Rar1 Ransomware pide pago de rescate en Monero

Rar1 es el nombre que se le da a una cepa recientemente descubierta de malware de cifrado de archivos. La nueva variante no parece pertenecer a ninguna familia de ransomware específica más grande.

Rar1 cifra los archivos en el sistema de destino una vez que se ha implementado en él. Los archivos codificados por el ransomware se vuelven inutilizables. Las extensiones afectadas incluyen medios populares, archivos, documentos y tipos de archivos de bases de datos.

A diferencia de la mayoría de las otras variantes de ransomware, Rar1 cambia por completo los nombres de archivo de los archivos cifrados, reemplazándolos con cadenas aleatorias de caracteres alfanuméricos con longitudes aparentemente aleatorias. Una vez que se cambia el nombre del archivo base, se agrega la extensión ".rar1". No parece haber ninguna conexión específica entre la longitud del nombre original de los archivos encriptados y las cadenas aleatorias a las que se les cambia el nombre al encriptarlos.

El ransomware deposita su nota de rescate dentro de un archivo llamado "READ_TO_DECRYPT.txt". La nota de rescate solicita el pago en criptomoneda, más específicamente 2 monedas Monero.

La nota de rescate completa es la siguiente:

Tus archivos han sido encriptados

Envía 2 XMR a la siguiente billetera [cadena alfanumérica]

Y después de pagar, póngase en contacto con a94673838 en proton dot me

Obtener la contraseña para descifrar el archivo

Su código de máquina es: