Rar1 Ransomware beder om løsepengebetaling i Monero

Rar1 er navnet på en nyopdaget stamme af filkrypterende malware. Den nye variant ser ikke ud til at tilhøre nogen specifik større ransomware-familie.

Rar1 krypterer filer på målsystemet, når det er blevet installeret på det. Filer forvrænget af ransomware bliver ubrugelige. Berørte udvidelser omfatter populære medie-, arkiv-, dokument- og databasefiltyper.

I modsætning til de fleste andre ransomware-varianter ændrer Rar1 fuldstændigt filnavnene på krypterede filer og erstatter dem med randomiserede strenge af alfanumeriske tegn med tilsyneladende tilfældige længder. Når basisfilnavnet er ændret, tilføjes filtypen ".rar1". Der ser ikke ud til at være nogen specifik forbindelse mellem den oprindelige navnelængde på krypterede filer og de tilfældige strenge, de omdøbes til ved kryptering.

Ransomwaren deponerer sin løsesumseddel i en fil med navnet "READ_TO_DECRYPT.txt". Løsesedlen beder om betaling i kryptovaluta, nærmere bestemt 2 Monero-mønter.

Den fulde løsesumseddel lyder som følger:

Dine filer er blevet krypteret

Send 2 XMR til følgende tegnebog [alfanumerisk streng]

Og efter løn kontakt a94673838 på proton dot me

Få adgangskoden til at dekryptere filen

Din maskinkode er: