Raf Ransomware

Po analizi osnovne kode grožnje Raf Ransomware so raziskovalci kibernetske varnosti ugotovili, da gre za različico iz družine Makop Ransomware . Naprave, okužene z grožnjo, bodo podvržene šifriranju podatkov, kar bo povzročilo, da velik del datotek, shranjenih na njih, ne bo več dostopen ali uporaben.

Kot del invazivnih dejanj, ki jih izvaja grožnja, bodo v veliki meri spremenjena tudi imena zaklenjenih datotek. Žrtve bodo dejansko opazile, da imajo njihove datoteke zdaj izvirnim imenom dodani niz ID-ja, e-poštni naslov in novo pripono datoteke. Zadevni e-poštni naslov je 'khakuta@msgsafe.io', medtem ko je pripona datoteke '.Raf.' Odkupnina bo spuščena na namizje vlomljenih naprav v obliki besedilne datoteke z imenom »readme-warning.txt«.

Podrobnosti obvestila o odkupnini

Sporočilo grožnje, ki zahteva odkupnino, sledi obliki vprašanj in odgovorov (vprašanje in odgovori). Razkriva, da naj bi žrtve Raf Ransomware plačale odkupnino z uporabo kriptovalute Bitcoin. Prizadeti uporabniki lahko pošljejo tudi 2 šifrirani datoteki, ki jih je treba brezplačno odkleniti. Vendar pa morajo izbrane datoteke izpolnjevati več zahtev. Najprej morajo imeti preproste razširitve, kot so jpg, xls, doc in podobno. Drugič, njihova velikost ne sme presegati 1 MB. Za pošiljanje datotek in prejemanje dodatnih navodil žrtvam ostaneta dva e-poštna naslova, ki delujeta kot komunikacijska kanala – 'khakuta@msgsafe.io' in 'wisetech01@msgsafe.io'.

Celoten zapis grožnje o odkupnini je:

'::: Pozdravi :::

Mala pogosta vprašanja:
.1.
V: Kaj se zgodi?
O: Vaše datoteke so bile šifrirane in imajo zdaj pripono »Raf«. Struktura datoteke ni bila poškodovana, naredili smo vse, da se to ne bi zgodilo.

.2.
V: Kako obnoviti datoteke?
O: Če želite dešifrirati svoje datoteke, boste morali plačati v bitcoinih.

.3.
V: Kaj pa garancije?
O: To je samo posel. Popolnoma nam ni mar za vas in vaše posle, razen za pridobivanje ugodnosti. Če ne bomo opravili svojega dela in obveznosti - z nami ne bo nihče sodeloval. To ni v našem interesu.
Za preverjanje zmožnosti vračanja datotek nam lahko pošljete poljubni 2 datoteki s PREPROSTI končnicami (jpg, xls, doc, itd… ne podatkovnih baz!) in nizkimi velikostmi (največ 1 mb), dešifrirali jih bomo in vam poslali nazaj . To je naše jamstvo.

.4.
V: Kako vzpostaviti stik z vami?
O: Lahko nam pišete v naš poštni predal: khakuta@msgsafe.io ali wisetech01@msgsafe.io

.5.
V: Kako bo potekal postopek dešifriranja po plačilu?
O: Po plačilu vam bomo poslali naš program skener-dekoder in podrobna navodila za uporabo. S tem programom boste lahko dešifrirali vse svoje šifrirane datoteke.

.6.
V: Če nočem plačati slabim ljudem, kot si ti?
O: Če ne boste sodelovali z našo storitvijo - za nas to ni pomembno. Vendar boste izgubili svoj čas in podatke, saj imamo samo zasebni ključ. V praksi – čas je veliko bolj dragocen kot denar.
:::POZOR:::
NE poskušajte sami spremeniti šifriranih datotek!
Če boste poskušali uporabiti katero koli programsko opremo tretjih oseb za obnovitev vaših podatkov ali protivirusne rešitve - naredite varnostno kopijo vseh šifriranih datotek!
Vsaka sprememba šifriranih datotek lahko povzroči poškodbo zasebnega ključa in posledično izgubo vseh podatkov.'