RA Group Ransomware basado en código Babuk

ransomware

RA Group es un tipo de ransomware que realiza el cifrado de datos, modifica los nombres de los archivos y entrega una nota de rescate específica. Cada ataque implica una nota de rescate personalizada titulada "Cómo restaurar sus archivos.txt", adaptada a la organización o empresa objetivo. El mismo nivel de personalización puede aplicarse a las extensiones de archivo adjuntas a los nombres de archivo de los archivos cifrados.

Una de las extensiones de archivo observadas del ransomware RA Group fue ".GAGUP". En particular, RA Group es conocido por utilizar un cifrador basado en el código fuente filtrado del grupo de ransomware Babuk, que cesó sus operaciones en 2021.

La nota de rescate sirve para informar a la víctima sobre el cifrado de sus datos y las acciones de los atacantes de hacer copias de los datos en su servidor para garantizar su integridad y confidencialidad si se cumplen sus demandas.

La nota explica que los atacantes se apoderaron de los datos de la víctima y cifraron sus servidores, destacando la posibilidad de descifrar los archivos cifrados. Menciona que los datos guardados se eliminarán de forma permanente una vez que se cumplan los requisitos de los atacantes, y enumera varios tipos de datos a los que han accedido los atacantes.

Se indica a la víctima que se comunique con los atacantes y realice un pago por el proceso de descifrado. La comunicación se realiza preferiblemente a través de qTox, con una identificación de qTox proporcionada para que la víctima la utilice. La nota advierte contra el contacto con los atacantes a través de otros canales, lo que sugiere que los atacantes solo están interesados en obtener ganancias monetarias.

Además, la nota de rescate establece que los archivos de muestra se divulgarán públicamente si no se establece contacto dentro de los tres días. En caso de que no haya respuesta dentro de los siete días, todos los archivos se harán públicos. Para acceder a más información, se recomienda a la víctima que utilice el navegador Tor.

El actor de RA Group Ransom confía en Tox Chat para ponerse en contacto

El texto completo de la nota de rescate de RA Group dice lo siguiente:

Grupo AR

Notificación
Sus datos han sido encriptados cuando lee esta carta.
Hemos copiado todos los datos a nuestro servidor.
Pero no se preocupe, sus datos no se verán comprometidos ni se harán públicos si hace lo que quiero.

¿Qué hicimos?
Tomamos sus datos y ciframos sus servidores, los archivos cifrados se pueden descifrar.
Hemos guardado sus datos correctamente, eliminaremos los datos guardados si cumple con nuestros requisitos.
Tomamos los siguientes datos:
[redactado] Documentos
información del proveedor
información del cliente, información de pago
Información del empleado, Nómina
contabilidad
impuesto de venta
Estados financieros
informe financiero anual, informe trimestral
[redactado] CONTRATO
plan de negocios
contrato
facturas
información vtex
copia de seguridad de correo electrónico interno del empleado

¿Lo que nosotros queremos?
Contáctenos, pague por el descifrado.

¿Cómo contactarnos?
Usamos qTox para contactar, puede obtener más información en el sitio web de la oficina de qTox:
hxxps://qtox.github.io

Nuestra identificación qTox es:
(cadena alfanumérica)

No tenemos otro contacto.
Si no hay contacto dentro de los 3 días, haremos públicos los archivos de muestra.
Si no hay contacto dentro de los 7 días, haremos público el archivo.

Recomendar
No nos contactes a través de otras empresas, ellos solo ganan la diferencia.

liberación de información
Archivos de muestra:

Todos los archivos:

Puede usar Tor Browser para abrir .onion url.
Obtenga más información del sitio web de la oficina de Tor:
hxxps://www.torproject.org

¿Qué puede hacer para proteger sus datos de ransomware como RA Group?

Proteger sus datos de ataques de ransomware como RA Group es crucial para salvaguardar su información y evitar posibles daños. Aquí hay algunas medidas que puede tomar para mejorar su protección de datos:

Realice una copia de seguridad de sus datos: haga una copia de seguridad de sus datos importantes con regularidad y asegúrese de que las copias de seguridad se almacenen de forma segura fuera de línea o en una red separada. De esta forma, incluso si el ransomware cifra sus datos, puede restaurarlos a partir de copias de seguridad sin pagar el rescate.

Mantenga su software actualizado: instale actualizaciones de software y parches de seguridad de inmediato. El software desactualizado a menudo contiene vulnerabilidades que pueden ser explotadas por ransomware. Habilite las actualizaciones automáticas siempre que sea posible para garantizar una protección oportuna.

Use soluciones de seguridad sólidas: implemente software antivirus o antimalware confiable en todos sus dispositivos. Mantenga estas soluciones de seguridad actualizadas y realice análisis regulares para detectar posibles amenazas.

Tenga mucho cuidado con los archivos adjuntos de correo electrónico y los enlaces: tenga cuidado al abrir archivos adjuntos de correo electrónico o al hacer clic en enlaces, especialmente de fuentes desconocidas. El ransomware a menudo se propaga a través de correos electrónicos de phishing, así que verifique la identidad del remitente y escanee los archivos adjuntos con un software de seguridad antes de abrirlos.

Habilite contraseñas seguras y únicas: use contraseñas seguras para todas sus cuentas y evite reutilizarlas. Considere buscar un administrador de contraseñas para almacenar y administrar sus contraseñas de manera segura. Habilite la autenticación multifactor (MFA) siempre que sea posible para agregar una capa adicional de seguridad.

En Zaib
May 19, 2023
Ransomware
Spanish
May 19, 2023
Ransomware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.