RA Group Ransomware
Az RA Group Ransomware jelentős mennyiségű alapvető adat titkosításával célozza meg a szervezeteket. A fenyegetés módosítja az érintett fájlok eredeti nevét is. Az RA Group minden egyes támadása magában foglalhat egy egyedi váltságdíj-jegyzetet, melynek neve általában „How To Restore Your Files.txt”, amely valószínűleg kifejezetten a megcélzott vállalat vagy szervezet számára készült. Hasonlóképpen, az RA Group más-más kiterjesztést fűzhet a titkosított fájlok fájlnevéhez minden egyes áldozat esetében.
Egy megerősített esetben az RA Group Ransomware a „.GAGUP” kiterjesztést adta a titkosított fájlokhoz. Nevezetesen, az RA Group fenyegetés arról ismert, hogy a hírhedt Babuk Ransomware fenyegetés kiszivárgott forráskódján alapuló titkosítási folyamatot használ. A Babuk, egy zsarolóvírus-művelet, amely 2021-ben beszüntette tevékenységét, az RA Group titkosítási technikáinak fejlesztésének alapjául szolgált.
Az RA Group Ransomware komoly veszélyt jelent az áldozatok adataira
Az RA Group Ransomware áldozatainak címzett váltságdíj-levél egyértelmű üzenetet közvetít, hogy adataikat titkosították. Ezenkívül a kiberbűnözők azt állítják, hogy az összes feltört adat másolatát kiszivárogtatták a szerverükre, így gyakorlatilag kettős zsarolási műveletté tették a támadást. Az ilyen módszerek biztosítják, hogy az áldozatok megfeleljenek a támadók követeléseinek.
A feljegyzés a továbbiakban magyarázatot ad a helyzetről, hangsúlyozva, hogy a támadók elvették az áldozatok adatait és titkosították szervereiket. Biztosítja az áldozatokat, hogy a titkosított fájlok visszafejthetők, ami arra utal, hogy lehetőség van az adataik helyreállítására. Ezenkívül a megjegyzés kimondja, hogy amint a támadók követelményei teljesülnek, a mentett adatok véglegesen törlődnek. Ezenkívül felsorolja azokat a különféle típusú adatokat, amelyekhez a támadók hozzáfértek a jogsértés során.
A visszafejtési folyamat elindításához az áldozatokat arra utasítják, hogy lépjenek kapcsolatba a támadókkal, és fizessenek váltságdíjat. A feljegyzésben meghatározott előnyben részesített kommunikációs mód a qToxon keresztül történik, és egy meghatározott qTox azonosítót kapnak az áldozatok. A feljegyzés kifejezetten óva int attól, hogy más közvetítő cégeken keresztül lépjen kapcsolatba a támadókkal, azt sugallva, hogy a támadók kizárólag abban érdekeltek, hogy hasznot húzzanak a helyzetből, és elriasztják a harmadik felek részvételét.
A meg nem felelés következményeivel kapcsolatban a váltságdíj feljegyzésben szerepel, hogy ha három napon belül nem jön létre kapcsolat, a támadók mintafájlokat tesznek nyilvánossá, hogy nyomást gyakoroljanak az áldozatokra. Továbbá, ha az áldozatok hét napon belül sem veszik fel a kapcsolatot, a feljegyzés azzal fenyeget, hogy az összes titkosított fájlt nyilvánosságra hozzák. A további információk eléréséhez az áldozatoknak azt tanácsolják, hogy használják a Tor Browser-t, amely az anonimitásáról ismert.
Komolyan közelítsen eszközei és adatai biztonságához
A felhasználók számos intézkedést alkalmazhatnak eszközeik és adataik hatékony védelme érdekében a ransomware fertőzésekkel szemben. Először is, kulcsfontosságú, hogy eszközeiken naprakész és robusztus biztonsági szoftverek legyenek. Ez magában foglalja a megbízható kártevőirtó szoftver használatát, amely képes észlelni és blokkolni a ransomware fenyegetéseket. Ezen túlmenően, az operációs rendszer, az alkalmazások és a firmware frissítése a legújabb biztonsági javításokkal és frissítésekkel elengedhetetlen a zsarolóprogramok által kihasznált sérülékenységek kezeléséhez.
Egy másik alapvető intézkedés az óvatosság és éberség az internet böngészése és az e-mail mellékletek megnyitása közben. A felhasználóknak óvakodniuk kell az ismeretlen forrásból származó gyanús e-mailektől, hivatkozásoktól vagy mellékletektől, mivel ezek gyakran belépési pontként szolgálhatnak a ransomware fertőzésekhez. Javasoljuk, hogy ellenőrizze az e-mailek és a mellékletek hitelességét, mielőtt kapcsolatba lép velük, különösen, ha szokatlannak vagy váratlannak tűnnek.
A releváns adatok rendszeres biztonsági mentése a ransomware elleni védelem döntő szempontja. A szükséges fájlok offline biztonsági másolatának készítése és különálló eszközökön vagy felhőalapú tárolási megoldásokon való tárolása segít abban, hogy egy zsarolóvírus-támadás esetén az adatok helyreálljanak. Fontos, hogy több másolatot készítsen a biztonsági másolatokról, és gondoskodjon azok biztonságos tárolásáról az illetéktelen hozzáférés megelőzése érdekében.
A további biztonsági intézkedések, például a tűzfalvédelem, a behatolásérzékelő rendszerek és a felhasználói jogosultságok korlátozása engedélyezése további védelmi réteget hozhat létre a ransomware ellen. Az erős, exkluzív jelszavak bevezetése és a kéttényezős hitelesítés lehetővé teszi az eszközökhöz és fiókokhoz való jogosulatlan hozzáférés megelőzését.
Az RA Group Ransomware által eldobott váltságdíj szövege a következő:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
