R3tr0 Ransomware

网络犯罪分子正在使用属于Dharma 勒索软件系列的新变种来锁定受害者的数据。该威胁被跟踪为 R3tr0 勒索软件，但也可以作为 RETRO-ENCRYPTED 遇到。该恶意软件配备了不可破解的加密程序，可以影响受害者的所有重要文件——数据库、档案、文档、图像等。

每个加密文件的名称也将发生巨大变化。威胁将首先添加特定于特定受害者的 ID 字符串。紧随其后的是一个受攻击者控制的电子邮件地址——在本例中为“r3tr0crypt@tuta.io”。最后，锁定的文件将附加“.r3tr0”作为新的文件扩展名。与基于 Dharma 的威胁一样，R3tr0 勒索软件将在被破坏的设备上以“Info.hta”和“info.txt”文件的形式删除两个赎金记录。

该文本文件将包含勒索记录的截断版本，用户只需直接联系攻击者的两个电子邮件地址即可。完整的指令集可在 .hta 文件生成的弹出窗口中找到。在这里，威胁参与者再次重申了他们在“r3tr0crypt@tuta.io”和“r3tr0crypt@msgsafe.io”的电子邮件。他们还警告受害者，重命名或尝试使用第三方工具解密数据可能会永久损坏数据并使文件无法恢复。

索要赎金的消息全文如下：

逆向加密
r3tr0
不用担心，您可以归还所有文件！
如果您想恢复它们，请写信给邮件：r3tr0crypt@tuta.io 您的 ID -
如果您在 12 小时内没有通过邮件回复，请通过另一封邮件给我们写信：r3tr0crypt@msgsafe.io
注意力！
我们建议您直接与我们联系以避免多付代理费用
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致数据永久丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们将费用添加到我们的账户中），或者您可能成为诈骗的受害者。

文本文件中的说明是：

您的所有数据都已锁定我们
你想回来吗？
写电子邮件 r3tr0crypt@tuta.io 或 r3tr0crypt@msgsafe.io