Rtg Ransomware bruger russisk løsepengenotat

Under en rutinegennemgang af nye filprøver gjorde vores forskerhold en betydelig opdagelse: Rtg ransomware, en variant, der tilhører Xorist ransomware-familien. Dette ondsindede program fungerer ved at kryptere data og derefter kræve løsesum for dekrypteringsnøglen.

Da vi testede Rtg-ransomwaren på vores eksperimentelle maskine, observerede vi, at den effektivt krypterede filer og ændrede deres filnavne ved at tilføje en ".rtg"-udvidelse. For eksempel vil en fil, der oprindeligt hedder "1.jpg" nu vises som "1.jpg.rtg", "2.png" som "2.png.rtg" og så videre.

Efter afslutningen af krypteringsprocessen genererede ransomware identiske løsesumsedler i to formater: en tekstfil mærket "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" og et pop op-vindue. Navnlig kan teksten i pop-up-vinduet fremstå som uforståelig volapyk på systemer, der mangler det kyrilliske alfabet installeret, afhængigt af OS-versionen.

Beskeden om løsesum siger udtrykkeligt, at ofrets filer er blevet sikkert krypteret. Offeret får et 24-timers vindue til at komme i kontakt med angriberne; ellers vil den afgørende dekrypteringsnøgle, der kræves til datagendannelse, blive slettet permanent.

Rtg løsesum-notat Skrevet på russisk

Den komplette tekst i Rtg-løsesumsedlen lyder som følger:

Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты, которезаный укамо.

resk94043@rambler.ru

Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файлов

Мы Вам написали:
t1503@bk.ru
или
ooosk-ural@yandex.ru

Если не получили письмо, Ждем ответа с другой почты.!

Hvordan distribueres Ransomware Like Rtg online?

Ransomware som Rtg distribueres typisk online gennem forskellige metoder, udnytter sårbarheder og udnytter menneskelig adfærd. Her er nogle almindelige distributionsmetoder, der bruges af ransomware, herunder Rtg:

• Phishing-e-mails: Phishing-e-mails er en af de mest udbredte måder, hvorpå ransomware distribueres. Cyberkriminelle sender vildledende e-mails, der foregiver at være fra legitime kilder, lokker modtagere til at klikke på ondsindede links eller downloade inficerede vedhæftede filer. Disse e-mails indeholder ofte presserende eller lokkende beskeder for at narre brugere til at handle.
• Ondsindede websteder og downloads: Ransomware kan distribueres gennem kompromitterede websteder eller falske downloadlinks. Brugere kan ubevidst downloade inficeret software, crackede applikationer eller falske opdateringer, hvilket fører til installation af ransomware på deres systemer.
• Udnyttelsessæt: Cyberkriminelle bruger udnyttelsessæt til at målrette mod kendte sårbarheder i software eller browsere. Når en bruger besøger et kompromitteret websted, identificerer og udnytter udnyttelsessættet automatisk disse sårbarheder til at levere ransomware-nyttelasten.
• Malvertising: Ondsindede reklamer, eller malvertising, kan injiceres på legitime websteder for at omdirigere brugere til ondsindede websteder, der hoster ransomware. Disse annoncer kan blive vist på populære websteder eller annoncenetværk, hvilket gør dem svære at undgå.
• Drive-by-downloads: Drive-by-downloads forekommer, når brugere besøger kompromitterede eller ondsindede websteder, og ransomwaren downloades og udføres automatisk uden deres viden eller samtykke.