R3tr0 Ransomware
R3tr0-Ransomware ist ein neu entdeckter Stamm von Dateiverschlüsselungs-Malware. Die R3tr0-Ransomware gehört zur größeren Familie der Dharma-Ransomware-Klone.
Bei der Bereitstellung auf einem Zielsystem verhält sich die Ransomware wie erwartet – sie verschlüsselt die meisten Dateien und lässt systemrelevante Dateien in Ruhe. Zu den verschlüsselten Dateitypen gehören Mediendateien, Dokumente, Archive und Datenbankdateien.
Nach der Verschlüsselung werden die Dateinamen geändert, indem mehrere Zeichenfolgen an sie angehängt werden, darunter die Opfer-ID, die vom Ransomware-Betreiber verwendete E-Mail-Adresse und die Erweiterung „.r3tr0“. Auf diese Weise wird aus einer Datei mit dem Namen „picture.jpg“ „picture.jpg.id-[alphanumerischer ID-String].[r3trocrypt@tuta.io].r3tr0.
Die Lösegeldforderung wird in ein paar Dateien abgelegt, sowohl im Klartext als auch in einer HTML-Datei mit den Namen Info.txt und Info.hta.
Der vollständige Text der Lösegeldforderung in der HTA-Datei lautet wie folgt:
RETRO-VERSCHLÜSSELT
r3tr0
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, schreiben Sie an die E-Mail: r3tr0crypt at tuta dot io IHRE ID -
Wenn Sie nicht innerhalb von 12 Stunden per Mail geantwortet haben, schreiben Sie uns eine andere Mail: r3tr0crypt at msgsafe dot io
AUFMERKSAMKEIT!
Wir empfehlen Ihnen, sich direkt mit uns in Verbindung zu setzen, um überbezahlte Agenten zu vermeiden
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.
Die Lösegeldforderung in der TXT-Datei lautet wie folgt:
Alle Ihre Daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie die E-Mail r3tr0crypt an tuta dot io oder r3tr0crypt an msgsafe dot io