Rançongiciel R3tr0
Le rançongiciel R3tr0 est une nouvelle souche de logiciels malveillants de cryptage de fichiers. Le ransomware R3tr0 appartient à la famille plus large des clones de ransomware Dharma.
Lorsqu'il est déployé sur un système cible, le ransomware se comporte comme prévu - il crypte la majorité des fichiers, laissant seuls les fichiers essentiels au système. Les types de fichiers chiffrés incluent les fichiers multimédias, les documents, les archives et les fichiers de base de données.
Une fois cryptés, les noms de fichiers sont modifiés, en leur ajoutant plusieurs chaînes, y compris l'ID de la victime, l'e-mail utilisé par l'opérateur du rançongiciel et l'extension ".r3tr0". De cette façon, un fichier nommé "image.jpg" se transformera en "image.jpg.id-[chaîne d'identification alphanumérique].[r3trocrypt@tuta.io].r3tr0.
La note de rançon est déposée dans quelques fichiers, à la fois en texte brut et dans un fichier HTML, nommés Info.txt et Info.hta.
Le texte intégral de la note de rançon dans le fichier HTA se présente comme suit :
RÉTRO-CRYPTÉ
r3tr0
Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !
Si vous souhaitez les restaurer, écrivez au courrier : r3tr0crypt at tuta dot io VOTRE ID -
Si vous n'avez pas répondu par mail dans les 12 heures, écrivez-nous par un autre mail : r3tr0crypt at msgsafe dot io
ATTENTION!
Nous vous recommandons de nous contacter directement pour éviter de surpayer les agents
Ne renommez pas les fichiers cryptés.
N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais à nos) ou vous pouvez devenir victime d'une arnaque.
Le message de rançon dans le fichier TXT est le suivant :
toutes vos données nous ont été verrouillées
Vous voulez revenir ?
écrire un e-mail r3tr0crypt à tuta point io ou r3tr0crypt à msgsafe point io