RZA Ransomware

Ondanks het ontbreken van significante verbeteringen, is de RZA Ransomware, een nieuwe variant die behoort tot de Dharma- malwarefamilie, niettemin een bedreiging die gebruikers kan uitsluiten van toegang tot hun eigen persoonlijke of zakelijke bestanden. Door een coderingsproces te starten met een sterk cryptografisch algoritme, maakt de RZA Ransomware alle documenten, PDF's, archieven, databases, foto's, enz. die op de besmette computer zijn opgeslagen onbruikbaar.

Elk versleuteld bestand wordt gemarkeerd doordat de naam drastisch is gewijzigd. De dreiging voegt eerst een ID-nummer toe voor de specifieke slachtoffers, gevolgd door een e-mailadres onder controle van de aanvallers, en ten slotte '.RZA' als een nieuwe bestandsextensie. Het e-mailadres dat in de namen van de versleutelde bestanden is geplaatst, is 'ghostdog@onionmail.org'.

Wanneer de dreiging klaar is met het vergrendelen van de bestanden op het systeem, zal het zijn losgeldbriefjes afleveren. Gebruikers blijven achter met twee versies van het bericht waarin losgeld wordt gevraagd. Een daarvan wordt geleverd via een tekstbestand met de naam 'info.txt', terwijl de juiste instructies worden weergegeven in een pop-upvenster.

De eisen van RZA Ransomware

In beide aantekeningen van de dreiging ontbreken veel essentiële details. Ze vermelden niet de som van het losgeld dat door de hackers wordt geëist, noch of het geld zal moeten worden overgemaakt met behulp van een van de verschillende cryptocurrencies. Meestal laten ransomware-operators hun slachtoffers een paar kleine bestanden verzenden die vervolgens gratis worden gedecodeerd. In de nota van RZA wordt ook niet gesproken over een dergelijk aanbod.

Er staat alleen dat slachtoffers eerst een bericht moeten sturen naar het e-mailadres 'ghostdog@onionmail.org'. Als ze binnen 12 uur geen antwoord krijgen, moeten getroffen gebruikers proberen contact op te nemen met het reserveadres op 'ghostdog@msgsafe.io'. De rest van het losgeldbriefje bestaat uit verschillende waarschuwingen.

De volledige tekst van het bericht dat in het pop-upvenster wordt weergegeven, is:

' UW BESTANDEN ZIJN VERSLEUTELD
GHOSTDOG

Maak je geen zorgen, je kunt al je bestanden teruggeven!
Als je ze wilt herstellen, schrijf dan naar de mail: ghostdog@onionmail.org UW ID 1E857D00
Als je niet binnen 12 uur per e-mail hebt geantwoord, schrijf ons dan via een andere e-mail: ghostdog@msgsafe.io

AANDACHT!
We raden u aan rechtstreeks contact met ons op te nemen om te voorkomen dat agenten te veel betalen

Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.

In het 'info.txt'-bestand vinden slachtoffers de volgende instructies:

al uw gegevens zijn bij ons vergrendeld
Wil je terugkeren?
schrijf een e-mail naar ghostdog@onionmail.org of ghostdog@msgsafe.io .'