R3tr0 Ransomware
R3tr0 ransomware er en nyopdaget stamme af filkrypterende malware. R3tr0 ransomware tilhører den bredere familie af Dharma ransomware kloner.
Når den implementeres på et målsystem, opfører ransomware sig som forventet - den krypterer størstedelen af filerne og efterlader system-essentielle filer alene. Krypterede filtyper omfatter mediefiler, dokumenter, arkiver og databasefiler.
Når de er krypteret, ændres filnavnene, og der tilføjes flere strenge til dem, inklusive offer-id'et, den e-mail, der bruges af ransomware-operatøren, og udvidelsen ".r3tr0". På denne måde vil en fil med navnet "picture.jpg" blive til "picture.jpg.id-[alfanumerisk ID-streng].[r3trocrypt@tuta.io].r3tr0.
Løsesedlen er lagt i et par filer, både almindelig tekst og en HTML-fil, kaldet Info.txt og Info.hta.
Den fulde tekst af løsesumsedlen i HTA-filen lyder som følger:
RETRO-KRYPTET
r3tr0
Bare rolig, du kan returnere alle dine filer!
Hvis du vil gendanne dem, så skriv til mailen: r3tr0crypt at tuta dot io DIT ID -
Hvis du ikke har svaret på mail inden for 12 timer, så skriv til os på en anden mail:r3tr0crypt på msgsafe dot io
OPMÆRKSOMHED!
Vi anbefaler, at du kontakter os direkte for at undgå overbetalende agenter
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.
Beskeden om løsesum i TXT-filen er som følger:
alle dine data er blevet låst os
Vil du tilbage?
skriv e-mail r3tr0crypt på tuta dot io eller r3tr0crypt på msgsafe dot io