RA World Ransomware utilise une longue note de rançon
Lors d'un examen de routine des nouveaux fichiers soumis, notre équipe a découvert le ransomware RA World. Ce type de logiciel malveillant fonctionne en cryptant les fichiers, obligeant les victimes à payer pour leur décryptage.
Dans notre environnement de test, RA World a exécuté le cryptage des fichiers et ajouté une extension « .RAWLD » aux noms de fichiers. Par conséquent, un fichier initialement nommé « 1.jpg » s'est transformé en « 1.jpg.RAWLD », et « 2.png » est devenu « 2.png.RAWLD », et ainsi de suite. À la fin du processus de cryptage, un message de rançon intitulé « Data violation warn.txt » a été généré. Le contenu de ce message indique que RA World utilise une stratégie connue sous le nom de double extorsion.
La demande de rançon de RA World informe la victime que ses fichiers ont été à la fois cryptés et volés, énumérant les types de données exfiltrées. Pour décrypter les fichiers et assurer la suppression des fichiers téléchargés des serveurs des attaquants, un paiement doit être effectué. Le non-respect de la demande de rançon peut amener les cybercriminels à publier le contenu volé et à informer les parties intéressées de la faille de sécurité.
Si la communication avec les attaquants n’est pas établie dans un délai de trois jours, certains fichiers seront rendus publics. Après sept jours, les données seront divulguées par lots et la nouvelle de la compromission sera diffusée. De plus, tout retard dans le contact entraînera une augmentation du montant de la rançon.
Note de rançon RA World dans son intégralité
Le texte complet de la demande de rançon de RA World se lit comme suit :
RA World
Notification
Your data are stolen and encrypted when you read this letter.
We have copied all data to our server.
Don't worry, your data will not be compromised if you do what I want.
But if you don't pay, we will release the data, contact your customers and regulators and destroy your system again.What we do?
We stole all laboratory reports from your servers.
We stole all important files from your file server.
We stole some important databases from your sql server.
We encrypt all your files.What we want?
Contact us, pay for ransom.
If you pay, we will provide you the programs for decryption and we will delete your data.
If not, we will leak your datas and your company will appear in the list below.
If not, we will email to your customers and report to supervisory authority.Comment nous contacter ?
Nous utilisons qTox et Telegram pour contacter, vous pouvez obtenir plus d'informations sur le site Web du bureau qTox :
hxxps://qtox.github.ioNotre identifiant qTox est :
(chaîne alphanumérique)Compte télégramme :
@Connect_202308
Lien : hxxps://t.me/Connect_202308Nous n'avons aucun autre contact.
S’il n’y a aucun contact dans les 3 jours, nous rendrons publics les exemples de fichiers.
S'il n'y a pas de contact dans les 7 jours, nous cesserons de communiquer et publierons les données par lots.
Plus le temps est long, plus la rançon est élevée.Site du bureau mondial de RA :
[Adresse permanente] -
[Adresse temporaire] -Lien vers la publication d'informations :
Exemples de fichiers :Liste des victimes non payées
Vous serez là aussi si vous ne payez pas !Leurs fichiers sont téléchargeables sur notre site :
[Adresse permanente] -
[Adresse temporaire] -Vous pouvez utiliser le navigateur Tor pour ouvrir l’URL .onion.
Obtenez plus d’informations sur le site Web du bureau Tor :
hxxps://www.torproject.org
Comment pouvez-vous protéger vos données contre les ransomwares ?
La protection de vos données contre les ransomwares nécessite une combinaison de mesures préventives, de formation des utilisateurs et de pratiques de sécurité proactives. Voici quelques stratégies efficaces pour protéger vos données contre les attaques de ransomwares :
Sauvegardez régulièrement :
Sauvegardez régulièrement vos données importantes et stockez les sauvegardes hors ligne ou dans un environnement cloud sécurisé. Cela garantit que même si vos données principales sont compromises, vous pouvez les restaurer à partir d'une sauvegarde propre.
Mettre à jour les logiciels et les systèmes :
Gardez votre système d'exploitation, votre logiciel antivirus et vos applications à jour. L’application régulière de correctifs de sécurité permet de se protéger contre les vulnérabilités connues que les ransomwares pourraient exploiter.
Utilisez un logiciel de sécurité fiable :
Installez un logiciel antivirus et anti-malware réputé pour détecter et bloquer les menaces de ransomware. Assurez-vous que le logiciel est régulièrement mis à jour pour vous défendre contre les nouvelles menaces.
Activer le filtrage des e-mails :
Utilisez des solutions de filtrage des e-mails pour bloquer les pièces jointes et les liens malveillants. De nombreuses attaques de ransomware commencent par des e-mails de phishing. Filtrer ces menaces au niveau de la passerelle de messagerie peut donc constituer une défense efficace.