R3tr0 Ransomware

Dharma 랜섬웨어 제품군에 속하는 새로운 변종은 사이버 범죄자들이 피해자의 데이터를 잠그는 데 사용하고 있습니다. 위협은 R3tr0 Ransomware로 추적되지만 RETRO-ENCRYPTED로도 발생할 수 있습니다. 이 악성코드는 데이터베이스, 아카이브, 문서, 이미지 등 피해자의 모든 중요한 파일에 영향을 줄 수 있는 해독 불가능한 암호화 루틴을 갖추고 있습니다.

암호화된 각 파일의 이름도 크게 변경됩니다. 위협 요소는 먼저 특정 피해자에 특정한 ID 문자열을 추가합니다. 공격자의 통제 하에 있는 이메일 주소(이 경우 'r3tr0crypt@tuta.io')가 뒤따릅니다. 마지막으로 잠긴 파일에는 '.r3tr0'이 새 파일 확장자로 추가됩니다. Dharma 기반 위협의 경우 일반적으로 R3tr0 Ransomware는 침해된 장치에 'Info.hta' 및 'info.txt' 파일로 2개의 랜섬 노트를 드롭합니다.

텍스트 파일에는 사용자가 단순히 공격자의 두 이메일 주소에 연락하도록 안내된 랜섬 노트의 잘린 버전이 포함됩니다. 전체 지침은 .hta 파일에서 생성된 팝업 창에서 찾을 수 있습니다. 여기에서 공격자는 'r3tr0crypt@tuta.io' 및 'r3tr0crypt@msgsafe.io'로 이메일을 다시 반복했습니다. 또한 피해자에게 타사 도구를 사용하여 데이터의 이름을 바꾸거나 암호 해독을 시도하면 데이터가 영구적으로 손상되고 파일을 복구할 수 없게 될 수 있다고 경고합니다.

몸값을 요구하는 메시지의 전체 텍스트는 다음과 같습니다.

레트로 암호화
r3tr0
걱정하지 마세요. 모든 파일을 반환할 수 있습니다!
복원하려면 r3tr0crypt@tuta.io 귀하의 ID로 메일을 보내십시오.
12시간 이내에 메일로 답장을 보내지 않은 경우 다른 메일:r3tr0crypt@msgsafe.io로 보내주십시오.
주목!
에이전트 초과 지불을 방지하려면 당사에 직접 연락하는 것이 좋습니다.
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 파일 암호를 해독하면 가격이 인상되거나(당사에 수수료가 추가됨) 사기의 피해자가 될 수 있습니다.

텍스트 파일의 지침은 다음과 같습니다.

모든 데이터가 잠겨 있습니다
돌아가시겠습니까?
이메일 r3tr0crypt@tuta.io 또는 r3tr0crypt@msgsafe.io 쓰기