Rtg Ransomware utiliza una nota de rescate rusa

Durante una revisión de rutina de muestras de archivos nuevos, nuestro equipo de investigación hizo un descubrimiento importante: el ransomware Rtg, una variante que pertenece a la familia de ransomware Xorist. Este programa malicioso opera cifrando datos y luego exigiendo rescates por la clave de descifrado.

Al probar el ransomware Rtg en nuestra máquina experimental, observamos que efectivamente encriptaba archivos y modificaba sus nombres de archivo agregando una extensión ".rtg". Por ejemplo, un archivo originalmente llamado "1.jpg" ahora aparecería como "1.jpg.rtg", "2.png" como "2.png.rtg", y así sucesivamente.

Una vez finalizado el proceso de cifrado, el ransomware generó notas de rescate idénticas en dos formatos: un archivo de texto con la etiqueta "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" y una ventana emergente. En particular, el texto en la ventana emergente puede aparecer como un galimatías ininteligible en los sistemas que no tienen instalado el alfabeto cirílico, según la versión del sistema operativo.

El mensaje de rescate establece explícitamente que los archivos de la víctima se han cifrado de forma segura. A la víctima se le da una ventana de 24 horas para ponerse en contacto con los atacantes; de lo contrario, la clave de descifrado crucial requerida para la recuperación de datos se eliminará de forma permanente.

Nota de rescate de Rtg escrita en ruso

El texto completo de la nota de rescate de Rtg dice lo siguiente:

Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты, которы й указан ниже.

resk94043@rambler.ru

Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файлов

Mi nombre de usuario:
t1503@bk.ru
или
ooosk-ural@yandex.ru

Если не получили письмо, Ждем ответа с другой почты.!

¿Cómo se distribuye en línea Ransomware Like Rtg?

El ransomware como Rtg generalmente se distribuye en línea a través de varios métodos, explotando vulnerabilidades y aprovechando los comportamientos humanos. Aquí hay algunos métodos de distribución comunes utilizados por ransomware, incluido Rtg:

• Correos electrónicos de phishing: los correos electrónicos de phishing son una de las formas más frecuentes en que se distribuye el ransomware. Los ciberdelincuentes envían correos electrónicos engañosos que fingen ser de fuentes legítimas, atrayendo a los destinatarios para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos infectados. Estos correos electrónicos a menudo contienen mensajes urgentes o atractivos para engañar a los usuarios para que tomen medidas.
• Descargas y sitios web maliciosos: el ransomware se puede distribuir a través de sitios web comprometidos o enlaces de descarga falsos. Los usuarios pueden descargar, sin saberlo, software infectado, aplicaciones descifradas o actualizaciones falsas, lo que lleva a la instalación de ransomware en sus sistemas.
• Kits de explotación: los ciberdelincuentes utilizan kits de explotación para atacar vulnerabilidades conocidas en software o navegadores. Cuando un usuario visita un sitio web comprometido, el kit de explotación identifica y explota automáticamente estas vulnerabilidades para entregar la carga útil del ransomware.
• Publicidad maliciosa: se pueden inyectar anuncios maliciosos o publicidad maliciosa en sitios web legítimos para redirigir a los usuarios a sitios web maliciosos que alojan ransomware. Estos anuncios pueden aparecer en sitios web o redes publicitarias populares, lo que los hace difíciles de evitar.
• Descargas no autorizadas: las descargas no autorizadas ocurren cuando los usuarios visitan sitios web comprometidos o maliciosos, y el ransomware se descarga y ejecuta automáticamente sin su conocimiento o consentimiento.