RA Group Ransomware
Ransomware i Grupit RA synon organizatat duke enkriptuar një sasi të konsiderueshme të të dhënave thelbësore. Kërcënimi gjithashtu modifikon emrat origjinalë të skedarëve të prekur. Çdo sulm i kryer nga Grupi RA mund të përfshijë një shënim unik shpërblimi, i quajtur zakonisht 'Si të rivendosni skedarët tuaj.txt', i cili ka të ngjarë të jetë krijuar posaçërisht për kompaninë ose organizatën e synuar. Në mënyrë të ngjashme, Grupi RA mund të shtojë gjithashtu një shtesë të ndryshme për emrat e skedarëve të skedarëve të koduar për çdo viktimë të ndryshme.
Në një rast të konfirmuar, RA Group Ransomware shtoi shtesën '.GAGUP' në skedarët e koduar. Veçanërisht, kërcënimi i RA Group është i njohur për përdorimin e një procesi kriptimi bazuar në kodin burimor të rrjedhur të kërcënimit famëkeq Babuk Ransomware . Babuk, një operacion ransomware që pushoi aktivitetet e tij në vitin 2021, shërbeu si themeli për zhvillimin e teknikave të kriptimit të Grupit RA.
Ransomware i Grupit RA paraqet një rrezik serioz për të dhënat e viktimave
Shënimi i shpërblimit, drejtuar viktimave të RA Group Ransomware, jep një mesazh të qartë se të dhënat e tyre janë të koduara. Përveç kësaj, kriminelët kibernetikë pretendojnë se kanë ekzfiluar kopje të të gjitha të dhënave të komprometuara në serverin e tyre, duke e bërë në mënyrë efektive sulmin një operacion të zhvatjes së dyfishtë. Metoda të tilla sigurojnë që viktimat të përmbushin kërkesat e sulmuesve.
Shënimi më tej jep një shpjegim të situatës, duke theksuar se sulmuesit kanë marrë të dhënat e viktimave dhe kanë koduar serverët e tyre. Ai siguron viktimat se skedarët e koduar mund të deshifrohen, duke nënkuptuar se ekziston mundësia e rikuperimit të të dhënave të tyre. Për më tepër, shënimi thotë se pasi të plotësohen kërkesat e sulmuesve, të dhënat e ruajtura do të fshihen përgjithmonë. Ai gjithashtu rendit llojet e ndryshme të të dhënave që sulmuesit kanë akses gjatë shkeljes.
Për të filluar procesin e deshifrimit, viktimat udhëzohen të krijojnë kontakte me sulmuesit dhe të bëjnë një pagesë shpërblimi. Metoda e preferuar e komunikimit e specifikuar në shënim është përmes qTox dhe viktimave u ofrohet një ID specifike qTox. Shënimi në mënyrë eksplicite paralajmëron kundër kontaktimit me sulmuesit përmes kompanive të tjera ndërmjetëse, duke sugjeruar që sulmuesit janë të interesuar vetëm të përfitojnë nga situata dhe të dekurajojnë çdo përfshirje të palëve të treta.
Për sa i përket pasojave për mospërputhje, shënimi i shpërblimit tregon se nëse nuk vendoset asnjë kontakt brenda tre ditëve, sulmuesit do t'i bëjnë publike skedarët e mostrës si një mjet për të ushtruar presion ndaj viktimave. Për më tepër, nëse viktimat ende nuk arrijnë të krijojnë kontakt brenda shtatë ditëve, shënimi kërcënon të publikojë të gjithë skedarët e koduar. Për të pasur akses në informacione shtesë, viktimat këshillohen të përdorin shfletuesin Tor, i cili njihet për veçoritë e tij të anonimitetit.
Merrni një qasje serioze drejt sigurisë së pajisjeve dhe të dhënave tuaja
Përdoruesit mund të miratojnë disa masa për të mbrojtur në mënyrë efektive pajisjet dhe të dhënat e tyre kundër infeksioneve të ransomware. Së pari, mbajtja e softuerit të përditësuar dhe të fortë të sigurisë në pajisjet e tyre është thelbësore. Kjo përfshin përdorimin e softuerit të besueshëm anti-malware që mund të zbulojë dhe bllokojë kërcënimet e ransomware. Për më tepër, mbajtja e sistemit operativ, aplikacioneve dhe firmware-it të përditësuar me arnimet dhe përditësimet më të reja të sigurisë është thelbësore për të adresuar çdo dobësi që mund të shfrytëzojë ransomware.
Një masë tjetër themelore është të tregosh kujdes dhe vigjilencë gjatë shfletimit të Internetit dhe hapjes së bashkëngjitjeve të postës elektronike. Përdoruesit duhet të jenë të kujdesshëm ndaj emaileve, lidhjeve ose bashkëngjitjeve të dyshimta nga burime të panjohura, pasi këto shpesh mund të shërbejnë si pika hyrëse për infeksionet e ransomware. Këshillohet që të kontrolloni vërtetësinë e emaileve dhe bashkëngjitjeve përpara se të ndërveproni me to, veçanërisht nëse duken të pazakonta ose të papritura.
Rezervimi i rregullt i të dhënave përkatëse është një aspekt thelbësor i mbrojtjes së ransomware. Krijimi i kopjeve rezervë jashtë linje të skedarëve të nevojshëm dhe ruajtja e tyre në pajisje të veçanta ose zgjidhje të ruajtjes së resë kompjuterike ndihmon për t'u siguruar që të dhënat mund të rikuperohen në rast të një sulmi ransomware. Është e rëndësishme të ruani kopje të shumta të kopjeve rezervë dhe të siguroheni që ato të ruhen në mënyrë të sigurt për të parandaluar aksesin e paautorizuar.
Aktivizimi i masave shtesë të sigurisë si mbrojtja e murit të zjarrit, sistemet e zbulimit të ndërhyrjeve dhe kufizimi i privilegjeve të përdoruesve mund të krijojnë një shtresë shtesë mbrojtjeje kundër ransomware. Zbatimi i fjalëkalimeve të forta, ekskluzive dhe aktivizimi i vërtetimit me dy faktorë mund të ndihmojë në parandalimin e aksesit të paautorizuar në pajisje dhe llogari.
Teksti i shënimit të shpërblimit të hedhur nga RA Group Ransomware është:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
