Raf Ransomware

หลังจากวิเคราะห์รหัสพื้นฐานของภัยคุกคาม Raf Ransomware นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พิจารณาแล้วว่ารหัสนี้แตกต่างจากตระกูล Makop Ransomware อุปกรณ์ที่ติดไวรัสจะถูกเข้ารหัสข้อมูล ซึ่งจะทำให้ไฟล์ส่วนใหญ่ที่เก็บไว้ในนั้นไม่สามารถเข้าถึงได้หรือใช้งานอีกต่อไป

ในฐานะที่เป็นส่วนหนึ่งของการกระทำที่เป็นการบุกรุกที่ดำเนินการโดยภัยคุกคาม ชื่อของไฟล์ที่ถูกล็อคจะถูกปรับเปลี่ยนในระดับที่มีนัยสำคัญเช่นกัน อันที่จริง ผู้ที่ตกเป็นเหยื่อจะสังเกตเห็นว่าตอนนี้ไฟล์ของพวกเขามีสตริง ID ที่อยู่อีเมล และนามสกุลไฟล์ใหม่ที่เพิ่มเข้าไปในชื่อเดิมของพวกเขา ที่อยู่อีเมลที่เป็นปัญหาคือ 'khakuta@msgsafe.io' ในขณะที่นามสกุลไฟล์คือ '.Raf' หมายเหตุเรียกค่าไถ่จะหายไปบนเดสก์ท็อปของอุปกรณ์ที่ถูกละเมิดในรูปแบบของไฟล์ข้อความชื่อ 'readme-warning.txt'

รายละเอียดของบันทึกค่าไถ่

ข้อความเรียกร้องค่าไถ่ของการคุกคามเป็นไปตามรูปแบบ Q&A (คำถามและคำตอบ) มันเผยให้เห็นว่าเหยื่อ Raf Ransomware คาดว่าจะจ่ายค่าไถ่โดยใช้ Bitcoin cryptocurrency ผู้ใช้ที่ได้รับผลกระทบยังสามารถส่งไฟล์ที่เข้ารหัส 2 ไฟล์เพื่อปลดล็อกได้ฟรี อย่างไรก็ตาม ไฟล์ที่เลือกต้องเป็นไปตามข้อกำหนดหลายประการ อันดับแรก ต้องมีนามสกุลง่ายๆ เช่น jpg, xls, doc และอื่นๆ ประการที่สอง ไฟล์ต้องมีขนาดไม่เกิน 1MB หากต้องการส่งไฟล์และรับคำแนะนำเพิ่มเติม เหยื่อจะมีที่อยู่อีเมลสองแห่งที่ทำหน้าที่เป็นช่องทางการสื่อสาร - 'khakuta@msgsafe.io' และ 'wisetech01@msgsafe.io'

ค่าไถ่ทั้งหมดของภัยคุกคามคือ:

'::: ทักทาย :::

คำถามที่พบบ่อยเล็กน้อย:
.1.
ถาม: เกิดอะไรขึ้น?
ตอบ: ไฟล์ของคุณได้รับการเข้ารหัสและขณะนี้มีนามสกุล "Raf" โครงสร้างไฟล์ไม่เสียหาย เราทำทุกอย่างเพื่อไม่ให้สิ่งนี้เกิดขึ้น

.2.
ถาม: วิธีการกู้คืนไฟล์
ตอบ: หากคุณต้องการถอดรหัสไฟล์ของคุณ คุณจะต้องจ่ายเป็นบิตคอยน์

.3.
ถาม: แล้วการค้ำประกันล่ะ?
ตอบ: มันเป็นแค่ธุรกิจ เราไม่สนใจคุณและข้อตกลงของคุณ ยกเว้นการรับผลประโยชน์ หากเราไม่ทำงานและรับผิดชอบ - ไม่มีใครจะร่วมมือกับเรา มันไม่อยู่ในความสนใจของเรา
ในการตรวจสอบความสามารถในการส่งคืนไฟล์ คุณสามารถส่งไฟล์ 2 ไฟล์ที่มีนามสกุลง่าย (jpg,xls, doc, ฯลฯ ... ไม่ใช่ฐานข้อมูล!) และขนาดต่ำ (สูงสุด 1 mb) ให้เรา เราจะถอดรหัสและส่งกลับไปให้คุณ . นั่นคือการรับประกันของเรา

.4.
ถาม: จะติดต่อกับคุณได้อย่างไร?
ตอบ: คุณสามารถเขียนถึงเราที่กล่องจดหมายของเรา: khakuta@msgsafe.io หรือ wisetech01@msgsafe.io

.5.
ถาม: กระบวนการถอดรหัสจะดำเนินการหลังจากชำระเงินอย่างไร
A: หลังจากชำระเงินแล้ว เราจะส่งโปรแกรมสแกน-ถอดรหัสของเราให้คุณ พร้อมคำแนะนำโดยละเอียดสำหรับการใช้งาน ด้วยโปรแกรมนี้ คุณจะสามารถถอดรหัสไฟล์ที่เข้ารหัสทั้งหมดของคุณได้

.6.
Q: ถ้าไม่อยากจ่ายให้คนเลวแบบคุณ?
ตอบ: หากคุณไม่ให้ความร่วมมือกับบริการของเรา - สำหรับเรามันไม่สำคัญ แต่คุณจะสูญเสียเวลาและข้อมูลของคุณ เพราะมีเพียงเราเท่านั้นที่มีคีย์ส่วนตัว ในทางปฏิบัติ เวลามีค่ามากกว่าเงิน
:::ระวัง:::
อย่าพยายามเปลี่ยนไฟล์ที่เข้ารหัสด้วยตัวเอง!
หากคุณจะพยายามใช้ซอฟต์แวร์ของบริษัทอื่นในการกู้คืนข้อมูลหรือโซลูชันป้องกันไวรัส โปรดสำรองข้อมูลสำหรับไฟล์ที่เข้ารหัสทั้งหมด!
การเปลี่ยนแปลงใดๆ ในไฟล์ที่เข้ารหัสอาจสร้างความเสียหายให้กับคีย์ส่วนตัว และส่งผลให้ข้อมูลทั้งหมดสูญหาย'