RA Group Ransomware

РА Гроуп Рансомваре циља организације тако што шифрује значајну количину битних података. Претња такође мења оригинална имена погођених датотека. Сваки напад који изврши РА Група може укључивати јединствену белешку о откупнини, обично названу „Како да вратите своје датотеке.ткт“, која ће вероватно бити посебно направљена за циљану компанију или организацију. Слично томе, РА група такође може додати различите екстензије именима шифрованих датотека за сваку жртву.

У једном потврђеном случају, РА Гроуп Рансомваре је додао екстензију „.ГАГУП“ шифрованим датотекама. Посебно, претња РА Групе је позната по томе што користи процес шифровања заснован на процурелом изворном коду злогласне претње Бабук Рансомваре . Бабук, операција рансомвера која је престала са активностима 2021. године, послужила је као основа за развој техника шифровања РА групе.

Рансомваре РА групе представља озбиљну опасност за податке о жртвама

Порука о откупнини, упућена жртвама РА Гроуп Рансомваре-а, пружа јасну поруку да су њихови подаци шифровани. Поред тога, сајбер криминалци тврде да су ексфилтрирали копије свих компромитованих података на свој сервер, чиме напад ефективно чине операцијом двоструке изнуде. Такве методе обезбеђују да ће жртве испоштовати захтеве нападача.

У белешци се даље даје објашњење ситуације, наглашавајући да су нападачи узели податке жртава и шифровали њихове сервере. Он уверава жртве да се шифроване датотеке могу дешифровати, што имплицира да постоји могућност опоравка њихових података. Штавише, у белешци се наводи да када се испуне захтеви нападача, сачувани подаци ће бити трајно избрисани. Такође наводи различите врсте података којима су нападачи приступили током кршења.

Да би покренули процес дешифровања, жртве су упућене да успоставе контакт са нападачима и уплате откупнину. Преферирани метод комуникације наведен у напомени је путем кТок-а, а жртвама се даје посебан кТок ИД. У белешци се изричито упозорава да не треба контактирати нападаче преко других посредничких компанија, сугеришући да су нападачи искључиво заинтересовани да профитирају од ситуације и обесхрабрују било какву умешаност треће стране.

Што се тиче последица за непоштовање, порука о откупнини указује на то да ће нападачи, ако се не успостави контакт у року од три дана, јавно објавити досијее узорака како би извршили притисак на жртве. Штавише, ако жртве и даље не успоставе контакт у року од седам дана, порука прети да ће све шифроване датотеке објавити јавно. За приступ додатним информацијама, жртвама се саветује да користе Тор претраживач, који је познат по својим функцијама анонимности.

Озбиљно приступите безбедности својих уређаја и података

Корисници могу да предузму неколико мера за ефикасну заштиту својих уређаја и података од рансомвер инфекција. Прво, одржавање ажурираног и робусног безбедносног софтвера на њиховим уређајима је кључно. Ово укључује коришћење поузданог софтвера против малвера који може да открије и блокира претње рансомваре-а. Поред тога, одржавање оперативног система, апликација и фирмвера ажурираним најновијим безбедносним закрпама и ажурирањима је од суштинског значаја за решавање свих рањивости које рансомваре може да искористи.

Још једна основна мера је да будете опрезни и будни док претражујете Интернет и отварате прилоге е-поште. Корисници би требало да буду опрезни са сумњивим имејловима, везама или прилозима из непознатих извора, јер они често могу послужити као улазне тачке за инфекције рансомвером. Препоручљиво је да проверите аутентичност е-порука и прилога пре него што ступите у интеракцију са њима, посебно ако изгледају необично или неочекивано.

Редовно прављење резервних копија релевантних података је кључни аспект заштите од рансомваре-а. Прављење резервних копија потребних датотека ван мреже и њихово складиштење на одвојеним уређајима или решењима за складиштење у облаку помаже да се осигура да подаци могу да се поврате у случају напада рансомвера. Важно је одржавати више копија резервних копија и осигурати да су безбедно ускладиштене како би се спречио неовлашћени приступ.

Омогућавање додатних безбедносних мера као што су заштита заштитног зида, системи за откривање упада и ограничавање привилегија корисника могу створити додатни слој одбране од рансомваре-а. Примена јаких, ексклузивних лозинки и омогућавање двофакторске аутентификације могу помоћи у спречавању неовлашћеног приступа уређајима и налозима.

Текст поруке о откупнини коју је избацио РА Гроуп Рансомваре је:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'