Raf Ransomware

在分析了 Raf Ransomware 威脅的底層代碼後，網絡安全研究人員確定它是Makop Ransomware系列的變種。受威脅感染的設備將受到數據加密，這將導致存儲在其上的大部分文件不再可訪問或可用。

作為威脅執行的入侵行動的一部分，鎖定文件的名稱也將在很大程度上被修改。事實上，受害者會注意到他們的文件現在有一個 ID 字符串、一個電子郵件地址和一個添加到其原始名稱的新文件擴展名。有問題的電子郵件地址是“khakuta@msgsafe.io”，而文件擴展名是“.Raf”。贖金記錄將以名為“readme-warning.txt”的文本文件的形式放置在被破壞設備的桌面上。

贖金票據的詳細信息

威脅要求贖金的信息遵循問答（問答）格式。它顯示 Raf Ransomware 受害者預計將使用比特幣加密貨幣支付贖金。受影響的用戶還可以免費發送 2 個加密文件進行解鎖。但是，所選文件必須滿足幾個要求。首先，它們必須具有簡單的擴展名，例如 jpg、xls、doc 等。其次，它們的大小不得超過 1MB。為了發送文件和接收其他指令，受害者會留下兩個電子郵件地址作為溝通渠道——“khakuta@msgsafe.io”和“wisetech01@msgsafe.io”。

威脅的整個贖金記錄是：

'：：： 你好 ：：：

小常見問題：
.1。
問：發生了什麼？
答：您的文件已加密，現在具有“Raf”擴展名。文件結構沒有損壞，我們盡一切可能避免這種情況發生。

.2.
問：如何恢復文件？
答：如果您想解密您的文件，您需要支付比特幣。

.3.
問：保證呢？
A：它只是一個生意。我們絕對不關心您和您的交易，除了獲得利益。如果我們不做我們的工作和責任 - 沒有人會與我們合作。這不符合我們的利益。
要檢查返回文件的能力，您可以向我們發送任意 2 個帶有簡單擴展名（jpg、xls、doc 等...不是數據庫！）和小尺寸（最大 1 mb）的文件，我們將對其進行解密並發回給您.這是我們的保證。

.4.
問：如何與您聯繫？
A：您可以寫信到我們的郵箱：khakuta@msgsafe.io 或 wisetech01@msgsafe.io

.5.
問：付款後解密過程將如何進行？
答：付款後，我們將向您發送我們的掃描儀解碼程序和詳細的使用說明。使用此程序，您將能夠解密所有加密文件。

.6.
問：如果我不想付錢給像你這樣的壞人？
答：如果您不配合我們的服務 - 對我們來說，沒關係。但是您會丟失您的時間和數據，因為只有我們擁有私鑰。在實踐中 - 時間比金錢更有價值。
：：：謹防：：：
不要試圖自己更改加密文件！
如果您將嘗試使用任何第三方軟件來恢復您的數據或防病毒解決方案 - 請為所有加密文件進行備份！
加密文件的任何更改都可能導致私鑰損壞，從而導致所有數據丟失。