Το Rtg Ransomware χρησιμοποιεί Ρωσική Σημείωση Ransom
Κατά τη διάρκεια μιας τακτικής αναθεώρησης νέων δειγμάτων αρχείων, η ερευνητική μας ομάδα έκανε μια σημαντική ανακάλυψη: το Rtg ransomware, μια παραλλαγή που ανήκει στην οικογένεια ransomware Xorist. Αυτό το κακόβουλο πρόγραμμα λειτουργεί κρυπτογραφώντας δεδομένα και στη συνέχεια απαιτώντας λύτρα για το κλειδί αποκρυπτογράφησης.
Κατά τη δοκιμή του Rtg ransomware στον πειραματικό μας υπολογιστή, παρατηρήσαμε ότι κρυπτογραφούσε αποτελεσματικά τα αρχεία και τροποποιούσε τα ονόματα των αρχείων τους προσθέτοντας μια επέκταση ".rtg". Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" θα εμφανίζεται τώρα ως "1.jpg.rtg", "2.png" ως "2.png.rtg" και ούτω καθεξής.
Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, το ransomware δημιούργησε πανομοιότυπες σημειώσεις λύτρων σε δύο μορφές: ένα αρχείο κειμένου με την ένδειξη "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" και ένα αναδυόμενο παράθυρο. Συγκεκριμένα, το κείμενο στο αναδυόμενο παράθυρο μπορεί να εμφανίζεται ως ακατανόητη ασυναρτησία σε συστήματα που δεν έχουν εγκατεστημένο το κυριλλικό αλφάβητο, ανάλογα με την έκδοση του λειτουργικού συστήματος.
Το μήνυμα λύτρων αναφέρει ρητά ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί με ασφάλεια. Το θύμα έχει ένα 24ωρο παράθυρο για να έρθει σε επαφή με τους δράστες. Διαφορετικά, το κρίσιμο κλειδί αποκρυπτογράφησης που απαιτείται για την ανάκτηση δεδομένων θα διαγραφεί οριστικά.
Σημείωμα Rtg Ransom Γραμμένο στα Ρωσικά
Το πλήρες κείμενο του σημειώματος λύτρων Rtg έχει ως εξής:
Ваши αρχείο были зашифрованны. Для того что бы расшифровать δικό σας αρχείο, Вам необходимо γράψατε, στη διεύθυνση почты, который указан ниже.
resk94043@rambler.ru
Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файлов
Μου έγραψε:
t1503@bk.ru
ή
ooosk-ural@yandex.ruЕсли не получили письмо, Ждем ответа со другой почты.!
Πώς διανέμεται στο Διαδίκτυο το Ransomware Like Rtg;
Το Ransomware όπως το Rtg διανέμεται συνήθως στο διαδίκτυο μέσω διαφόρων μεθόδων, εκμεταλλευόμενοι τα τρωτά σημεία και εκμεταλλευόμενοι ανθρώπινες συμπεριφορές. Ακολουθούν ορισμένες κοινές μέθοδοι διανομής που χρησιμοποιούνται από το ransomware, συμπεριλαμβανομένου του Rtg:
- Email ηλεκτρονικού ψαρέματος: Τα μηνύματα ηλεκτρονικού ψαρέματος είναι ένας από τους πιο διαδεδομένους τρόπους διανομής ransomware. Οι εγκληματίες του κυβερνοχώρου στέλνουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου προσποιούμενοι ότι προέρχονται από νόμιμες πηγές, παρασύροντας τους παραλήπτες να κάνουν κλικ σε κακόβουλους συνδέσμους ή να κατεβάσουν μολυσμένα συνημμένα. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συχνά περιέχουν επείγοντα ή δελεαστικά μηνύματα για να εξαπατήσουν τους χρήστες να αναλάβουν δράση.
- Κακόβουλοι ιστότοποι και λήψεις: Το Ransomware μπορεί να διανεμηθεί μέσω παραβιασμένων ιστότοπων ή ψεύτικων συνδέσμων λήψης. Οι χρήστες ενδέχεται να κατεβάσουν εν αγνοία τους μολυσμένο λογισμικό, σπασμένες εφαρμογές ή ψεύτικες ενημερώσεις, οδηγώντας στην εγκατάσταση ransomware στα συστήματά τους.
- Κιτ εκμετάλλευσης: Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν κιτ εκμετάλλευσης για να στοχεύσουν γνωστά τρωτά σημεία σε λογισμικό ή προγράμματα περιήγησης. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο, το κιτ εκμετάλλευσης εντοπίζει αυτόματα και εκμεταλλεύεται αυτά τα τρωτά σημεία για να παραδώσει το ωφέλιμο φορτίο ransomware.
- Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις ή κακόβουλες διαφημίσεις μπορούν να εισαχθούν σε νόμιμους ιστότοπους για να ανακατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους που φιλοξενούν ransomware. Αυτές οι διαφημίσεις μπορεί να εμφανίζονται σε δημοφιλείς ιστότοπους ή δίκτυα διαφημίσεων, γεγονός που καθιστά δύσκολη την αποφυγή τους.
- Λήψεις Drive-by: Οι λήψεις Drive-by πραγματοποιούνται όταν οι χρήστες επισκέπτονται παραβιασμένους ή κακόβουλους ιστότοπους και το ransomware κατεβάζεται και εκτελείται αυτόματα χωρίς τη γνώση ή τη συγκατάθεσή τους.
