RA Group Ransomware
RA Group Ransomware महत्वपूर्ण मात्रा में आवश्यक डेटा को एन्क्रिप्ट करके संगठनों को लक्षित करता है। खतरा प्रभावित फाइलों के मूल नामों को भी संशोधित करता है। RA समूह द्वारा किए गए प्रत्येक हमले में एक अद्वितीय फिरौती नोट शामिल हो सकता है, जिसे आमतौर पर 'How To Restore Your Files.txt' नाम दिया गया है, जो विशेष रूप से लक्षित कंपनी या संगठन के लिए तैयार किए जाने की संभावना है। इसी प्रकार, आरए समूह भी प्रत्येक भिन्न शिकार के लिए एन्क्रिप्टेड फाइलों के फाइलनामों के लिए एक अलग विस्तार जोड़ सकता है।
एक पुष्ट उदाहरण में, RA Group Ransomware ने एन्क्रिप्ट की गई फ़ाइलों में '.GAGUP' एक्सटेंशन जोड़ा। विशेष रूप से, आरए समूह का खतरा कुख्यात बाबुक रैनसमवेयर खतरे के लीक स्रोत कोड के आधार पर एक एन्क्रिप्शन प्रक्रिया का उपयोग करने के लिए जाना जाता है। बाबुक, एक रैंसमवेयर ऑपरेशन जिसने 2021 में अपनी गतिविधियों को बंद कर दिया, आरए समूह की एन्क्रिप्शन तकनीकों के विकास की नींव के रूप में कार्य किया।
RA Group Ransomware पीड़ितों के डेटा के लिए एक गंभीर खतरा बन गया है
RA Group Ransomware के पीड़ितों को संबोधित फिरौती नोट, एक स्पष्ट संदेश देता है कि उनका डेटा एन्क्रिप्ट किया गया है। इसके अलावा, साइबर अपराधियों ने दावा किया है कि उनके सर्वर पर सभी समझौता किए गए डेटा की प्रतिलिपियां हैं, प्रभावी रूप से हमले को दोहरा-जबरन वसूली ऑपरेशन बनाते हैं। इस तरह के तरीके सुनिश्चित करते हैं कि पीड़ित हमलावरों की मांगों का पालन करेंगे।
नोट स्थिति की व्याख्या प्रदान करने के लिए आगे बढ़ता है, इस बात पर जोर देते हुए कि हमलावरों ने पीड़ितों के डेटा को ले लिया है और उनके सर्वर को एन्क्रिप्ट किया है। यह पीड़ितों को आश्वस्त करता है कि एन्क्रिप्ट की गई फ़ाइलों को डिक्रिप्ट किया जा सकता है, जिसका अर्थ है कि उनके डेटा को पुनर्प्राप्त करने की संभावना है। इसके अलावा, नोट में कहा गया है कि हमलावरों की आवश्यकताओं को पूरा करने के बाद, सहेजा गया डेटा स्थायी रूप से हटा दिया जाएगा। यह उन विभिन्न प्रकार के डेटा को भी सूचीबद्ध करता है जिन्हें हमलावरों ने उल्लंघन के दौरान एक्सेस किया है।
डिक्रिप्शन प्रक्रिया शुरू करने के लिए, पीड़ितों को हमलावरों से संपर्क स्थापित करने और फिरौती का भुगतान करने का निर्देश दिया जाता है। नोट में निर्दिष्ट संचार का पसंदीदा तरीका qTox के माध्यम से है, और पीड़ितों को एक विशिष्ट qTox आईडी प्रदान की जाती है। नोट स्पष्ट रूप से अन्य मध्यस्थ कंपनियों के माध्यम से हमलावरों से संपर्क करने के खिलाफ चेतावनी देता है, यह सुझाव देता है कि हमलावर पूरी तरह से स्थिति से लाभ उठाने और किसी तीसरे पक्ष की भागीदारी को हतोत्साहित करने में रुचि रखते हैं।
