RA Group Ransomware
Программа-вымогатель RA Group нацелена на организации, шифруя значительный объем важных данных. Угроза также изменяет исходные имена затронутых файлов. Каждая атака, проводимая RA Group, может включать уникальную записку с требованием выкупа, обычно называемую «Как восстановить ваши файлы.txt», которая, вероятно, будет специально создана для целевой компании или организации. Точно так же группа RA может также добавлять разные расширения к именам зашифрованных файлов для каждой отдельной жертвы.
В одном подтвержденном случае программа-вымогатель RA Group добавила к зашифрованным файлам расширение «.GAGUP». Примечательно, что угроза RA Group известна тем, что использует процесс шифрования, основанный на утечке исходного кода печально известной угрозы Babuk Ransomware . Babuk, программа-вымогатель, прекратившая свою деятельность в 2021 году, послужила основой для разработки методов шифрования RA Group.
Программа-вымогатель RA Group представляет серьезную опасность для данных жертв
В записке с требованием выкупа, адресованной жертвам программы-вымогателя RA Group, содержится четкое сообщение о том, что их данные были зашифрованы. Кроме того, киберпреступники утверждают, что перенесли копии всех скомпрометированных данных на свой сервер, что фактически превращает атаку в операцию двойного вымогательства. Такие методы гарантируют, что жертвы будут выполнять требования злоумышленников.
Далее в записке дается объяснение ситуации, подчеркивая, что злоумышленники забрали данные жертв и зашифровали их серверы. Он уверяет жертв, что зашифрованные файлы могут быть расшифрованы, подразумевая, что существует возможность восстановления их данных. Кроме того, в примечании говорится, что после выполнения требований злоумышленников сохраненные данные будут безвозвратно удалены. В нем также перечислены различные типы данных, к которым злоумышленники получили доступ во время взлома.
Чтобы инициировать процесс расшифровки, жертвам предлагается установить контакт с злоумышленниками и внести выкуп. Предпочтительный способ связи, указанный в примечании, — через qTox, и жертвам предоставляется определенный идентификатор qTox. В примечании прямо предостерегают от контактов с злоумышленниками через другие посреднические компании, предполагая, что злоумышленники заинтересованы исключительно в получении прибыли от ситуации и препятствуют любому участию третьих лиц.
Что касается последствий несоблюдения, в записке о выкупе указано, что если в течение трех дней не будет установлен контакт, злоумышленники обнародуют образцы файлов в качестве средства оказания давления на жертв. Кроме того, если жертвам не удастся установить контакт в течение семи дней, в записке грозит обнародование всех зашифрованных файлов. Для доступа к дополнительной информации жертвам рекомендуется использовать браузер Tor, который известен своими функциями анонимности.
Подойдите серьезно к безопасности ваших устройств и данных
Пользователи могут принять несколько мер для эффективной защиты своих устройств и данных от заражения программами-вымогателями. Во-первых, крайне важно поддерживать актуальное и надежное программное обеспечение безопасности на своих устройствах. Это включает в себя использование надежного программного обеспечения для защиты от вредоносных программ, которое может обнаруживать и блокировать угрозы программ-вымогателей. Кроме того, постоянное обновление операционной системы, приложений и встроенного ПО с использованием новейших исправлений и обновлений безопасности необходимо для устранения любых уязвимостей, которые могут использовать программы-вымогатели.
Другая фундаментальная мера заключается в том, чтобы проявлять осторожность и бдительность при работе в Интернете и открытии вложений электронной почты. Пользователям следует с осторожностью относиться к подозрительным электронным письмам, ссылкам или вложениям из неизвестных источников, поскольку они часто могут служить отправной точкой для заражения программами-вымогателями. Перед взаимодействием с электронными письмами и вложениями рекомендуется проверять их подлинность, особенно если они кажутся необычными или неожиданными.
Регулярное резервное копирование соответствующих данных является важным аспектом защиты от программ-вымогателей. Создание автономных резервных копий необходимых файлов и их хранение на отдельных устройствах или в облачных хранилищах помогает обеспечить возможность восстановления данных в случае атаки программы-вымогателя. Важно поддерживать несколько копий резервных копий и обеспечивать их безопасное хранение для предотвращения несанкционированного доступа.
Включение дополнительных мер безопасности, таких как защита брандмауэром, системы обнаружения вторжений и ограничение привилегий пользователей, может создать дополнительный уровень защиты от программ-вымогателей. Внедрение надежных эксклюзивных паролей и включение двухфакторной аутентификации может помочь предотвратить несанкционированный доступ к устройствам и учетным записям.
Текст записки о выкупе, оставленной RA Group Ransomware:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
