RA Group Ransomware
Програмне забезпечення-вимагач RA Group націлено на організації, шифруючи значну кількість важливих даних. Загроза також змінює вихідні назви заражених файлів. Кожна атака, здійснена групою RA, може включати унікальну записку про викуп, зазвичай під назвою «Як відновити ваші файли.txt», яка, ймовірно, буде створена спеціально для цільової компанії чи організації. Подібним чином група RA також може додати різні розширення до імен зашифрованих файлів для кожної окремої жертви.
В одному підтвердженому випадку програма-вимагач RA Group додала до зашифрованих файлів розширення «.GAGUP». Зокрема, загроза RA Group відома тим, що використовує процес шифрування на основі витоку вихідного коду відомої загрози Babuk Ransomware . Babuk, програма-вимагач, яка припинила свою діяльність у 2021 році, послужила основою для розробки методів шифрування RA Group.
Програмне забезпечення-вимагач RA Group становить серйозну небезпеку для даних жертв
Записка про викуп, адресована жертвам програм-вимагачів RA Group, містить чітке повідомлення про те, що їхні дані були зашифровані. Крім того, кіберзлочинці стверджують, що викрали копії всіх скомпрометованих даних на свій сервер, фактично зробивши атаку операцією подвійного вимагання. Такі методи гарантують виконання жертвами вимог зловмисників.
Далі в записці дається пояснення ситуації, наголошується, що зловмисники забрали дані жертв і зашифрували їхні сервери. Це гарантує жертвам, що зашифровані файли можна розшифрувати, маючи на увазі, що існує можливість відновлення їхніх даних. Крім того, у примітці зазначено, що як тільки вимоги зловмисників будуть виконані, збережені дані будуть остаточно видалені. У ньому також перераховані різні типи даних, до яких зловмисники отримали доступ під час злому.
Для початку процесу розшифровки жертвам доручають встановити контакт із зловмисниками та сплатити викуп. Рекомендований спосіб зв’язку, вказаний у примітці, – через qTox, і жертвам надається конкретний ідентифікатор qTox. У примітці чітко застерігається не зв’язуватися зі зловмисниками через інші компанії-посередники, припускаючи, що зловмисники зацікавлені виключно в отриманні прибутку від ситуації та перешкоджають будь-якій участі третіх сторін.
Щодо наслідків у випадку невиконання, у записці про викуп зазначено, що якщо контакт не буде встановлено протягом трьох днів, зловмисники оприлюднять зразки файлів як засіб тиску на жертв. Крім того, якщо жертвам не вдасться встановити контакт протягом семи днів, у записці загрожує оприлюднити всі зашифровані файли. Для отримання додаткової інформації жертвам рекомендується використовувати браузер Tor, який відомий своїми функціями анонімності.
Серйозно підходьте до безпеки своїх пристроїв і даних
Користувачі можуть застосувати кілька заходів для ефективного захисту своїх пристроїв і даних від програм-вимагачів. По-перше, вкрай важливо підтримувати оновлене та надійне програмне забезпечення безпеки на їхніх пристроях. Це включає використання надійного програмного забезпечення для захисту від шкідливих програм, яке може виявляти та блокувати загрози програм-вимагачів. Крім того, постійне оновлення операційної системи, програм і мікропрограми за допомогою найновіших виправлень безпеки та оновлень є важливим для усунення будь-яких уразливостей, які можуть використовувати програми-вимагачі.
Ще один важливий захід — проявляти обережність і пильність під час перегляду веб-сторінок і відкриття вкладених файлів електронної пошти. Користувачам слід остерігатися підозрілих електронних листів, посилань або вкладень із невідомих джерел, оскільки вони часто можуть служити точками входу для зараження програмами-вимагачами. Бажано перевіряти автентичність електронних листів і вкладень перед взаємодією з ними, особливо якщо вони здаються незвичними або несподіваними.
Регулярне резервне копіювання відповідних даних є важливим аспектом захисту від програм-вимагачів. Створення офлайн-резервних копій необхідних файлів і їх зберігання на окремих пристроях або хмарних рішеннях для зберігання допомагає переконатися, що дані можна відновити у разі атаки програм-вимагачів. Важливо підтримувати кілька копій резервних копій і гарантувати, що вони надійно зберігаються, щоб запобігти несанкціонованому доступу.
Увімкнення додаткових заходів безпеки, таких як захист брандмауером, системи виявлення вторгнень і обмеження привілеїв користувачів, може створити додатковий рівень захисту від програм-вимагачів. Застосування надійних ексклюзивних паролів і ввімкнення двофакторної автентифікації може допомогти запобігти несанкціонованому доступу до пристроїв і облікових записів.
Текст записки про викуп, виданої RA Group Ransomware:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
