Raf Ransomware

A Raf Ransomware fenyegetés mögöttes kódjának elemzése után a kiberbiztonsági kutatók megállapították, hogy ez a Makop Ransomware család egy változata. A fenyegetéssel fertőzött eszközöket adattitkosításnak vetik alá, ami azt eredményezi, hogy a rajtuk tárolt fájlok nagy része többé nem lesz elérhető vagy használható.

A fenyegetés által végrehajtott invazív műveletek részeként a zárolt fájlok nevei is jelentős mértékben módosulnak. Valójában az áldozatok észreveszik majd, hogy a fájljaikhoz azonosító karakterlánc, e-mail cím és új fájlkiterjesztés került az eredeti nevükhöz. A szóban forgó e-mail cím „khakuta@msgsafe.io”, a fájl kiterjesztése pedig „.Raf”. A feltört eszközök asztalára egy váltságdíj-jegyzet kerül egy „readme-warning.txt” szövegfájl formájában.

A Ransom Note részletei

A fenyegetés váltságdíjat követelő üzenete Q&A (kérdés és válasz) formátumot követ. Felfedi, hogy Raf Ransomware áldozatai várhatóan váltságdíjat fognak fizetni a Bitcoin kriptovaluta használatával. Az érintett felhasználók 2 titkosított fájlt is küldhetnek ingyenesen feloldásra. A kiválasztott fájloknak azonban több követelménynek is meg kell felelniük. Először is egyszerű kiterjesztéssel kell rendelkezniük, például jpg, xls, doc és hasonlók. Másodszor, méretük nem haladhatja meg az 1 MB-ot. A fájlok elküldéséhez és további utasítások fogadásához az áldozatoknak két e-mail címük van, amelyek kommunikációs csatornaként működnek: „khakuta@msgsafe.io” és „wisetech01@msgsafe.io”.

A fenyegetés teljes váltságdíja a következő:

'::: Üdv :::

Kis GYIK:
.1.
K: Mi történik?
V: Fájljai titkosítva lettek, és most "Raf" kiterjesztéssel rendelkeznek. A fájlszerkezet nem sérült, mindent megtettünk, hogy ez ne fordulhasson elő.

.2.
K: Hogyan lehet visszaállítani a fájlokat?
V: Ha vissza szeretné fejteni fájljait, bitcoinban kell fizetnie.

.3.
K: Mi a helyzet a garanciákkal?
V: Ez csak egy üzlet. Egyáltalán nem törődünk Önnel és ajánlataival, kivéve az előnyök megszerzését. Ha nem végezzük el a munkánkat és a kötelezettségeinket, senki sem fog velünk együttműködni. Nem a mi érdekünk.
A fájlok visszaküldési képességének ellenőrzéséhez elküldhet nekünk tetszőleges 2 fájlt SIMPLE kiterjesztéssel (jpg, xls, doc stb… nem adatbázis!) és kis méretű (maximum 1 mb), ezeket visszafejtjük és visszaküldjük Önnek. . Ez a mi garanciánk.

.4.
K: Hogyan lehet kapcsolatba lépni Önnel?
V: Írhat nekünk a postafiókunkra: khakuta@msgsafe.io vagy wisetech01@msgsafe.io

.5.
K: Hogyan folytatódik a visszafejtési folyamat a fizetés után?
V: Fizetés után elküldjük Önnek a szkenner-dekódoló programunkat és a részletes használati utasítást. Ezzel a programmal képes lesz az összes titkosított fájl visszafejtésére.

.6.
K: Ha nem akarok fizetni olyan rossz embereknek, mint te?
V: Ha nem kíván együttműködni szolgáltatásunkkal – számunkra az nem számít. De elveszíti az idejét és az adatait, mert csak nekünk van a privát kulcsunk. A gyakorlatban - az idő sokkal értékesebb, mint a pénz.
:::ÓVAKODIK:::
NE próbálja meg egyedül megváltoztatni a titkosított fájlokat!
Ha bármilyen harmadik féltől származó szoftvert próbál használni adatai visszaállítására vagy vírusirtó megoldásokra – kérjük, készítsen biztonsági másolatot minden titkosított fájlról!
A titkosított fájlok bármilyen módosítása a privát kulcs károsodását és ennek eredményeként az összes adat elvesztését vonhatja maga után.