RA Group Ransomware
RA Group Ransomware vizează organizațiile prin criptarea unei cantități semnificative de date esențiale. Amenințarea modifică, de asemenea, numele originale ale fișierelor afectate. Fiecare atac efectuat de RA Group poate implica o notă de răscumpărare unică, numită de obicei „How To Restore Your Files.txt”, care este probabil să fie creat special pentru compania sau organizația vizată. În mod similar, RA Group poate adăuga o extensie diferită la numele fișierelor criptate pentru fiecare victimă diferită.
Într-un caz confirmat, RA Group Ransomware a adăugat extensia „.GAGUP” la fișierele criptate. În special, amenințarea RA Group este cunoscută pentru utilizarea unui proces de criptare bazat pe codul sursă scurs al faimoasei amenințări Babuk Ransomware . Babuk, o operațiune de ransomware care și-a încetat activitățile în 2021, a servit drept fundație pentru dezvoltarea tehnicilor de criptare ale grupului RA.
RA Group Ransomware reprezintă un pericol grav pentru datele victimelor
Nota de răscumpărare, adresată victimelor RA Group Ransomware, oferă un mesaj clar că datele lor au fost criptate. În plus, infractorii cibernetici susțin că au exfiltrat copii ale tuturor datelor compromise pe serverul lor, făcând efectiv atacul o operațiune de dublă extorcare. Astfel de metode asigură că victimele vor respecta cerințele atacatorilor.
Nota continuă cu o explicație a situației, subliniind că atacatorii au preluat datele victimelor și le-au criptat serverele. Acesta asigură victimele că fișierele criptate pot fi decriptate, implicând că există posibilitatea de a-și recupera datele. Mai mult, în nota se precizează că odată ce cerințele atacatorilor sunt îndeplinite, datele salvate vor fi șterse definitiv. De asemenea, listează diferitele tipuri de date pe care le-au accesat atacatorii în timpul încălcării.
Pentru a iniția procesul de decriptare, victimele sunt instruite să stabilească legătura cu atacatorii și să facă o răscumpărare. Metoda preferată de comunicare specificată în notă este prin qTox, iar victimelor le este oferit un anumit ID qTox. Nota avertizează în mod explicit împotriva contactării atacatorilor prin alte companii intermediare, sugerând că atacatorii sunt interesați exclusiv să profite de pe urma situației și să descurajeze orice implicare a terților.
În ceea ce privește consecințele nerespectării, nota de răscumpărare indică faptul că, dacă nu se stabilește niciun contact în decurs de trei zile, atacatorii vor face publice fișierele eșantion, ca mijloc de presiune asupra victimelor. În plus, dacă victimele încă nu reușesc să stabilească contactul în termen de șapte zile, nota amenință că va elibera public toate fișierele criptate. Pentru a accesa informații suplimentare, victimele sunt sfătuite să folosească browserul Tor, care este cunoscut pentru caracteristicile sale de anonimat.
Luați o abordare serioasă în ceea ce privește siguranța dispozitivelor și a datelor dvs
Utilizatorii pot adopta mai multe măsuri pentru a-și proteja dispozitivele și datele în mod eficient împotriva infecțiilor cu ransomware. În primul rând, menținerea software-ului de securitate actualizat și robust pe dispozitivele lor este crucială. Aceasta include utilizarea unui software anti-malware de încredere care poate detecta și bloca amenințările ransomware. În plus, menținerea actualizate a sistemului de operare, a aplicațiilor și a firmware-ului cu cele mai noi patch-uri și actualizări de securitate este esențială pentru a aborda orice vulnerabilități pe care le-ar putea exploata ransomware.
O altă măsură fundamentală este să exerciți prudență și vigilență în timp ce navighezi pe internet și deschizi atașamentele de e-mail. Utilizatorii ar trebui să fie atenți la e-mailurile, linkurile sau atașamentele suspecte din surse necunoscute, deoarece acestea pot servi adesea drept puncte de intrare pentru infecțiile cu ransomware. Este recomandabil să verificați autenticitatea e-mailurilor și a atașamentelor înainte de a interacționa cu acestea, mai ales dacă acestea par neobișnuite sau neașteptate.
Copierea de rezervă regulată a datelor relevante este un aspect crucial al protecției împotriva ransomware. Crearea de copii de rezervă offline ale fișierelor necesare și stocarea lor pe dispozitive separate sau soluții de stocare în cloud vă ajută să vă asigurați că datele pot fi recuperate în cazul unui atac ransomware. Este important să păstrați mai multe copii ale copiilor de rezervă și să vă asigurați că acestea sunt stocate în siguranță pentru a preveni accesul neautorizat.
Activarea măsurilor de securitate suplimentare, cum ar fi protecția firewall, sistemele de detectare a intruziunilor și restricționarea privilegiilor utilizatorului poate crea un strat suplimentar de apărare împotriva ransomware-ului. Implementarea parolelor puternice și exclusive și activarea autentificării cu doi factori poate ajuta la prevenirea accesului neautorizat la dispozitive și conturi.
Textul notei de răscumpărare aruncată de RA Group Ransomware este:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
