R3tr0 Ransomware
網絡犯罪分子正在使用屬於Dharma 勒索軟件系列的新變種來鎖定受害者的數據。該威脅被跟踪為 R3tr0 勒索軟件,但也可以作為 RETRO-ENCRYPTED 遇到。該惡意軟件配備了無法破解的加密程序,可以影響受害者的所有重要文件——數據庫、檔案、文檔、圖像等。
每個加密文件的名稱也將發生巨大變化。威脅將首先添加特定於特定受害者的 ID 字符串。緊隨其後的是一個受攻擊者控制的電子郵件地址——在本例中為“r3tr0crypt@tuta.io”。最後,鎖定的文件將附加“.r3tr0”作為新的文件擴展名。與基於 Dharma 的威脅一樣,R3tr0 勒索軟件會在被破壞的設備上以“Info.hta”和“info.txt”文件的形式刪除兩個贖金記錄。
該文本文件將包含勒索記錄的截斷版本,用戶只需直接聯繫攻擊者的兩個電子郵件地址即可。完整的指令集可在 .hta 文件生成的彈出窗口中找到。在這裡,威脅參與者再次重申了他們在“r3tr0crypt@tuta.io”和“r3tr0crypt@msgsafe.io”的電子郵件。他們還警告受害者,重命名或嘗試使用第三方工具解密數據可能會永久損壞數據並使文件無法恢復。
索要贖金的消息全文如下:
逆向加密
r3tr0
不用擔心,您可以歸還所有文件!
如果您想恢復它們,請寫信給郵件:r3tr0crypt@tuta.io 您的 ID -
如果您在 12 小時內沒有通過郵件回复,請通過另一封郵件給我們寫信:r3tr0crypt@msgsafe.io
注意力!
我們建議您直接與我們聯繫以避免多付代理費用
不要重命名加密文件。
請勿嘗試使用第三方軟件解密您的數據,這可能會導致數據永久丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲(他們會向我們收取費用),或者您可能會成為詐騙的受害者。
文本文件中的說明是:
您的所有數據都已鎖定我們
你想回來嗎?
寫電子郵件 r3tr0crypt@tuta.io 或 r3tr0crypt@msgsafe.io