गैर-अनुपालन के परिणामों के संदर्भ में, फिरौती नोट इंगित करता है कि यदि तीन दिनों के भीतर कोई संपर्क स्थापित नहीं होता है, तो हमलावर पीड़ितों पर दबाव बनाने के साधन के रूप में नमूना फाइलों को सार्वजनिक कर देंगे। इसके अलावा, अगर पीड़ित अभी भी सात दिनों के भीतर संपर्क स्थापित करने में विफल रहता है, तो नोट सभी एन्क्रिप्टेड फाइलों को सार्वजनिक रूप से जारी करने की धमकी देता है। अतिरिक्त जानकारी तक पहुँचने के लिए, पीड़ितों को टोर ब्राउज़र का उपयोग करने की सलाह दी जाती है, जो अपनी गुमनामी विशेषताओं के लिए जाना जाता है।
अपने डिवाइस और डेटा की सुरक्षा के लिए गंभीर कदम उठाएं
उपयोगकर्ता अपने उपकरणों और डेटा को रैंसमवेयर संक्रमणों से प्रभावी ढंग से बचाने के लिए कई उपाय अपना सकते हैं। सबसे पहले, उनके उपकरणों पर अद्यतित और मजबूत सुरक्षा सॉफ़्टवेयर बनाए रखना महत्वपूर्ण है। इसमें विश्वसनीय एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करना शामिल है जो रैंसमवेयर खतरों का पता लगा सकता है और ब्लॉक कर सकता है। इसके अतिरिक्त, ऑपरेटिंग सिस्टम, एप्लिकेशन और फ़र्मवेयर को नवीनतम सुरक्षा पैच और अपडेट के साथ अपडेट रखना किसी भी भेद्यता को दूर करने के लिए आवश्यक है जिसका रैंसमवेयर शोषण कर सकता है।
एक अन्य मौलिक उपाय इंटरनेट ब्राउज़ करते समय और ईमेल अटैचमेंट खोलते समय सावधानी और सतर्कता बरतना है। उपयोगकर्ताओं को अज्ञात स्रोतों से संदिग्ध ईमेल, लिंक या अटैचमेंट से सावधान रहना चाहिए, क्योंकि ये अक्सर रैंसमवेयर संक्रमण के लिए प्रवेश बिंदु के रूप में काम कर सकते हैं। ईमेल और अटैचमेंट के साथ बातचीत करने से पहले उनकी प्रामाणिकता की जांच करने की सलाह दी जाती है, खासकर अगर वे असामान्य या अप्रत्याशित लगते हैं।
प्रासंगिक डेटा का नियमित रूप से बैकअप लेना रैंसमवेयर सुरक्षा का एक महत्वपूर्ण पहलू है। आवश्यक फ़ाइलों का ऑफ़लाइन बैकअप बनाना और उन्हें अलग-अलग उपकरणों या क्लाउड स्टोरेज समाधानों पर संग्रहीत करना यह सुनिश्चित करने में मदद करता है कि रैंसमवेयर हमले की स्थिति में डेटा को पुनर्प्राप्त किया जा सकता है। बैकअप की कई प्रतियों को बनाए रखना और अनधिकृत पहुंच को रोकने के लिए उन्हें सुरक्षित रूप से संग्रहीत करना सुनिश्चित करना महत्वपूर्ण है।
फ़ायरवॉल सुरक्षा, घुसपैठ का पता लगाने वाली प्रणाली और उपयोगकर्ता विशेषाधिकारों को प्रतिबंधित करने जैसे अतिरिक्त सुरक्षा उपायों को सक्षम करने से रैंसमवेयर के खिलाफ सुरक्षा की एक अतिरिक्त परत बन सकती है। मजबूत, अनन्य पासवर्ड लागू करने और दो-कारक प्रमाणीकरण सक्षम करने से उपकरणों और खातों में अनधिकृत पहुंच को रोकने में मदद मिल सकती है।
RA Group Ransomware द्वारा गिराए गए फिरौती के नोट का पाठ है:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'