R3tr0 Ransomware
גרסה חדשה השייכת למשפחת תוכנת הכופר Dharma נמצאת בשימוש על ידי פושעי סייבר כדי לנעול את הנתונים של הקורבנות שלהם. האיום נמצא במעקב כ-R3tr0 Ransomware אך ניתן להיתקל בו גם כ-RETRO-EnCRYPTED. התוכנה הזדונית מצוידת בשגרת הצפנה בלתי ניתנת לפיצוח שיכולה להשפיע על כל הקבצים החשובים של הקורבן - מסדי נתונים, ארכיונים, מסמכים, תמונות וכו'.
גם שמו של כל קובץ מוצפן ישתנה באופן דרסטי. האיום יוסיף תחילה מחרוזת מזהה ספציפית לקורבן המסוים. זה יגרום לכך עם כתובת אימייל בשליטת התוקפים - 'r3tr0crypt@tuta.io', במקרה זה. לבסוף, לקבצים הנעולים יצורף '.r3tr0' כסיומת קובץ חדשה. כפי שאופייני לאיום המבוסס על Dharma, R3tr0 Ransomware תוריד שני פתקי כופר על המכשירים שנפרצו כקבצי 'Info.hta' ו-'info.txt'.
קובץ הטקסט יכיל גרסה קטומה של פתק הכופר כשהמשתמשים פשוט מופנים ליצירת קשר עם שתי כתובות האימייל של התוקפים. ערכת ההוראות המלאה נמצאת בתוך החלון המוקפץ שנוצר מקובץ ה-hta. כאן, שחקני האיומים שוב חזרו על המיילים שלהם בכתובת 'r3tr0crypt@tuta.io' ו-'r3tr0crypt@msgsafe.io'. הם גם מזהירים את הקורבנות שלהם ששינוי שם או ניסיון לפענח את הנתונים בכלים של צד שלישי עלולים להזיק לצמיתות לנתונים ולהפוך את הקבצים לבלתי ניתנים לשחזור.
הטקסט המלא של ההודעה הדורשת כופר הוא:
מוצפן רטרו
r3tr0
אל תדאג, אתה יכול להחזיר את כל הקבצים שלך!
אם אתה רוצה לשחזר אותם, כתוב למייל: r3tr0crypt@tuta.io המזהה שלך -
אם לא ענית בדואר תוך 12 שעות, כתוב לנו בדואר אחר: r3tr0crypt@msgsafe.io
תשומת הלב!
אנו ממליצים לך ליצור איתנו קשר ישירות כדי להימנע מתשלום יתר של סוכנים
אל תשנה את שמם של קבצים מוצפנים.
אל תנסה לפענח את הנתונים שלך באמצעות תוכנת צד שלישי, זה עלול לגרום לאובדן נתונים קבוע.
פענוח הקבצים שלך בעזרת צדדים שלישיים עלול לגרום לעלייה במחיר (הם מוסיפים את העמלה שלהם לשלנו) או שאתה יכול להפוך לקורבן של הונאה.
ההוראות בקובץ הטקסט הן:
כל הנתונים שלך ננעלו לנו
אתה רוצה לחזור?
כתוב דוא"ל r3tr0crypt@tuta.io או r3tr0crypt@msgsafe.io
