R3tr0 Ransomware
Новий варіант, що належить до сімейства програм- викупників Dharma , використовується кіберзлочинцями для блокування даних своїх жертв. Загроза відстежується як R3tr0 Ransomware, але також може зустрічатися як RETRO-ENCRYPTED. Шкідливе програмне забезпечення оснащено програмою шифрування, яку не можна зламати, яка може впливати на всі важливі файли жертви - бази даних, архіви, документи, зображення тощо.
Ім'я кожного зашифрованого файлу також буде різко змінено. Загроза спочатку додасть рядок ідентифікатора, специфічний для конкретної жертви. Звідси випливає, що з адресою електронної пошти, що знаходиться під контролем зловмисників, у даному випадку – «r3tr0crypt@tuta.io». Нарешті, до заблокованих файлів буде додано '.r3tr0' як нове розширення файлу. Як це є типовим для загрози на основі Дхарми, R3tr0 Ransomware скине дві записки про викуп на зламаних пристроях у вигляді файлів «Info.hta» та «info.txt».
Текстовий файл міститиме скорочену версію записки з вимогою про викуп, користувачам буде просто направлено зв’язатися з двома адресами електронної пошти зловмисників. Повний набір інструкцій знаходиться у спливаючому вікні, створеному з файлу .hta. Тут суб’єкти загроз знову підтвердили свої електронні листи на «r3tr0crypt@tuta.io» та «r3tr0crypt@msgsafe.io». Вони також попереджають своїх жертв, що перейменування або спроба розшифрувати дані за допомогою сторонніх інструментів може назавжди пошкодити дані та зробити файли неможливими для відновлення.
Повний текст повідомлення з вимогою викупу:
РЕТРО-ШИФРОВАНО
r3tr0
Не хвилюйтеся, ви можете повернути всі свої файли!
Якщо ви хочете їх відновити, пишіть на пошту: r3tr0crypt@tuta.io ВАШ ІДЕНТИФІКАТОР -
Якщо ви не відповіли поштою протягом 12 годин, напишіть нам на іншу адресу: r3tr0crypt@msgsafe.io
УВАГА!
Ми рекомендуємо зв’язатися з нами безпосередньо, щоб уникнути переплати агентам
Не перейменуйте зашифровані файли.
Не намагайтеся розшифрувати свої дані за допомогою стороннього програмного забезпечення, це може призвести до втрати даних.
Розшифровка ваших файлів за допомогою третіх осіб може призвести до підвищення ціни (вони додають свою комісію до нашої) або ви можете стати жертвою шахраїв.
Інструкції в текстовому файлі такі:
всі ваші дані були заблоковані нами
Ви хочете повернутися?
напишіть електронну пошту r3tr0crypt@tuta.io або r3tr0crypt@msgsafe.io
