R3f5s Ransomware

O R3f5s Ransomware é uma cópia recentemente identificada do infame Dharma Ransomware. O Dharma Ransomware tem sido indiscutivelmente uma das famílias de ransomware mais difundidas de 2019 e 2020. Em vez de criar um bloqueador de dados a partir do zero, muitos cibercriminosos optam por emprestar o código de um Trojan de criptografia de arquivos já estabelecido, como o Dharma Ransomware .

Propagação e Criptografia

Os Trojans de bloqueio de arquivos, como o R3f5s Ransomware, geralmente são programados para atingir uma longa lista de tipos de arquivos para garantir o máximo dano. É provável que o R3f5s Ransomware tenha como alvo .png, .gif, .svg, .jpg, .jpeg, .mp3, .midi, .mid, .wav, .mov, .webm, .mp4, .doc, .docx, .txt, .pdf, .db, .rar, .zip e outros. Para bloquear os arquivos que ele visa, o R3f5s Ransomware usa um forte algoritmo de criptografia. Os nomes dos arquivos afetados serão alterados porque o R3f5s Ransomware adiciona uma extensão '.id- . [R3ad4@aol.com] .r3f5s'. Por exemplo, um arquivo que você nomeou 'pizza-dough.txt' será renomeado como 'pizza-dough.txt.id- . [R3ad4@aol.com] .r3f5s.' Toda vítima tem um ID gerado exclusivamente, o que ajuda os atacantes a diferenciar entre os usuários afetados. Ameaças como o R3f5s Ransomware são frequentemente propagadas através de vários vetores de infecção populares, como malvertising, postagens falsas nas redes sociais, downloads e atualizações falsas de software e rastreadores de torrent. No entanto, o método de propagação mais popular é o e-mail de phishing. Esses e-mails fraudulentos geralmente contêm um arquivo com macro-atados ou um link corrompido.

A Nota de Resgate

Na próxima etapa do ataque, o R3f5s Ransomware lança uma nota de resgate no host violado. O arquivo que contém a anotação é chamado 'FILES ENCRYPTED.txt'. Os cibercriminosos que distribuem bloqueadores de arquivos como o R3f5s Ransomware geralmente usam apenas letras maiúsculas ao nomear notas de resgate para aumentar as chances de o usuário perceber o arquivo. Na nota de resgate, os vigaristas pedem para serem contatados por email e fornecem dois endereços de email - 'r3ad4@cock.li' e 'r3ad4@aol.com'. É provável que os atacantes divulguem a taxa de resgate assim que forem contatados.

Não é recomendado cooperar com cibercriminosos. Mesmo se pagar o valor do resgate, você pode nunca receber o decodificador necessário para recuperar os seus arquivos. Em vez disso, considere remover o R3f5s Ransomware do seu computador com a assistência de uma solução anti-spyware legítima e atualizada.