RA Group Ransomware
RA Group Ransomware ਮਹੱਤਵਪੂਰਨ ਡੇਟਾ ਦੀ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਮਾਤਰਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਕੇ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਧਮਕੀ ਪ੍ਰਭਾਵਿਤ ਫਾਈਲਾਂ ਦੇ ਅਸਲੀ ਨਾਮਾਂ ਨੂੰ ਵੀ ਸੋਧਦੀ ਹੈ। RA ਸਮੂਹ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਹਰ ਹਮਲੇ ਵਿੱਚ ਇੱਕ ਵਿਲੱਖਣ ਰਿਹਾਈ ਨੋਟ ਸ਼ਾਮਲ ਹੋ ਸਕਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ 'How To Restore Your Files.txt', ਜੋ ਕਿ ਖਾਸ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਕੰਪਨੀ ਜਾਂ ਸੰਗਠਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਜਾਣ ਦੀ ਸੰਭਾਵਨਾ ਹੈ। ਇਸੇ ਤਰ੍ਹਾਂ, RA ਗਰੁੱਪ ਹਰੇਕ ਵੱਖ-ਵੱਖ ਪੀੜਤ ਲਈ ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲਾਂ ਦੇ ਫਾਈਲ ਨਾਮਾਂ ਵਿੱਚ ਇੱਕ ਵੱਖਰਾ ਐਕਸਟੈਂਸ਼ਨ ਵੀ ਜੋੜ ਸਕਦਾ ਹੈ।
ਇੱਕ ਪੁਸ਼ਟੀ ਕੀਤੀ ਘਟਨਾ ਵਿੱਚ, RA Group Ransomware ਨੇ ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲਾਂ ਵਿੱਚ '.GAGUP' ਐਕਸਟੈਂਸ਼ਨ ਨੂੰ ਜੋੜਿਆ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, RA ਸਮੂਹ ਦੀ ਧਮਕੀ ਬਦਨਾਮ Snatch ਰੈਨਸਮਵੇਅਰ ਧਮਕੀ ਦੇ ਲੀਕ ਹੋਏ ਸਰੋਤ ਕੋਡ ਦੇ ਅਧਾਰ ਤੇ ਇੱਕ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਜਾਣੀ ਜਾਂਦੀ ਹੈ। ਬਾਬੁਕ, ਇੱਕ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨ ਜਿਸ ਨੇ 2021 ਵਿੱਚ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਬੰਦ ਕਰ ਦਿੱਤਾ ਸੀ, ਨੇ RA ਸਮੂਹ ਦੀਆਂ ਐਨਕ੍ਰਿਪਸ਼ਨ ਤਕਨੀਕਾਂ ਦੇ ਵਿਕਾਸ ਲਈ ਬੁਨਿਆਦ ਵਜੋਂ ਕੰਮ ਕੀਤਾ।
RA Group Ransomware ਪੀੜਤਾਂ ਦੇ ਡੇਟਾ ਲਈ ਇੱਕ ਗੰਭੀਰ ਖ਼ਤਰਾ ਹੈ
RA Group Ransomware ਦੇ ਪੀੜਤਾਂ ਨੂੰ ਸੰਬੋਧਿਤ ਰਿਹਾਈ ਦਾ ਨੋਟ, ਇੱਕ ਸਪੱਸ਼ਟ ਸੰਦੇਸ਼ ਦਿੰਦਾ ਹੈ ਕਿ ਉਨ੍ਹਾਂ ਦਾ ਡੇਟਾ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਦਾਅਵਾ ਕਰਦੇ ਹਨ ਕਿ ਉਹ ਸਾਰੇ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡੇਟਾ ਦੀਆਂ ਕਾਪੀਆਂ ਨੂੰ ਆਪਣੇ ਸਰਵਰ 'ਤੇ ਪਹੁੰਚਾ ਦਿੰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਹਮਲੇ ਨੂੰ ਪ੍ਰਭਾਵੀ ਤੌਰ 'ਤੇ ਡਬਲ-ਜਬਰਦਸਤੀ ਕਾਰਵਾਈ ਬਣਾਉਂਦੇ ਹਨ। ਅਜਿਹੇ ਤਰੀਕੇ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ ਕਿ ਪੀੜਤ ਹਮਲਾਵਰਾਂ ਦੀਆਂ ਮੰਗਾਂ ਦੀ ਪਾਲਣਾ ਕਰਨਗੇ।
ਨੋਟ ਸਥਿਤੀ ਦੀ ਵਿਆਖਿਆ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ, ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ ਪੀੜਤਾਂ ਦਾ ਡੇਟਾ ਲਿਆ ਹੈ ਅਤੇ ਉਹਨਾਂ ਦੇ ਸਰਵਰਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰ ਲਿਆ ਹੈ। ਇਹ ਪੀੜਤਾਂ ਨੂੰ ਭਰੋਸਾ ਦਿਵਾਉਂਦਾ ਹੈ ਕਿ ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਉਹਨਾਂ ਦੇ ਡੇਟਾ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਨੋਟ ਵਿੱਚ ਕਿਹਾ ਗਿਆ ਹੈ ਕਿ ਇੱਕ ਵਾਰ ਹਮਲਾਵਰਾਂ ਦੀਆਂ ਲੋੜਾਂ ਪੂਰੀਆਂ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਡੇਟਾ ਸਥਾਈ ਤੌਰ 'ਤੇ ਮਿਟਾ ਦਿੱਤਾ ਜਾਵੇਗਾ। ਇਹ ਵੱਖ-ਵੱਖ ਕਿਸਮਾਂ ਦੇ ਡੇਟਾ ਨੂੰ ਵੀ ਸੂਚੀਬੱਧ ਕਰਦਾ ਹੈ ਜਿਸ ਨੂੰ ਹਮਲਾਵਰਾਂ ਨੇ ਉਲੰਘਣਾ ਦੌਰਾਨ ਐਕਸੈਸ ਕੀਤਾ ਹੈ।
ਡੀਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਨ ਲਈ, ਪੀੜਤਾਂ ਨੂੰ ਹਮਲਾਵਰਾਂ ਨਾਲ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਫਿਰੌਤੀ ਦੀ ਅਦਾਇਗੀ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ। ਨੋਟ ਵਿੱਚ ਨਿਰਦਿਸ਼ਟ ਸੰਚਾਰ ਦਾ ਤਰਜੀਹੀ ਤਰੀਕਾ qTox ਦੁਆਰਾ ਹੈ, ਅਤੇ ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਖਾਸ qTox ID ਪ੍ਰਦਾਨ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਨੋਟ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਦੂਜੀਆਂ ਵਿਚੋਲੇ ਕੰਪਨੀਆਂ ਦੁਆਰਾ ਹਮਲਾਵਰਾਂ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਦੇ ਵਿਰੁੱਧ ਚੇਤਾਵਨੀ ਦਿੰਦਾ ਹੈ, ਇਹ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰ ਸਥਿਤੀ ਤੋਂ ਲਾਭ ਉਠਾਉਣ ਅਤੇ ਕਿਸੇ ਵੀ ਤੀਜੀ-ਧਿਰ ਦੀ ਸ਼ਮੂਲੀਅਤ ਨੂੰ ਨਿਰਾਸ਼ ਕਰਨ ਵਿੱਚ ਦਿਲਚਸਪੀ ਰੱਖਦੇ ਹਨ।
ਗੈਰ-ਪਾਲਣਾ ਦੇ ਨਤੀਜਿਆਂ ਦੇ ਸੰਦਰਭ ਵਿੱਚ, ਰਿਹਾਈ ਦਾ ਨੋਟ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਜੇਕਰ ਤਿੰਨ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਕੋਈ ਸੰਪਰਕ ਨਹੀਂ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਹਮਲਾਵਰ ਪੀੜਤਾਂ 'ਤੇ ਦਬਾਅ ਪਾਉਣ ਦੇ ਸਾਧਨ ਵਜੋਂ ਨਮੂਨੇ ਦੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਜਨਤਕ ਕਰ ਦੇਣਗੇ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਜੇਕਰ ਪੀੜਤ ਅਜੇ ਵੀ ਸੱਤ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੇ ਹਨ, ਤਾਂ ਨੋਟ ਸਾਰੀਆਂ ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲਾਂ ਨੂੰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਜਾਰੀ ਕਰਨ ਦੀ ਧਮਕੀ ਦਿੰਦਾ ਹੈ। ਅਤਿਰਿਕਤ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ, ਪੀੜਤਾਂ ਨੂੰ ਟੋਰ ਬ੍ਰਾਊਜ਼ਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਜੋ ਕਿ ਇਸਦੀਆਂ ਗੁਮਨਾਮ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
ਆਪਣੀਆਂ ਡਿਵਾਈਸਾਂ ਅਤੇ ਡੇਟਾ ਦੀ ਸੁਰੱਖਿਆ ਪ੍ਰਤੀ ਗੰਭੀਰ ਪਹੁੰਚ ਅਪਣਾਓ
ਉਪਭੋਗਤਾ ਆਪਣੇ ਡਿਵਾਈਸਾਂ ਅਤੇ ਡੇਟਾ ਨੂੰ ਰੈਨਸਮਵੇਅਰ ਇਨਫੈਕਸ਼ਨਾਂ ਤੋਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਕਈ ਉਪਾਅ ਅਪਣਾ ਸਕਦੇ ਹਨ। ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਉਨ੍ਹਾਂ ਦੀਆਂ ਡਿਵਾਈਸਾਂ 'ਤੇ ਅਪ-ਟੂ-ਡੇਟ ਅਤੇ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਨੂੰ ਕਾਇਮ ਰੱਖਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਇਸ ਵਿੱਚ ਭਰੋਸੇਮੰਦ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ ਜੋ ਰੈਨਸਮਵੇਅਰ ਖਤਰਿਆਂ ਨੂੰ ਖੋਜ ਅਤੇ ਬਲਾਕ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ, ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ ਫਰਮਵੇਅਰ ਨੂੰ ਨਵੀਨਤਮ ਸੁਰੱਖਿਆ ਪੈਚਾਂ ਅਤੇ ਅੱਪਡੇਟਾਂ ਨਾਲ ਅੱਪਡੇਟ ਰੱਖਣਾ ਕਿਸੇ ਵੀ ਕਮਜ਼ੋਰੀ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਹੈ ਜਿਸਦਾ ਰੈਨਸਮਵੇਅਰ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦਾ ਹੈ।
ਇੱਕ ਹੋਰ ਬੁਨਿਆਦੀ ਉਪਾਅ ਹੈ ਸਾਵਧਾਨੀ ਅਤੇ ਚੌਕਸੀ ਵਰਤਣਾ ਜਦੋਂ ਇੰਟਰਨੈੱਟ ਬ੍ਰਾਊਜ਼ ਕਰਦੇ ਹੋਏ ਅਤੇ ਈਮੇਲ ਅਟੈਚਮੈਂਟ ਖੋਲ੍ਹਦੇ ਹੋ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਅਣਜਾਣ ਸਰੋਤਾਂ ਤੋਂ ਸ਼ੱਕੀ ਈਮੇਲਾਂ, ਲਿੰਕਾਂ ਜਾਂ ਅਟੈਚਮੈਂਟਾਂ ਤੋਂ ਸਾਵਧਾਨ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਅਕਸਰ ਰੈਨਸਮਵੇਅਰ ਇਨਫੈਕਸ਼ਨਾਂ ਲਈ ਐਂਟਰੀ ਪੁਆਇੰਟ ਵਜੋਂ ਕੰਮ ਕਰ ਸਕਦੇ ਹਨ। ਉਹਨਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਈਮੇਲਾਂ ਅਤੇ ਅਟੈਚਮੈਂਟਾਂ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਜਾਂਚ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਖਾਸ ਕਰਕੇ ਜੇ ਉਹ ਅਸਾਧਾਰਨ ਜਾਂ ਅਚਾਨਕ ਲੱਗਦੇ ਹਨ।
ਨਿਯਮਤ ਤੌਰ 'ਤੇ ਸੰਬੰਧਿਤ ਡੇਟਾ ਦਾ ਬੈਕਅੱਪ ਲੈਣਾ ਰੈਨਸਮਵੇਅਰ ਸੁਰੱਖਿਆ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਪਹਿਲੂ ਹੈ। ਲੋੜੀਂਦੀਆਂ ਫਾਈਲਾਂ ਦਾ ਔਫਲਾਈਨ ਬੈਕਅੱਪ ਬਣਾਉਣਾ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਵੱਖਰੇ ਡਿਵਾਈਸਾਂ ਜਾਂ ਕਲਾਉਡ ਸਟੋਰੇਜ ਹੱਲਾਂ 'ਤੇ ਸਟੋਰ ਕਰਨਾ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ ਕਿ ਰੈਨਸਮਵੇਅਰ ਹਮਲੇ ਦੀ ਸਥਿਤੀ ਵਿੱਚ ਡੇਟਾ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨੂੰ ਰੋਕਣ ਲਈ ਬੈਕਅੱਪ ਦੀਆਂ ਕਈ ਕਾਪੀਆਂ ਨੂੰ ਬਣਾਈ ਰੱਖਣਾ ਅਤੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਉਹਨਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਸਟੋਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਵਾਧੂ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਸਮਰੱਥ ਕਰਨਾ ਜਿਵੇਂ ਕਿ ਫਾਇਰਵਾਲ ਸੁਰੱਖਿਆ, ਘੁਸਪੈਠ ਖੋਜ ਪ੍ਰਣਾਲੀਆਂ, ਅਤੇ ਉਪਭੋਗਤਾ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਸੀਮਤ ਕਰਨਾ ਰੈਨਸਮਵੇਅਰ ਦੇ ਵਿਰੁੱਧ ਬਚਾਅ ਦੀ ਇੱਕ ਵਾਧੂ ਪਰਤ ਬਣਾ ਸਕਦਾ ਹੈ। ਮਜ਼ਬੂਤ, ਨਿਵੇਕਲੇ ਪਾਸਵਰਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਅਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ ਡਿਵਾਈਸਾਂ ਅਤੇ ਖਾਤਿਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨੂੰ ਰੋਕਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦਾ ਹੈ।
RA Group Ransomware ਦੁਆਰਾ ਛੱਡੇ ਗਏ ਰਿਹਾਈ ਦੇ ਨੋਟ ਦਾ ਪਾਠ ਇਹ ਹੈ:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'