R3tr0 Ransomware
อาชญากรไซเบอร์กำลังใช้ตัวแปรใหม่ที่เป็นของตระกูล Dharma ransomware เพื่อล็อคข้อมูลของเหยื่อ ภัยคุกคามถูกติดตามเป็น R3tr0 Ransomware แต่ยังสามารถพบได้ในชื่อ RETRO-ENCRYPTED มัลแวร์นี้มาพร้อมกับรูทีนการเข้ารหัสที่ไม่สามารถถอดรหัสได้ ซึ่งสามารถส่งผลกระทบต่อไฟล์สำคัญทั้งหมดของเหยื่อ - ฐานข้อมูล ไฟล์เก็บถาวร เอกสาร รูปภาพ ฯลฯ
ไฟล์ที่เข้ารหัสแต่ละไฟล์จะมีการเปลี่ยนชื่ออย่างมาก ภัยคุกคามจะเพิ่มสตริง ID เฉพาะสำหรับเหยื่อรายนั้นก่อน มันจะตามมาด้วยที่อยู่อีเมลภายใต้การควบคุมของผู้โจมตี - 'r3tr0crypt@tuta.io' ในกรณีนี้ สุดท้าย ไฟล์ที่ถูกล็อคจะมี '.r3tr0' ต่อท้ายเป็นนามสกุลไฟล์ใหม่ ตามปกติสำหรับภัยคุกคามตามธรรมะ R3tr0 Ransomware จะลบบันทึกเรียกค่าไถ่สองรายการบนอุปกรณ์ที่ถูกละเมิดเป็นไฟล์ 'Info.hta' และ 'info.txt'
ไฟล์ข้อความจะมีบันทึกค่าไถ่เวอร์ชันที่ถูกตัดทอน โดยผู้ใช้จะถูกนำไปติดต่อกับที่อยู่อีเมลทั้งสองของผู้โจมตี พบชุดคำสั่งทั้งหมดภายในหน้าต่างป๊อปอัปที่สร้างจากไฟล์ .hta ในที่นี้ ผู้คุกคามได้ย้ำอีเมลของพวกเขาอีกครั้งที่ 'r3tr0crypt@tuta.io' และ 'r3tr0crypt@msgsafe.io' พวกเขายังเตือนผู้ที่ตกเป็นเหยื่อว่าการเปลี่ยนชื่อหรือพยายามถอดรหัสข้อมูลด้วยเครื่องมือของบุคคลที่สามอาจทำให้ข้อมูลเสียหายอย่างถาวรและทำให้ไฟล์ไม่สามารถกู้คืนได้
ข้อความเรียกร้องค่าไถ่ฉบับเต็มคือ:
ย้อนยุคเข้ารหัส
r3tr0
ไม่ต้องกังวล คุณสามารถคืนไฟล์ทั้งหมดของคุณได้!
หากคุณต้องการกู้คืน โปรดเขียนไปที่อีเมล: r3tr0crypt@tuta.io รหัสของคุณ -
หากคุณไม่ตอบกลับทางไปรษณีย์ภายใน 12 ชั่วโมง โปรดเขียนถึงเราที่อีเมลอื่น:r3tr0crypt@msgsafe.io
ความสนใจ!
เราขอแนะนำให้คุณติดต่อเราโดยตรงเพื่อหลีกเลี่ยงการจ่ายเงินเกินตัวแทน
อย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์ของบุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
การถอดรหัสไฟล์ของคุณด้วยความช่วยเหลือของบุคคลที่สามอาจทำให้ราคาเพิ่มขึ้น (พวกเขาเพิ่มค่าธรรมเนียมให้กับเรา) หรือคุณอาจตกเป็นเหยื่อของการหลอกลวง
คำแนะนำในไฟล์ข้อความคือ:
ข้อมูลทั้งหมดของคุณถูกล็อคเรา
คุณต้องการที่จะกลับมา?
เขียนอีเมล r3tr0crypt@tuta.io หรือ r3tr0crypt@msgsafe.io
