Raf Ransomware

在分析了 Raf Ransomware 威胁的底层代码后，网络安全研究人员确定它是Makop Ransomware系列的变种。受威胁感染的设备将受到数据加密，这将导致存储在其上的大部分文件不再可访问或可用。

作为威胁执行的入侵行动的一部分，锁定文件的名称也将在很大程度上被修改。事实上，受害者会注意到他们的文件现在有一个 ID 字符串、一个电子邮件地址和一个添加到其原始名称的新文件扩展名。有问题的电子邮件地址是“khakuta@msgsafe.io”，而文件扩展名是“.Raf”。赎金记录将以名为“readme-warning.txt”的文本文件的形式放置在被破坏设备的桌面上。

赎金票据的详细信息

威胁要求赎金的信息遵循问答（问答）格式。它显示 Raf Ransomware 受害者预计将使用比特币加密货币支付赎金。受影响的用户还可以免费发送 2 个加密文件进行解锁。但是，所选文件必须满足几个要求。首先，它们必须具有简单的扩展名，例如 jpg、xls、doc 等。其次，它们的大小不得超过 1MB。为了发送文件和接收其他指令，受害者会留下两个电子邮件地址作为沟通渠道——“khakuta@msgsafe.io”和“wisetech01@msgsafe.io”。

威胁的整个赎金记录是：

'：：： 你好 ：：：

小常见问题：
.1。
问：发生了什么？
答：您的文件已加密，现在具有“Raf”扩展名。文件结构没有损坏，我们尽一切可能避免这种情况发生。

.2.
问：如何恢复文件？
答：如果您想解密您的文件，您需要支付比特币。

.3.
问：保证呢？
A：它只是一个生意。我们绝对不关心您和您的交易，除了获得利益。如果我们不做我们的工作和责任 - 没有人会与我们合作。这不符合我们的利益。
要检查返回文件的能力，您可以向我们发送任意 2 个带有简单扩展名（jpg、xls、doc 等...不是数据库！）和小尺寸（最大 1 mb）的文件，我们将对其进行解密并发回给您.这是我们的保证。

.4.
问：如何与您联系？
A：您可以写信到我们的邮箱：khakuta@msgsafe.io 或 wisetech01@msgsafe.io

.5.
问：付款后解密过程将如何进行？
答：付款后，我们将向您发送我们的扫描仪解码程序和详细的使用说明。使用此程序，您将能够解密所有加密文件。

.6.
问：如果我不想付钱给像你这样的坏人？
答：如果您不配合我们的服务 - 对我们来说，没关系。但是您会丢失您的时间和数据，因为只有我们拥有私钥。在实践中 - 时间比金钱更有价值。
：：：谨防：：：
不要试图自己更改加密文件！
如果您将尝试使用任何第三方软件来恢复您的数据或防病毒解决方案 - 请为所有加密文件进行备份！
加密文件的任何更改都可能导致私钥损坏，从而导致所有数据丢失。