Rtg Ransomware verwendet russische Lösegeldforderung

Bei einer routinemäßigen Überprüfung neuer Dateibeispiele machte unser Forschungsteam eine bedeutende Entdeckung: die Rtg-Ransomware, eine Variante der Xorist-Ransomware-Familie. Dieses Schadprogramm verschlüsselt Daten und verlangt dann Lösegeld für den Entschlüsselungsschlüssel.

Beim Testen der Rtg-Ransomware auf unserem Versuchsrechner stellten wir fest, dass sie Dateien effektiv verschlüsselte und ihre Dateinamen durch Hinzufügen der Erweiterung „.rtg“ änderte. Beispielsweise würde eine Datei, die ursprünglich „1.jpg“ hieß, jetzt als „1.jpg.rtg“, „2.png“ als „2.png.rtg“ usw. angezeigt.

Nach Abschluss des Verschlüsselungsprozesses generierte die Ransomware identische Lösegeldforderungen in zwei Formaten: eine Textdatei mit der Bezeichnung „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt“ und ein Popup-Fenster. Insbesondere kann der Text im Popup-Fenster je nach Betriebssystemversion auf Systemen, auf denen das kyrillische Alphabet nicht installiert ist, als unverständliches Kauderwelsch erscheinen.

In der Lösegeldforderung heißt es ausdrücklich, dass die Dateien des Opfers sicher verschlüsselt wurden. Dem Opfer wird ein 24-Stunden-Fenster eingeräumt, um mit den Angreifern Kontakt aufzunehmen; Andernfalls wird der entscheidende Entschlüsselungsschlüssel, der für die Datenwiederherstellung erforderlich ist, dauerhaft gelöscht.

Rtg-Lösegeldschein in russischer Sprache verfasst

Der vollständige Text der Rtg-Lösegeldforderung lautet wie folgt:

Ihre Dateien wurden gelöscht. Um Ihre Dateien zu löschen, müssen Sie sich an eine bestimmte Adresse wenden, die Ihnen nicht bekannt ist.

resk94043@rambler.ru

Im Laufe dieses Jahres, wenn ich keine weiteren Kommentare erhalten habe, werden die von Ihnen verwendeten Dateien gelöscht

Ich habe geschrieben:
t1503@bk.ru
oder
ooosk-ural@yandex.ru

Wenn Sie noch nicht einmal mehr daran interessiert sind, haben wir zwei weitere Male gelesen.!

Wie wird Ransomware wie Rtg online verbreitet?

Ransomware wie Rtg wird typischerweise online über verschiedene Methoden verbreitet, wobei Schwachstellen ausgenutzt werden und menschliches Verhalten ausgenutzt wird. Hier sind einige gängige Verbreitungsmethoden von Ransomware, einschließlich Rtg:

• Phishing-E-Mails: Phishing-E-Mails gehören zu den häufigsten Verbreitungswegen von Ransomware. Cyberkriminelle versenden betrügerische E-Mails, die vorgeben, aus legitimen Quellen zu stammen, und verleiten die Empfänger dazu, auf schädliche Links zu klicken oder infizierte Anhänge herunterzuladen. Diese E-Mails enthalten oft dringende oder verlockende Nachrichten, um Benutzer zum Handeln zu verleiten.
• Schädliche Websites und Downloads: Ransomware kann über manipulierte Websites oder gefälschte Download-Links verbreitet werden. Benutzer können unwissentlich infizierte Software, geknackte Anwendungen oder gefälschte Updates herunterladen, was zur Installation von Ransomware auf ihren Systemen führt.
• Exploit-Kits: Cyberkriminelle nutzen Exploit-Kits, um bekannte Schwachstellen in Software oder Browsern auszunutzen. Wenn ein Benutzer eine kompromittierte Website besucht, identifiziert das Exploit-Kit diese Schwachstellen automatisch und nutzt sie aus, um die Ransomware-Payload auszuliefern.
• Malvertising: Schädliche Werbung oder Malvertising kann in legitime Websites eingeschleust werden, um Benutzer auf bösartige Websites umzuleiten, auf denen Ransomware gehostet wird. Diese Anzeigen erscheinen möglicherweise auf beliebten Websites oder Werbenetzwerken und sind daher schwer zu vermeiden.
• Drive-by-Downloads: Drive-by-Downloads treten auf, wenn Benutzer kompromittierte oder bösartige Websites besuchen und die Ransomware ohne ihr Wissen oder ihre Zustimmung automatisch heruntergeladen und ausgeführt wird.