiin nimiinsä. Kyseinen sähköpostiosoite on "khakuta@msgsafe.io", kun taas tiedostotunniste on ".Raf". Rikkoutuneiden laitteiden työpöydälle pudotetaan lunnaita koskeva huomautus tekstitiedostona, jonka nimi on "readme-warning.txt".

Ransom Note:n tiedot

Lunnaita vaativa uhkaviesti noudattaa Q&A (kysymys ja vastaus) -muotoa. Se paljastaa, että Raf Ransomwaren uhrien odotetaan maksavan lunnaita Bitcoinin kryptovaluutalla. Asianomaiset käyttäjät voivat myös lähettää 2 salattua tiedostoa avattavaksi ilmaiseksi. Valittujen tiedostojen on kuitenkin täytettävä useita vaatimuksia. Ensinnäkin niillä on oltava yksinkertaiset laajennukset, kuten jpg, xls, doc ja vastaavat. Toiseksi ne eivät saa olla kooltaan yli 1 Mt. Tiedostojen lähettämistä ja lisäohjeiden vastaanottamista varten uhreille jätetään kaksi sähköpostiosoitetta, jotka toimivat viestintäkanavina - "khakuta@msgsafe.io" ja "wisetech01@msgsafe.io".

Uhkauksen koko lunnaat ovat:

'::: Terveisiä :::

Pikku FAQ:
.1.
K: Mitä tapahtuu?
V: Tiedostosi on salattu ja niillä on nyt Raf-laajennus. Tiedostorakenne ei vaurioitunut, teimme kaikkemme, jotta näin ei kävisi.

.2.
K: Kuinka palauttaa tiedostoja?
V: Jos haluat purkaa tiedostosi salauksen, sinun on maksettava bitcoineina.

.3.
K: Entä takuut?
V: Se on vain bisnestä. Emme välitä sinusta ja tarjouksistasi, paitsi etujen saamisesta. Jos emme tee työtämme ja velvollisuuksiamme - kukaan ei tee yhteistyötä kanssamme. Se ei ole meidän etujemme mukaista.
Voit tarkistaa tiedostojen palautuskyvyn lähettämällä meille mitkä tahansa 2 tiedostoa, joissa on SIMPLE-päätteet (jpg,xls,doc jne… ei tietokannat!) ja pienikokoisia (max 1 mb), me puramme niiden salauksen ja lähetämme takaisin sinulle. . Se on meidän takuumme.

.4.
K: Kuinka ottaa sinuun yhteyttä?
V: Voit kirjoittaa meille postilaatikkoomme: khakuta@msgsafe.io tai wisetech01@msgsafe.io

.5.
K: Miten salauksen purkuprosessi etenee maksun jälkeen?
V: Maksun jälkeen lähetämme sinulle skanneri-dekooderiohjelmamme ja yksityiskohtaiset käyttöohjeet. Tämän ohjelman avulla voit purkaa kaikki salatut tiedostosi.

.6.
K: Jos en halua maksaa kaltaisillesi huonoille ihmisille?
V: Jos et tee yhteistyötä palvelumme kanssa - meille sillä ei ole väliä. Mutta menetät aikaasi ja tietosi, koska vain meillä on yksityinen avain. Käytännössä aika on paljon arvokkaampaa kuin raha.
:::OLE VARUILLASI:::
ÄLÄ yritä muuttaa salattuja tiedostoja itse!
Jos yrität käyttää kolmannen osapuolen ohjelmistoja tietojesi palauttamiseen tai virustorjuntaratkaisuihin - tee varmuuskopio kaikista salatuista tiedostoista!
Kaikki muutokset salattuihin tiedostoihin voivat aiheuttaa yksityisen avaimen vahingoittumisen ja sen seurauksena kaikkien tietojen menetyksen.